theambient
03-08-2009, 10:56
В общем, охота сделать так, чтобы ПО УМОЛЧАНИЮ (без ручного редактирования прав пользователей на их папки) пользователи могли запускать файлы только из %systemroot% и %programfiles%, но н в коем случае не из %userprofile% (documents and settings), куда они имеют права на запись. Как это сделать - ума не приложу. Папки профайлов пользователей, находящиеся в DOCUMENTS AND SETTINGS не наследуют права от родительской папки, и по умолчанию владелец обладает полным набором прав.
Политики запрета не подходят, так как тода админы тоже будут забанены )))
очень надеюсь, что кто-нибудь чем-нибудь поможет. Вопрос, как мне кажется, далеко не тривиальный.
Политики запрета не подходят, так как тода админы тоже будут забанены )))
очень надеюсь, что кто-нибудь чем-нибудь поможет. Вопрос, как мне кажется, далеко не тривиальный.