Нужно сделать ограничение пользователю компьютера

[JGit]

Кто знает как сделать подскажите пожалуйста.
Операционка ХР.
Нужно человеку который будет работать за компом. Открыть доступ только к одному сайту и одной программе, чтобы он не мог ничего установить и пользовавтся. Ну и естственно в инете не лазить.
Как это сделать
Спасибо за ваши ответы.

[][irurg]

Цитата:

Сообщение от JGit

чтобы он не мог ничего установить и пользовавтся.

дать ему права пользователя

Цитата:

Сообщение от JGit

Открыть доступ только к одному сайту и одной программе

тут помогут политики запрета ПО (restricted policy)

[JGit]

][irurg, дать права пользователя. - это понятно.
а вот с политекой запрета ПО можно поподробнее. Это где вообще??

[X0R]

JGit, в групповых политиках
пуск - выполнить - gpedit.msc

[JGit]

создал учетную запись с провами пользователя. установку некоторых програм он блокриует, а некоторых - нет.
Как сделать чтобы все блокировал?

[JGit]

X0R, пуск - выполнить - gpedit.msc - не нашел там пункт похожий на : ограничение установки программ?
что именно там изменить?

[JGit]

все разобрался. всем спасибо за помощь

[JGit]

только такой момент.
Отключил использование всех дисков на компе. Так винда еще на учетной записи администратора отключила диски тоже.
Как сделать чтобы у администратора она работала?

[inet-pioner]

Цитата:

Сообщение от JGit

Нужно человеку который будет работать за компом.

Цитата:

Отключил использование всех дисков на компе.

аааааа, только мазохист сможет работать на твоем компьютере )))
JGit, дай ты права пользователя данному человеку и права записи туда куда ты считаешь нужным и все!

[X0R]

inet-pioner, +1

JGit, о правах доступа к NTFS разделам речь идет, если че)

[JGit]

люди, да как это сделать!!!нифига не понимаю.
Создаю пользователя даю ему права пользователя. Пробую установить программы 50% из них легко устанавливаются.
Как запретить установку программ?

[X0R]

JGit, тыб определился, что тебе нужно. Запретить установку всех программ не получится, многие инсталяторы по сути самораспаковывающиеся архивы. Распаковались и считай установлено. И им пох на права админа. Делай так:

Цитата:

1. Панель управления -> Администрирование -> Локальная политика безопасности -> Политики ограниченного использования программ -> Дополнительные правила.
2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.
3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.
4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.
5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.

[Part!zan]

X0R, так это че, каждый конкретный файл надо запрещать? Имхо, неудачный вариант...
JGit, запрети пользователю доступ на запись везде, кроме каталога его учетной записи (в Documents and settings) и выставь ему квоту на дисковое пространство чуть больше, чем этот каталог занимает. Правда, могут быть всякие глюки...

[JGit]

смысл такой: на компе пользователь может залазить только на один сайт и пользоваться только одной программой, больше ничего делать не должен. вот это хотелось бы по проще.
с сайтом разобрался. - в настройках эксплоера.
осталось с использованием только одной проги.
X0R по одному тоже не вариант запрещать.
Part!zan с удовольсвием, но как это сделать?

[X0R]

Part!zan, там можно настроить политику по хешу файла. Никакие переименования не помогут. К тому же не нужно запрещать все проги. Достаточно указать разрешенные, те которые не разрешены - просто не запустятся.
JGit, если смотреть самостоятельно лень, то никто вам не поможет. Достаточно уровень безопасности выбрать "Запрещено" и все ваши вопросы решатся.

[Part!zan]

Цитата:

Сообщение от X0R

Достаточно уровень безопасности выбрать "Запрещено"

если я правильно все понял, то админы тоже не смогут ничего запускать...

Цитата:

Сообщение от JGit

как это сделать?

Разрешения - правой кнопкой по папкам-файлам, свойства - безопасность. Дисковые квоты - свойства диска. Естессно, файловая система д.б. нтфс.

[shuri]

Извращенцы :-)
http://pisoft.ru/

[][irurg]

Цитата:

Сообщение от Part!zan

если я правильно все понял, то админы тоже не смогут ничего запускать...

админы смогут выключить эту политику и нормально работать

Цитата:

Сообщение от shuri

Извращенцы :-)http://pisoft.ru/

очень любопытный сайт

[Part!zan]

Цитата:

Сообщение от shuri

Извращенцы :-)

это ты про авторов сайта? )

][irurg, это некузяво, все время включать-отключать...

[X0R]

Part!zan, имхо если там покапаться, то можно найти более оригинальное решение. на вскидку - запретить запуск отовсюду, кроме програмфайлз и на эту папку права доступа выставить

[inet-pioner]

можно заюзать такой флажок первый скрин
вот как у меня в 2003 винде

Цитата:

Ограничивает список программ, которые пользователи могут запускать на этом компьютере.
Если эта политика включена, пользователи могут запускать только программы, которые были включены в список разрешенных приложений.
Эта политика ограничивает только выполнение программ, запускаемых процессом "Проводника" Windows. Она не запрещает выполнять другие программы, такие, как "Диспетчер задач", которые запускаются с помощью системного процесса или с помощью иных процессов. Кроме того, если пользователям разрешен доступ к окну командной строки, CMD.EXE, то эта политика не запрещает им запускать из окна командной строки те программы, которые им не разрешено запускать с помощью "Проводника".
Примечание: к программам сторонних разработчиков программ для Windows 2000 или новее предъявляется требование следования этой политике.
Примечание: чтобы создать список разрешенных приложений, нажмите "Показать", затем "Добавить", и введите имена исполняемых файлов приложений (например, Winword.exe, Poledit.exe, Powerpnt.exe).

[Part!zan]

X0R, имхо, все равно юзер может извернуться и установить прогу в разрешенную папку. В тот же профиль... Можно поступить комплексно: запретить запуск и ограничить квоту на диске. Но все равно, 100% гарантии не будет. Или можно так назапрещать, что винда вообще работать перестанет нормально...

[X0R]

Part!zan, а зачем разрешать запуск из профиля? Програм файлз достаточно. А из под ограничений НТФС он никуда не денется. Хотя конечно это все пробовать надо, да и уровень юзера знать.

[Part!zan]

X0R, да я профиль просто так привел... В качестве примера. Еще есть папка temp, ее запрещать нельзя, иначе могут всякие забавные и не очень глюки начаться. Короче, дело не самое простое. Но насчет уровня юзера ты прав, надо проверять на практике.

[X0R]

Part!zan, ды не.В настройках политики указывается откуда возможен запуск exe. Доступ к этим папкам то не запрещается. Например картинку туда копирнуть или музычку пожалуйста. А вот exe запустить хрен.

[Part!zan]

X0R, ну а папка темп? Из нее запуск, афаик, нельзя запрещать.

[X0R]

Part!zan, хм, а че оттуда запускается то? Ну распаковывают туда временные файлы инсталяторы и оттуда запускают, а еще что?

[X0R]

Africa, про что именно? Про политики в справке виндовой, там в принципе понятно все

[inet-pioner]

Africa, Microsoft Corporation Microsoft Windows XP Professional. Учебный курс MCSA MCSE
+ справку винды которую вам уже советовали
+ можно журналы хакера почитать, в разделе администрирование

[Part!zan]

Africa, вдобавок к вышеперечисленному, желательно еще и практиковаться. Пытаться решать проблемы самостоятельно. Книжки это хорошо, но практики они не заменят.