Запрет на запуск игр на компьютерах входящих в домен Windows
 

Можно ли при помощи групповых политик в домене запретить пользователям домена (всем или группе) играть на своих компьютерах в штатные игры Windows (например пасьянсы) и как это эффективнее сделать.

Так же, как и запретить запуск какой нибудь программы.

Не совсем то, имеется в виду запретить запуск игр посредством групповой политики домена на компьютерах входящих в домен.

kapitanvagin, ну так запретите, что вам мешает?
Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Можно реализовать путем запрета доступа на файлы запуска игр. Или даже на папку с играми.

Например, в Win XP игры лежат здесь %SystemRoot%\system32\
И если мне не изменяет память, то игры запускаются со следующих файлов:
червы - mshearts.exe
Косынка - sol.exe
Сапер - winmine.exe
Солитер - freecell.exe

В Win 7 все стандартные игры запускаются отсюда
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games


Соответственно в политике выставить полный запрет на эти файлы или папку (даже системе и локальному админу) и применить политику к домену.

В теории все понятно, но не плохо бы это представить пошагово.

kapitanvagin,
Уважаемый капитан... В сообщении Petya V4sechkin, Вам дана ссылка на пошаговую инструкцию. Этого мало?

Короче, ничего действительно дельного так и не услышал, видно модераторы тоже не достаточно внимательно читают вопросы. Посему пришлось действовать эмпирическим путем и вот примерный алгоритм действий:
1) На контроллере домена заходим: Администрирование - Менеджер групповых политик, выбираем нужный лес и домен, раскрываем домен находим групповую политику по умолчанию, жмем на ней правой кнопкой мыши, выбираем пункт "Редактирование" (Edit).
2) Открывается окно редактора групповых политик в нем находим: Политика компьютера - Конфиграция Windows - Параметры безопасности - Политики ограниченного использования программ - Дополнительные правила.
3) В раскрывшемся окне жмем правой кнопкой мыши и в сплывающем меню выбираем пункт: Создать правило для хэша.
4) На любой из рабочих станций в домене открываем меню: Пуск - Программы - Игры и выбираем например пасьянс "Паук", жмем на нем правой кнопкой мыши и выбираем свойства. В окне "Рабочая папка" читаем: C:\WINDOWS\system32. Даем на эту папку доступ "Все", "Для чтения" (временно).
5) В окне "Содать правило для хеша" нажимаем "Обзор" и в сетевом окружении ищем данную рабочую станцию на ней дирректорию C:\WINDOWS\system32 а в ней выбираем файл, в данном случае spider.exe, при выборе автоматически заполняется форма хэша. Выбираем опцию "Не разрешать".
4) Далее соответственно "Применить" - "ОК". Смотрим окно дополнительных правил, где появляется правило запрещающее запуск файла spider.exe на компьютерах - членах данного домена, характеризющее изменение групповой политики по умолчанию.
5) После перезагрузки всех рабочих станций домена данное правило о запрете на запуск "Паука" будет на них соответственно действовать.
Сразу хочу оговорится, что этот метод является далеко не идеальным и представляет собой всего лишь "Защиту от добрых дураков", поскольку продвинутый юзверь сможет его обойти если возьмет файл из другой версии ОС.
Но это уже частности, в любом случае метод представляется мне достаточно простым и эффективным, кто имеет, что предложить, прошу высказываться.

Интересно, а почему на практике сие не выполняется, сам проверял. Тот же спайдер на рабочей станции спокойно запускается с флешки. Хотя политики прописаны по вышеописанному алгоритму и из рабочей папки игра не запускается. В чем загвостка???

Могу предположить только, что файл запускаемый с флешки был создан на другой сборке (версии) ОС, а следовательно представляет из себя уже другую программу, а значит правило хэша на нее не распространяется. Какие есть мнения?

Нет не распространяется) Это действительно другая ОС, так что нужно подстраивать под вашу)
















польза груши

Ваша проблема в том, что вы пытаетесь блокировать приложения методом "чёрного списка", внося туда только заранее обозначенные программы. На самом деле, безопасность всегда достигается только методом "белого списка", когда блокируется вообще всё без исключения, кроме разрешённого для запуска.

В вашей ситуации следует включить политику в режиме "белого списка", чтобы однозначно заблокировать запуск любых программ с флешек, а также дополнительно внести в "чёрный список" встроенные в систему игры.

В силу ряда причин, в упоминаемой сети подобное не приемлемо.

Тогда можете особо не стараться. Любой желающий сможет запустить всё, что душе угодно. Обойти "чёрный список" — как два байта переслать.

Не внимательно читаете, мои предыдущие ответы, где я упоминал про защиту "от добрых дураков".