Как сделать доступ ко всем программам

Как сделать доступ ко всем программам
Как сделать доступ ко всем программам
Как сделать доступ ко всем программам
Как сделать доступ ко всем программам
Перейти из форума на сайт.




rip76

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На предприятии есть домен на Win2kServer, в его состав включены машины бухгалтеров, на которых есть полезные программы для работы и куча непотребных игр. Как ограничить(полностью запретить) доступ ко всем программам, кроме необходимых? Всего записей: 2 | Зарегистр. 18-11-2004 | Отправлено: 16:46 18-11-2004 | Исправлено: lynx, 01:51 24-11-2004 Leprecon

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Как ограничить(полностью запретить) доступ ко всем программам, кроме необходимых?
 
Создай OU в который будут входить компютеры бухгалтерии и пользователи из бухгалтерии. К этому объекту создай групповую политику. В этой политике можешь настроить какие программы можно запускать. Всего записей: 388 | Зарегистр. 22-08-2004 | Отправлено: 22:19 18-11-2004 merlkerry

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: На предприятии есть домен на Win2kServer,  
если я не ошибаюсь на W2K нет политик, которые бы ограничивали права пользователя на запуск ПО.
 
а вот в W2K3 это есть ----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений. Всего записей: 1517 | Зарегистр. 16-09-2002 | Отправлено: 12:11 19-11-2004 merlkerry

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Leprecon

Цитата:

ошибаешься. в WIN2k server политики на запуск ПО есть.
подскажи, плиз, где - вот у меня тестовый W2K Домен -  я зашел на DC - открыл default Domain Policy - куда смотреть дальше? ----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений. Всего записей: 1517 | Зарегистр. 16-09-2002 | Отправлено: 14:33 19-11-2004 locky

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору во 1-х
Default Domain Policy
Конфигурация пользователя\Административные шаблоны\Система
- выполнять только разрешенные приложения
- не запускать указанные приложения
 
во 2-х
cacls.exe "full\path\to\the\file.exe" /t /g .\Администраторы:f
это значит, что у останых не будет прав даже на чтение, т.е. сделать можно даже на Prof'ах, без всякого домена одними NTFS разрешениями. В этой теме http://forum.ru-board.com/topic.cgi?forum=8&topic=1908&start=20 есть почти готовый батничек... Всего записей: 100 | Зарегистр. 20-08-2003 | Отправлено: 15:16 19-11-2004 | Исправлено: locky, 15:21 19-11-2004 merlkerry

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Default Domain Policy
Конфигурация пользователя\Административные шаблоны\Система
- выполнять только разрешенные приложения
- не запускать указанные приложения
 
есть такое - запамятовал - тока в W2K єто обойти очень просто - например, простым переименованием файлов
 

Цитата:

во 2-х
cacls.exe "full\path\to\the\file.exe" /t /g .\Администраторы:f
это значит, что у останых не будет прав даже на чтение, т.е. сделать можно даже на Prof'ах, без всякого домена одними NTFS разрешениями
 
это тоже не большая беда, кроме того нужно знать, где юзверь хранит свое файло
 
для нормального решения этой траблы нужно либо сторонне ПО, либо домен с W2K3 сервером.
Можно и без W2K3 но все равно клиенты должны быть WXP или новее ----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений. Всего записей: 1517 | Зарегистр. 16-09-2002 | Отправлено: 15:48 19-11-2004 locky

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 merlkerry
1 - вопрос был
Цитата: Как ограничить(полностью запретить) доступ ко всем программам, кроме необходимых?
так что "выполнять только разрешенные". При этом указать полный путь к файлу.
2 - Юзер, если он юзер, должен хранить всё своё барахло в одном месте, которое ему укажет админ => остальное R/O.
 
2 Moderator'ы
IMHO
Слишком много не просто похожих, а практически одинаковых тем. Требуется часть закрыть/перенести. А еще лучше отрядить людей (именно несколько) для написания развернутого FAQ ... Гы... Всего записей: 100 | Зарегистр. 20-08-2003 | Отправлено: 09:09 22-11-2004 AlexSSS

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помимо администраторских мер, в фирме обязательно должны быть правила, в которых прописаны правила работы с компьютером и сетью, где самостоятельная установка любых прог запрещена. Несколько человек штрафанут за нарушение системной политики фирмы, после этого остальные начнут думать, а стоит ли самостоятельно ставить что-то на комп.
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 10:13 22-11-2004 rezets

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору помогите разобраться, раньше резал "запуск только определенных прог" через реестр, теперь требуется для упрощения работы резать через GP. итак, исх. данные: домен 2k3, контейнер групп, в этом контейнере нужная политика, направленная на определенную группу. задача: ограничить доступ запуска прог, за исключением выбранных. проблема: выставил ограничить все, за исключением, в паке доп. правила пытаюсь создать путь к разрешенным exe-шникам, и тут возникает трабл- exe-файл ищется только на домене, мне же нужно выставить путь на компах. т.к. у компов этой группы образ одинаковый, следовательно и путь одинаковый. и еще, если просто вклюаю "запретить все", то все равно политика не применяется, почему? я даже галочку поставил, чтобы эту полиси другие политики не перекрывали, а проги все равно запускаются. помогите плиз. и желательно без воды. на все доп. вопросы с радостью отвечу. Всего записей: 123 | Зарегистр. 05-09-2006 | Отправлено: 10:40 21-11-2006 | Исправлено: rezets, 11:05 21-11-2006 solvaig

