Всем привет.

Для уменьшения вероятности проникновения всякой дряни на комп, обычно логинюсь гостем, и серфлю в Инете.
Но это создает жуткие неудобства, т.к. 90% всех остальных программ требуют прав админа (sql сервер, и мне приходится запускать все через runas.exe именем админа!

(кстати хороший прикол: именем админа - инстал!)

как сделать от обратного, запускать лишь браузер в ограниченном режиме ( только не через runas, ибо я это не смогу объяснить племяннику, маме и сестре :durak: )

DropMyRights (http://msdn.microsoft.com/en-us/library/ms972827.aspx) (статья (http://www.securitylab.ru/analytics/241751.php)).

у меня при ограничении "С" и "U" ни один браузер не стал даже запускаться!
работает только при N - Normal

думаю это все же пониже, чем админ.

Оживлю тему: что на данном моменте появилось для решения указанной задачи? Для запуска вручную можно использовать созданную предварительно учетную запись с очень ограниченными правами ;) (сильно_Гость) и сделать ярлык с - кучей вариантов: run_as, Drop My Rights, PsExec, SandBoxie (и варианты) и пр. Если при этом средствами NTFS запретить указанному пользователю доступ куда угодно, кроме парочки папок для сохранения скачанного - вроде как и профит. Короче, вручную каждый блочет, как он хочет. ;)

Чуть хуже обстоит дело, когда я хочу заставить запускаться в таком режиме программу по-умолчанию. Например, запускать бровзер по-умолчанию от имени сторонней учетной записи. Система требует именно exe-файла, никаких ярлыков. Попытался решить ситуацию cmd-скриптом (вызов бровзера через runas), откомпиленным в exe - прокатило, но не совсем: бровзер запускается, но параметры командной строки не передаются - попытка перейти из мессенджера по ссылке просто запускает пустой бровзер (тренировался на еже).

У кого какие мысли есть?

а почему хотите все вещи с правами делать из той же учетки?
у вас разве хомяк, чтоб нельзя быоо иметь 2 учетки?
одна с правами и вы там. одна без и там родня. Уж пароль к своей учетке-то несложно запомнить..
я у себя сделал так, ток под линем..

bredych, обе для меня, больше никто сюда не вхож) На самом деле, попытка усреднить рекомендованную безопасность M$ вида "не в коем случае не сидеть под админской учеткой" с удобством работы на ПК. Тут больше вопрос не в "зачем", а в "как" :)