Запрет на установку ПО. Active Directory
 

Доброго времени суток, всем форумчанам! На компах где есть 1с нельзя устанавливать какие-либо софты, программы и т.д. Но они тихо пользуются Теам Вьюер и прочими программами. Мне нужно сделать запрет на установку программных обеспечении(программ, софтов и т.д). Говорят убери со списка админов, то AppLocker. Как убрать привелегии администратора и дать простого юзера?
Поясните по порядку, а не "забери учетку администратора и дай простого пользователя и все". Как вы поняли я чайник в этом плане.

https://habrahabr.ru/post/101971/

Вот хорошая статья по настройке ограничений на запуск программ.


Если у Вас домен то там по умолчанию все юзеры не админы.

Статья очень хорошая, только там говориться об ограничении запускаемых программ. Меня интересует именно запрет на саму установку программ. К примеру в ходе установки: "У вас недостаточно прав на установку программы"

ernat_life, а что, исполняемые файлы инсталляторов чем-то отличаются от прочих исполняемых файлов? Что Вас смущает в применении SRP?

Уважаемый, вы извините настолько чайник, что даже элементарно не знаете, что Теам Вьюер наряду с многими другими программами работает безо всякой установки и даже без прав админа. Потому им и пользуются.
Вам придется через NTFS разрешения строго ограничить количество папок, куда ваши пользователи будут иметь права на запись файлов, чтобы они не могли приносить и копировать куда вздумается свои программы, что само по себе сложно, потому что придется проверять каждую программу, не залочили ли ей важную директорию с её временными файлами, иначе будут постоянно сыпаться ошибки о недоступности того или иного файла/папки и т.д.
И через SRP именно из этих папок вам нужно будет по маске запретить запуск любых исполняемых файлов типа D:\Files\*.exe. Либо по хешу, что сложно в силу огромного количества версий каждой программы. Либо по имени, что неэффективно, если пользователи просекут и начнут переименовывать екзешники.

А чем вам не нравится этот совет? Вы не знаете, где находится настройка прав пользователя? панель управления - учетные записи - изменить тип учетной записи - обычный доступ.

Пользуюсь SRP и все устраивает. Стоит запрет на все кроме исключений (путей,хэшей). Если нужно что-то поставить, запускаю ПО от имени админа и все устанавливается. Компов у меня 150+

По поводу ТимВьювера, Амми. Блокирую на уровне ДНС. Создал зону teamviewer.com и сделал А-запись на 127.0.0.1. Пока не видел случаи обхода. На прокси тоже блочится ТВ.

Антивирус какой стоит?
Если касперский. Им можно заблокировать запуск определенных программ которые не требуют права админа.

Я думал что учетную запись админа дают через Active Directory, спасибо что указали как это работает. Я думал что в настройках учетной записи "Администратор" только Я и нет смысла туда заходить. Оказывается все админы домена там.

NOD Antivirus 4

Пожалуйста, укажите ссылку про SRP. А то не ту информацию буду впитывать, что не даст конечного результата. Говорят в некоторых случаях team viewer могут запускать портативно. Как блокировать на уровне ДНС, я так думаю если таким способом перекрыть кислород, то никакие иные средства не помогут?!

Через GPO можно добавить админов доменных в локальную группу Администраторы на всех компах. Сделано для того чтобы например не хотите чтобы юзер был доменным админом НО был админом на компе(ах).

https://www.osp.ru/winitpro/2009/09/10695122

По TV я блокирую через днс. Создаешь зону teamviewer.com и прописываешь А-запись верхнего уровня например на 127.0.0.1
По портабельной версии: Проверил сейчас, SRP помогает в любом случае и блочит запуск данного ПО. Условие что юзер не админ.