Приложения с повышенными правами
 

Народ, помогите разобраться. Что делать в домене, когда приложению для работы требуются админские права?

Пробовал в GPO настраивать политику ограниченного использования программ, добавляя пути с атрибутом "Неограниченно". Не помогает.

Компания - частная гимназия. Очень много всякого левого софта (обучающие диски, меди-библиотеки) от 1С, и КиМ. Традиционно такой софт делают через задницу и требует он повышенных прав пользователя для работы. Иногда удается решить проблему устоновкой такого софта в специальную папку на которую и юзверей есть полные права. Но чаще и это не помогает.

Как быть?

Установить весь софт, сделать образ компа. Дать админские права. При косяках восстанавливать машину за 15 минут.
Либо брать в руки filemon.ex, regmon.exe и работать (хотя на 100% это не поможет).

Основной софт на машинах регламентирован и у всех абсолютно одинаковый. Рабочие станции разворачиваются из настроенного готового образа через RIS сервер.

Левый же софт у каждого свой и появлется он со временем. Иторики купили какой-нибудь курс от 1С на дисках. В 90% курс этот админом запускается нормально. Пользователем либо не запускается вообще либо выдает кучи ошибок о невозможности доступа в разные места. В тех случаях когда требуется просто доступ на запись в папку программы, проблема решается наличием на каждом компе папки в которую у юзера полный доступ. Но зачастую эти... не знаю как их назвать умудряются делать софт который требует полного доступа к системным веткам реестра и права на запись в Windows или system32. Предоставить подобный достпу пользователям я не могу. Во-первых угроза безопасности, во вторых большинстов пользователей не шибко граммотных и дать им возможность писать в систему тоже самое что форматнуть винт самому и сразу.

Не может быть чтобы в домене не были предусмотрены возможности для запуска отдельных приложений в повышенными правами. Как вообще работаеют "Политики ограниченного использования программ в GPO"? В теории это именно то что нужно.

Но на практике добавляю правило по образцу (при включении этой политики в ней появляются предустановленные правила для запуска исполняемых файлов из ProgramFilesDir%, systemroot%) для путей программы которая не работает у пользователя. И ничего....

у меня похожая проблемка локально на компе все разрешается на реестр и папку...
а через гп тоже самое не хочет работать, на простые программки разрешения работают