[ShaddyR]

Цитата Busla:

зачем cmd и powershell запрещать бесправному пользователю? »

чтоб не было желания проверить свою бесправность и\или нанести вред - себе ли, системе ли, не важно. Кроме того, Busla, вспомни заданный ТС вопрос. Собственно, за этим. Среда работы пользователя должна быть подготовлена для него админом. Ее состав пользователь не может и не должен менять. Набор программ определен, их список регулируется специализацией. Ничего, кроме выделенного, доступно быть не должно. В противном случае - базар-вокзал, нехватка ресурсов и шифровальщик на сладкое.

[Iska]

И что должен пользовать администратор для:

Цитата ShaddyR:

Среда работы пользователя должна быть подготовлена »

в тех случаях, когда возможностей, предоставляемых посредством заданных профилей, групповой политики и предпочтений групповой политики тупо недостаточно?

[ShaddyR]

Цитата Iska:

что должен пользовать администратор »

ты в какой части рассуждения потерял его нить? Администратор пользует то, что ему удобно - он-то ни в чем не ограничен. Или я что-то пропустил в постановке тех.задания и у ТС все пользователи - администраторы? Тогда решение не сработает, вот и все. Точнее, не будет эффективным, по очевидным причинам. Встречный вопрос: что пытаешься доказать-то?

[Iska]

ShaddyR, вернёмся к нашим баранам — как исполнять logon/logout-скрипты под пользователем, если задать ему запрет на использование пакетных файлов, скриптов WSH и PowerShell? Я пытаюсь объяснить, что мы таким макаром не пользователя ограничиваем (пользователь всё равно дальше своего профиля не сунется, привилегий-то нет), мы администратору мешаем.

[ShaddyR]

Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу?

Цитата Iska:

как исполнять logon/logout-скрипты под пользователе »

->

Цитата ShaddyR:

DWORD-параметр DisableCMD = 2 - не? »

>

Цитата Iska:

пользователь всё равно дальше своего профиля не сунется, привилегий-то нет »

пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну.

[Busla]

ShaddyR, ты сам себе противоречишь, политика про которую ты твердишь (DisableCMD = 2) запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени.

Цитата ShaddyR:

Оставлять дырку в заборе со словами "та тут никто обычно не ходит" »

Как раз наоборот, это ты ориентируешься не на закрытие дырки, а на какие-то косвенные меры.

[ShaddyR]

Цитата Busla:

запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff. Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени. »

не понимание концепции не противоречит ее жизнеспособности. Твой случай. Еще раз, надеюсь последний: юзер НЕ должен САМ что-либо запускать. Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. Прекращайте рисовать непонимание очевидных вещей.

[Iska]

Цитата ShaddyR:

Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу? »

Я читал. И не могу понять. Пакетные файлы мы ему разрешаем исполнять — ну, и смысл запрета тогда в чём был?

Цитата ShaddyR:

пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну. »

Я свято верую в то, что либо мы используем существующую парадигму, либо меняем профессию. Дырки в заборе используют ошибки в существующем легальном программном обеспечении, в том числе и самой ОС, как, например, это было с обработчиком изображений в библиотеке WIA, как это было с обработчиком lnk-файлов, с обработчиком иконок и т.п. Понимаете? Не требовалось для этого ни пакетных файлов, ни скриптов, ни исполняемых файлов — достаточно было просто зайти в Проводнике в каталог с включённым отображением иконок, с включённым отображением превьюшек, просто попытаться запустить ярлык — и этого было достаточно.

Цитата ShaddyR:

Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. »

Поясните. Мне таковые не попадались.

Цитата ShaddyR:

Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. »

Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд.

[ShaddyR]

Цитата Iska:

Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд. »

Т.е. если я тебе скажу, что пользователю можно запретить запускать батники откуда-либо, кроме рабочего стола и никакие другие папки ему доступны не будут, равно как и возможности писать на рабочий стол у него нет - ты наконец уловишь идею?
Как дети, чесслово. Мне начало поднадоедать доносить простые вещи. Хочешь уяснить для себя что-то, выходящее за пределы твоего понимания - создай соотв. тему и задавай вопросы в ней. 17 сообщений оффтопа в теме не кажутся тебе перебором?