[имеем]
комп, предназначеный для работы с установленной на нем winxp sp2, учетных записей две: админская и юзерская.

[задача]
ограничить юзеру все, что не касается работы по максимуму. то есть:
1. запретить доступ к cd-rom, запретить подключение съемных дисков к USB
2. запретить инсталяцию любых приложений
3. запретить изменение настроек экрана, да и вообще доступ к панели управления.
4. запретить запуск приложений (кроме некоторых необходимых для работы).
думаю, список далеко не полный, так что если будут мысли по поводу того что еще можно "урезать" (желательно с решениями), welcome :)

SaDem4eg извини что пользуюсь твоей темой но у меня похожий вопрос

[имеем]
комп, предназначеный для работы с установленной на нем winxp sp2, учетных записей две: админская и юзерская.

[задача]
1. запретить юзеру Unistall программ поставленных админом или при установке WINXP
2. Разрешить юзеру инсталировать/деинсталировать программы для своих нужд.

Допустим админ поставил MS Office - им может пользоваться любой кто залогинется на комп, но вот деинсталировать его может только админ. Но вот пользователю понадобился фотошо, он запросто ставит его и пользуется в свое удовольствие. Почуяв что можно ставить все что угодно пользователь ставит гейму, приходит админ и деинсталирует ее.

1. запретить доступ к cd-rom, запретить подключение съемных дисков к USB
[решено] Отключение портов USB (http://forum.oszone.net/thread-91000.html)
DeviceLock (http://soft.oszone.net/program/1752/DeviceLock/)

2. запретить инсталяцию любых приложений
Пользователь и так не может ничего ставить (почти).

3. запретить изменение настроек экрана, да и вообще доступ к панели управления.
[решено] Разграничение политик для пользователей (http://forum.oszone.net/thread-10372.html)
Другой вариант - воспользоваться твикером типа такого (http://dougknox.com/xp/utils/xp_securityconsole.htm). Методика простая:
даем учетке админские права;
заходим под ней, твикаем;
выходим, возвращаем пользовательские права (отнимаем админские).
4. запретить запуск приложений (кроме некоторых необходимых для работы).
Как ограничить пользователя определенным перечнем программ разрешенных для запуска (http://oszone.net/3634/#3)

Petya V4sechkin, а DeviceLock умеет разрешать копирование с носителей файлов с только определенным расширением?

Цитата SaDem4eg:
2. запретить инсталяцию любых приложений
Пользователь и так не может ничего ставить (почти). »
в /Program Files да, а в /111 кое-что может...
как сделать так, чтобы юзер не смог вообще ничего ставить?

SaDem4eg, ваш вопрос, пункт 4.

возник еще вопросик - как запретить юзеру переименовывать исполняемые файлы или все файлы вообще?

как запретить юзеру переименовывать исполняемые файлы или все файлы вообще? »
Это невозможно, но и не нужно. См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения (http://oszone.net/3979/Software_Restriction_Policies)

Это невозможно, но и не нужно. См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения »
инфу изучил, но видимо чего-то недопонял.
мои действия:
пуск -> выполнить -> secpol.msc
лезу в политики ограниченного использования программ, в папке "уровни безопасности" по дефолту выбираю "не разрешено"
в папке "дополнительные правила" создаю правило для хеша - через обзор указываю exe-шник, в строке "безопасность" указываю "неограниченный".
логинюсь под бесправным юзером, пробую запустить программу, для которой создал правило.
если запускать программу из папки, где она лежит - она запускается. но если создать для нее ярлык на рабочем столе и пытаться запустить программу, кликая по ярлыку - запуска не происходит, как не происходит и запуска тех программ, для которых правила не созданы...(
пробовал создавать аналогичные правила и для этого ярлыка - результат прежний...
подскажите, в чем проблема? хотелось бы запускать приложения ярлыками на рабочем столе или в меню пуск->программы, а не лезть постоянно в programm files.

SaDem4eg

Неограниченный (Unrestricted) или Не разрешено (Disallowed)

Политика ограниченного использования программ создается с помощью оснастки Групповая политика (Group Policy) консоли управления MMC. Политика состоит из правила по умолчанию, которое определяет, позволено ли приложению выполняться или нет, а также из исключений из этого правила. Правило по умолчанию может иметь значение Неограниченный (Unrestricted) или Не разрешено (Disallowed) – что по существу означает: запускать или не запускать приложение.

Установка правила по умолчанию Неограниченный (Unrestricted) позволяет администратору определять исключения – например, набор программ, которые нельзя запускать. Более безопасным подходом является установка правила по умолчанию Не разрешено (Disallowed) и разрешать выполнение только известных и доверенных программ.

При "Не разрешено", не будет запускаться ПО, которое явно не разрешено. Для ярлыков попробуйте добавить правило для пути...

P.S. Вот еще статья по теме http://technet.microsoft.com/ru-ru/magazine/cc510322.aspx

P.S. Вот еще статья по теме http://technet.microsoft.com/ru-ru/m.../cc510322.aspx »
здесь не про висту, случайно?..
Для ярлыков попробуйте добавить правило для пути... »
имхо правило для пути - бесполезная вещь, так как по этому пути можно накидать что угодно и запускать оттуда.
нужно сделать так чтобы работали правила для хеша исполняемого файла и ярлыка для него. ну просто жЫзненно необходимо.) выручайте умным советом...

SaDem4eg, я же выделил жирным - используйте gpedit, а не secpol. И логику правил измените - запретите все, разрешите нужные.