В домене реализовали девайс лок (DL). Клиентская часть накатывается на ПК через AD. Проблема такая - при заходе локально (права локал.админа) клиентская часть остаётся активна и полностью закрывает доступ ко всем портам и дискам, кроме системного. DL вижу в системе в виде нескольких сист. процессов и служб. Но при попытке удалить\остановить\выгрузить натыкаюсь на запрет. И это с правами локального админа! Как можно выгружать или просто не давать загрузится клиентской части такого типа ПО при локальном входе?

H.I.M., возможно стоит создать группы бузопасности, в которые с помощью ГПО раскидать права на доступ к девайсам. И админов включить в группу allow_all. У меня так это сделано.

Я к сожалению не администрю DL, а тот кто за него отвечает не хочет связываться с лишней настройкой. У меня вопрос собственно сводится к тому как избавится от загрузки клиентской части DL при локальном входе на ПК.

Остановите соответствующую службу.

Повторяю при попытке остановить службу (локальный вход на комп.) или тормознуть процесс получаю от ворот поворот - "Вам отказано в доступе". При этом моя учётка в группе локальных админов.

Можно поменять режим запуска службы, на "запрет", и перезагрузить компьютер.

А лучше загрузись с загрузочной дискеты типа Winternals, удали ручками службу из автозапуска в реестре и т.д.. И не будеит у тебя этой службы. )

Запустить оснастку "Службы" в контексте SYSTEM, и спокойно остановить нужные службы...

Запустить оснастку "Службы" в контексте SYSTEM, и спокойно остановить нужные службы... »
это как? под правами системы?

под правами системы? »
вполне возможно имется в виду от учетки system. впринципе это не сложно:
команда at 00:00 /interactive "cmd" запустит консоль с правами system. 00:00 - время в которое это надо сделать.
Дальше перезапускаем процесс explorer.exe, нажимаем ПУСК и видим шо мы сидим под пользователем system.
Ну дальше все остальное.

п.с. Взято из журнала "Хакер" за февраль этова года.

madmax24,
точно, оно самое :)

H.I.M., ты заходишь доменным пользователем с правами админа или локальным? Если доменным, то надо для него разрешить доступ, который ему необходим прямо из групповой политики.

Я захожу ЛОКАЛЬНО с правами локального админа. Можно поменять режим запуска службы, на "запрет", и перезагрузить компьютер » - при попытке смены режима получаю "Отказано в доступе"
вполне возможно имется в виду от учетки system. впринципе это не сложно:
команда at 00:00 /interactive "cmd" запустит консоль с правами system. 00:00 - время в которое это надо сделать.
Дальше перезапускаем процесс explorer.exe, нажимаем ПУСК и видим шо мы сидим под пользователем system.
Ну дальше все остальное.
п.с. Взято из журнала "Хакер" за февраль этова года. » - попробую. at 00:00 /interactive "cmd" - набирать прямо в ком.строке?

H.I.M., да, но если удобно можешь в батник затолкать.

Если не получится процесс DeviceLock остановить, то выход только один - обращаться к разработчикам (http://www.devicelock.com/ru/), которые на твою просьбу могут выслать тебе утилиту, которая сгененрирует уникальный ключ, который ты должен будешь выслать им, они в ответ пришлют тебе код и инструкцию по удалению сервиса DeviceLock.

H.I.M.
А вообще твоё нежелание связываться с системным администратором (который админит сервис Device Lock), явно выдаёт в тебе человека, который получив права локального администратора (уж не знаю легально или нет) на своём компьютере, пытается устроить из рабочей станции домашний компьютер, т.е. добавить лишнюю головную боль сисадминам и техподдержке.