Rolly Posted April 25, 2007 Report Share Posted April 25, 2007 Здравствуйте, Уважаемые господа форумчане! Поскольку сам с задачей не могу справиться, обращаюсь к Вам за помощью. Проблема и задача не нова... но прошу не бить и не ругаться, потому что перед тем как спросить, я честно и добросовестно воспользовался поиском и прочитал все что нашел по своей проблеме, но информации недостаточно и не найдено решения задачи. Значит, вкратце поясняю ситуацию. Как всегда, имеется компьютеры, на которых нужно поставить запрет на установку программ. Казалось бы... решение простое, создай учетную запись с ограниченными правами и будет тебе счастье... ан-нет, не все так просто. Когда создаю учетную запись простого Пользователя (Restricted User) то под этой учетной записью не запускаются некоторые приложения, в частности Photoshop. Он почему-то упорно требует наличие больших прав и свобод для себя. Пришлось отказаться от этого. “Опытные пользователи” (Power Users), имеют слишком большие права для работы на компьютере... и поэтому, этот вариант меня тоже не совсем устраивает. В конце концов, после тотального перелопачивания информации по поводу данной темы... узнал, что при помощи Политик ограниченного использования программ, можно установить разрешение на запуск только программ находящихся в папках "Program Files", "Windows" и других определенных мною в правилах... вот, вроде бы то что мне нужно... но и тут столкнулся с трудностями и проблемами которые не могу решить... 1) По умолчанию, создались правила, которые якобы позволяют запускать программы только из "Program Files", "Windows". Однако, возникла парадоксальная ситуация... Когда я создаю на компьютере пользователя с правами "опытный пользователь" то зайдя в систему, он, абсолютно ничего не может запустить... ни одно приложение в т.ч. даже то которое находиться в "Program Files", "Windows", хотя в политиках прописано что с этих папок разрешено запускать программы... Фактически, пользователь может только зайти в систему и полюбоваться на рабочий стол... 2) Потом где-то прочитал что есть какие-то списки контроля доступа (ACL), в которых как раз-таки и выставляется разрешение кому и куда можно залезть... но где эти списки найти и как отредактировать нигде не написано... И опять получается, не могу решить самую простую задачу, как установить запрет на установку программ, но чтобы при этом в системе беспрепятственно запускались уже установленные программы?! Кто-нить вплотную сталкивался с политиками ограниченного использования программ, помоги их настроить грамотно? И как отыскать эти списки контроля доступа (ACL)? Буду рад если кто-то предложит действенный способ решения данной проблемы Система WinXP SP2 Файловая система NTFS. Link to comment Share on other sites More sharing options...
f!zz Posted April 25, 2007 Report Share Posted April 25, 2007 Многа букав.... Справка Windows F1... Link to comment Share on other sites More sharing options...
Timba Posted April 25, 2007 Report Share Posted April 25, 2007 Rolly Если нужно обычному user дать возможность работы с программами, которые вдруг требуют бОльших прав, то можно в папке Program Files на конкретную папку с приложением для этого пользователя дать большие права. Так решается проблема с некоторыми программами (за все сказать не могу), но например 1С - работает, в остальном пользователь остается с правами user и не может устанавливать самостоятельно программы, игры.... и т.п. Попробуй этот вариант. Это делается не политиками, а просто разрешениями файловой системы. Link to comment Share on other sites More sharing options...
f!zz Posted April 26, 2007 Report Share Posted April 26, 2007 Timba прав...если хочешь общего доступа к программам не устанавливай их в Системные директории...во всех программах при установке можно прописать путь (кроме Windows)...Создай папку Program Files User - и выкладывай туда общий софт... Link to comment Share on other sites More sharing options...
Maikll Posted April 26, 2007 Report Share Posted April 26, 2007 (edited) Rolly: В дополнение к ответу Timba, по-умолчанию, Пользователям предоставляется доступ только для чтения и выполнения, поэтому рекомендую запустить необходимые программы под уч. записью с достаточными правами и посмотреть с помощью утилиты Filemon, к каким папкам будет обращаться программа, выставив на них затем разрешения. По поводу запретов через политики, то посмотри эту статью Описано для локальной политики, но ничего не мешает применить тоже самое и на уровне домена, если он есть. Плюс еще "Windows InstallerМайкрософт разработала новый формат для установки программ - Windows Installer (msi-файлы) через который устанавливаются теперь многие программы. Существует возможность контроля над этим форматом. Создайте новый параметр DisableMSI типа DWORD в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer и присвойте ему следующие значения • 0 - по умолчанию • 1 - только адмистраторы системы могут запустить Windows Installer • 2 - запрет на запуск Windows Installer " если хочешь общего доступа к программам не устанавливай их в Системные директории...во всех программах при установке можно прописать путь (кроме Windows)...Создай папку Program Files User - и выкладывай туда общий софт... и что это даст? настраивать безопасность необходимо и в том и в другом случае. Edited April 26, 2007 by Maikll Link to comment Share on other sites More sharing options...
Loader Posted April 26, 2007 Report Share Posted April 26, 2007 Вот то что тебе нужно. Создаются ярлыки для запуска определенных прог под админом AdmiLink.rar AdmiLink.rar Link to comment Share on other sites More sharing options...
Recommended Posts