Доброго времени суток, всем форумчанам! На компах где есть 1с нельзя устанавливать какие-либо софты, программы и т.д. Но они тихо пользуются Теам Вьюер и прочими программами. Мне нужно сделать запрет на установку программных обеспечении(программ, софтов и т.д). Говорят убери со списка админов, то AppLocker. Как убрать привелегии администратора и дать простого юзера?
Поясните по порядку, а не "забери учетку администратора и дай простого пользователя и все". Как вы поняли я чайник в этом плане.

Доброго времени суток, всем форумчанам! На компах где есть 1с нельзя устанавливать какие-либо софты, программы и т.д. Но они тихо пользуются Теам Вьюер и прочими программами. Мне нужно сделать запрет на установку программных обеспечении(программ, софтов и т.д). »

https://habrahabr.ru/post/101971/

Вот хорошая статья по настройке ограничений на запуск программ.


Как убрать привелегии администратора и дать простого юзера? »

Если у Вас домен то там по умолчанию все юзеры не админы.

Вот хорошая статья по настройке ограничений на запуск программ »
Статья очень хорошая, только там говориться об ограничении запускаемых программ. Меня интересует именно запрет на саму установку программ. К примеру в ходе установки: "У вас недостаточно прав на установку программы"

там говориться об ограничении запускаемых программ. »
ernat_life, а что, исполняемые файлы инсталляторов чем-то отличаются от прочих исполняемых файлов? Что Вас смущает в применении SRP?

Но они тихо пользуются Теам Вьюер »
Меня интересует именно запрет на саму установку программ »
Как вы поняли я чайник в этом плане. »
Уважаемый, вы извините настолько чайник, что даже элементарно не знаете, что Теам Вьюер наряду с многими другими программами работает безо всякой установки и даже без прав админа. Потому им и пользуются.
Вам придется через NTFS разрешения строго ограничить количество папок, куда ваши пользователи будут иметь права на запись файлов, чтобы они не могли приносить и копировать куда вздумается свои программы, что само по себе сложно, потому что придется проверять каждую программу, не залочили ли ей важную директорию с её временными файлами, иначе будут постоянно сыпаться ошибки о недоступности того или иного файла/папки и т.д.
И через SRP именно из этих папок вам нужно будет по маске запретить запуск любых исполняемых файлов типа D:\Files\*.exe. Либо по хешу, что сложно в силу огромного количества версий каждой программы. Либо по имени, что неэффективно, если пользователи просекут и начнут переименовывать екзешники.

Как убрать привелегии администратора и дать простого юзера?
Поясните по порядку, а не "забери учетку администратора и дай простого пользователя и все" »
А чем вам не нравится этот совет? Вы не знаете, где находится настройка прав пользователя? панель управления - учетные записи - изменить тип учетной записи - обычный доступ.

Пользуюсь SRP и все устраивает. Стоит запрет на все кроме исключений (путей,хэшей). Если нужно что-то поставить, запускаю ПО от имени админа и все устанавливается. Компов у меня 150+

По поводу ТимВьювера, Амми. Блокирую на уровне ДНС. Создал зону teamviewer.com и сделал А-запись на 127.0.0.1. Пока не видел случаи обхода. На прокси тоже блочится ТВ.

Антивирус какой стоит?
Если касперский. Им можно заблокировать запуск определенных программ которые не требуют права админа.

панель управления - учетные записи - изменить тип учетной записи - обычный доступ. »
Я думал что учетную запись админа дают через Active Directory, спасибо что указали как это работает. Я думал что в настройках учетной записи "Администратор" только Я и нет смысла туда заходить. Оказывается все админы домена там.

Антивирус какой стоит? »
NOD Antivirus 4

Пользуюсь SRP »
Пожалуйста, укажите ссылку про SRP. А то не ту информацию буду впитывать, что не даст конечного результата. Говорят в некоторых случаях team viewer могут запускать портативно. Как блокировать на уровне ДНС, я так думаю если таким способом перекрыть кислород, то никакие иные средства не помогут?!

Я думал что учетную запись админа дают через Active Directory, спасибо что указали как это работает. Я думал что в настройках учетной записи "Администратор" только Я и нет смысла туда заходить. Оказывается все админы домена там. »

Через GPO можно добавить админов доменных в локальную группу Администраторы на всех компах. Сделано для того чтобы например не хотите чтобы юзер был доменным админом НО был админом на компе(ах).

Пожалуйста, укажите ссылку про SRP. А то не ту информацию буду впитывать, что не даст конечного результата. Говорят в некоторых случаях team viewer могут запускать портативно. Как блокировать на уровне ДНС, я так думаю если таким способом перекрыть кислород, то никакие иные средства не помогут?! »

https://www.osp.ru/winitpro/2009/09/10695122

По TV я блокирую через днс. Создаешь зону teamviewer.com и прописываешь А-запись верхнего уровня например на 127.0.0.1
По портабельной версии: Проверил сейчас, SRP помогает в любом случае и блочит запуск данного ПО. Условие что юзер не админ.