Ограничения для пользователя на запуск программ.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Мне необходимо ограничить пользователя так чтобы он смог запускать только определенные программы.
Пользователь зарегистровани в домене. Подобное ограничение я могу наложить через групповую политику домена, но оно распространяеться на всех пользователей домена а мне надо только на одного. Есть вариант через policy.exe но по опписанию оно не подходит для 2000 клиентов, т.к коставлено лиш для 9х клиентов.

Групповая политика - это политика для групп. Сделай для него отдельную группу и примени к ней политики.

каким образом?
в default domian policy выбора групп нет
включить в оснастку  безопастности на основе групп тоже нет возможности

Может, поможет...

В Windows есть возможность разрешить запуск только указанных программ. За это отвечает параметр в реестре. "0" - можно запускать все программы, "1" - можно запускать только разрешенные программы.

Разрешение на запуск всех программ
Адрес [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Параметр RestrictRun (DWORD)

Чтобы указать программы, которые можно запускать, необходимо создать список параметров в реестре

Список программ, разрешенных к доступу
Адрес [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]

Имена параметров - последовательно возрастающие натуральные числа, начиная с "1". Значения параметров - имена программ, разрешенных к запуску. Имена нужно вводить без пути к файлам, что позволит запускать их из любого каталога. В первую очередь в список нужно добавить системные программы, например, "regedit.exe". К сожалению, эту защиту можно легко обойти, переименовав программу, которую необходимо запустить, в изначально разрешенную к запуску.

Ну для этого надо получит (придти на компьютер) к компу
и в таком случае лучше просто закрыт доступ  каталогам "запретным" на чтение. Но это плохое решение.
А ведь контроллер домена на то и контролер чтоб решать эти задачи не шатаясь по компьютерам пользователей

AlexF
То, о чем пишет Barmaley я решал на NT 4 Server. Только без правки реестра руками. Специальная остнастка делала то же самое, назначались разрешенные на запуск программы. И эти политики назначались группам. Хранилось это все в файлах .pol. Применялось централизованно, ни на накие рабочие станции лезть было не надо. На 2000 Server пока необходимости это делать не было, но я не думаю, что этот механизм утрачен. Но обход этого дела довольно простой - как пишет Barmaley. Хотя таких продвинутых юзеров у меня в свое время не нашлось :biggrin:

ALL
Это только на EXPLORER действует.
Из CMD этого ограничения нет, естественно.

По поводу действия только на explorer это не верно это также дейсвует и на cmd , единстенно если разрешить запускать cmd то тогда с нее можно запустить уже любое приложение.
Со старыми ОС все понятно и просто там дейсвительно можно подобное сделать через .pol. Но как для 2000?
Есть возможность создания/редактирования .adm но чет это все сложно для тривиальной задачи.

Добавлено:

впринципе половинчатое решение есть
через mms - group policy и выбирать комп
но
1 комп должен быть включен
2 это распространяеться только на это комп
а хотелось всеж унивирсальное решение для пользователя, не зависящее от рабочего места

AlexF

Цитата:

По поводу действия только на explorer это не верно это также дейсвует и на cmd , единстенно если разрешить запускать cmd то тогда с нее можно запустить уже любое приложение.

Вы вообще, внимательно читаете, что написано?

Короче, чтоб не было непонимания.

Описанная политика - ОДНА. Неважно, через pol или adm или reg или руками в реестре она натянута.
Данные эти читает только библиотека оболочки. Потому, если запуск осуществляется из любой программы, не использующей этот механизм оболочки - эта политика не проверяется. Это верно не только для CMD, но и для Far и для чего угодно.

Зато есть способ, как ЗАПРЕТИТЬ, причем надежно, запуск программы по ИМЕНИ. Все системы NT поддерживают настройки опционального отладчика (и не только) для отдельной программы, надо просто в качестве этого отладчика написать какую-нибудь безобидную программу.

Делается это в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Там создается подраздел с именем программы, и в нем параметр Debugger с именем программы. То, что хотели запустить, передается в программу через командную строку.

Реализовано это на уровне ntdll.dll, так что никакие программы (кроме тех, что совсем низкоуровнево процессы создают) это не обойдут, CMD и Far и все остальные к таким хакерским вещам никак не относятся.

А не подскажите вот такое дело. Есть домен и есть групповая политика, так вот как при помощи нее запретить юзерам копировать на свои компы файлы *.mp3 , *.avi и .т.п. Получается чтобы они не могли к себе их копировать, а скаже на серваке слухайте на здоровье. Можно такое осуществить ? Т.к. пошарив я чтото не нашел такой возможности, а может просто плохо глядел.