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Люди добрые, помогите пожалуйста! Недавно устроился на работу админом, а мой предшественник перед увольнением что то сделал с пользователями нашего домена, и теперь у них нет возможности писать CD/DVD диски. Предполагаю, что это он сделал с помощью политик домена, но, покопавшись там, ничего вразумительного не нашел. Может быть не там искал - в политиках на контроллере домена, и ничего не нашел. Где этот злосчастный параметр, отвечающий за доступ юзеров к записи на диски??? Заранее благодарен. Надеюсь не оставите меня одного в беде
 
(перекопал полрунета, но либо слишком муторно все там пишут, либо вообще ничего не пишут. А надо срочно - нет времени писать длинные скрипты - надо быстренько пройтись по дереву политик, или реестра и поставить нужный параметр в нужное значение! ) Всего записей: 18 | Зарегистр. 10-05-2007 | Отправлено: 17:36 20-11-2007 kURONO

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Люди добрые, помогите пожалуйста! Недавно устроился на работу админом, а мой предшественник перед увольнением что то сделал с пользователями нашего домена, и теперь у них нет возможности писать CD/DVD диски. Предполагаю, что это он сделал с помощью политик домена, но, покопавшись там, ничего вразумительного не нашел. Может быть не там искал - в политиках на контроллере домена, и ничего не нашел. Где этот злосчастный параметр, отвечающий за доступ юзеров к записи на диски??? Заранее благодарен. Надеюсь не оставите меня одного в беде  
 
(перекопал полрунета, но либо слишком муторно все там пишут, либо вообще ничего не пишут. А надо срочно - нет времени писать длинные скрипты - надо быстренько пройтись по дереву политик, или реестра и поставить нужный параметр в нужное значение! )
 
Создай новое OU, и подключай к нему политики по очереди, на какой не будет записываться там и ищи.+ Посмотри logon сценарии, может он какой скрипт написал :wink
Всего записей: 124 | Зарегистр. 14-12-2006 | Отправлено: 13:51 30-01-2008 danygug

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору привет
домен 2к + хрюши
цель полностью запретить запуск и использование internet explorer. для этого я сделал груповую политику где запретил запуск виндос приложений iexplore.exe. все прекрасно сработало однако осталась маленькая проблема. если пользователь пытается запустить IE с рабочего стола или с старт-прорамы-IE то блокировка работвет. однако если пользователь запускает линки из фаворитов или создает shortcut на рабочем столе на гугл например, то блокировка не срабатывает и спокойно открывается IE.
как полностью заблокировать запуск IE при помощи руповых политик?
Всего записей: 52 | Зарегистр. 23-01-2004 | Отправлено: 16:03 19-10-2008 4kusnik

Full Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нашел такую штуку в AD как правила для хеша, которые позволяют запретить запуск программ.
Кто этим пользовался подскажите, пожалуйста, следующее по правилам для хеша:
1) Каким образом указать приложение запрещенное для запуска пользователем если на контроллере домена это приложение не установлено (ввиду того, что оно исключительно пользовательское)? Ведь при создании правило по хешу нужно указать приложение.
2) Как создать правило для хеша так, чтобы создать не список ограниченных для запуска приложений, а наооборот, список разрешенных для запуска приложений так, чтобы кроме разрешенных приложений пользователь не мог ничего запустить.
 
И еще, можно ли как-то запретить запуск portable программ? Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB. Всего записей: 463 | Зарегистр. 09-03-2008 | Отправлено: 20:26 12-12-2008 | Исправлено: 4kusnik, 20:29 12-12-2008 SeriusDanil

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4kusnik
В политике ограниченного использования програм устанавливаешь уровень безопасности по умолчанию "Не разрешено"
Затем создаешь новые правила для разрешенных программ по хешу или для пути.
По пути проще т.к. программу не обязательно устанавливать, достаточно руками прописать путь. Для запрета по хешу придется ставить программу, правда её потом можно удалить, после того как пропишешь политику. Всего записей: 371 | Зарегистр. 30-09-2005 | Отправлено: 23:45 12-12-2008 4kusnik

Full Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: В политике ограниченного использования програм устанавливаешь уровень безопасности по умолчанию "Не разрешено"
Затем создаешь новые правила для разрешенных программ по хешу или для пути.
По пути проще т.к. программу не обязательно устанавливать, достаточно руками прописать путь.  
Получается, что если сделать правило для пути, то изменении пользователем имени запускаемого файла программы правило работать не будет?
 

Цитата:

Для запрета по хешу придется ставить программу, правда её потом можно удалить, после того как пропишешь политику.
А будет ли работать правило для хеша на клиентских компьютерах, если при создании файла указывается программа, установленная на контроллере домена, а не на клиентском компьютере?
 
И еще, вобщем попробовал в GPO сделать так:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) В типе объекта принудительный выбрал: "Ко всем файлам программ" и "Для всех пользователей кроме локальных администраторов".
3) Никаких правил для разрешения не создал.
В итоге при попытке пользователя входа в систему происходит вход в систему и моментальный выход из нее.  
Что нужно разрешить, чтобы пользователь хотя бы в систему мог войти?
Всего записей: 463 | Зарегистр. 09-03-2008 | Отправлено: 17:59 13-12-2008 SeriusDanil

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4kusnik
А под локальным администратором можешь зайти? Если да, то копай в сторону автозагрузки для конкретного пользователя и системных процессов стартующих при входе в систему. Также смотри журналы безопасности системы какой процесс не смог получить доступ.
 

Цитата:

Получается, что если сделать правило для пути, то изменении пользователем имени запускаемого файла программы правило работать не будет?
 
Программы как правило чувствительны к изменению своего имени. Не думаю что большинство из них запустится с измененным именем.
 
Вообще разрешать пользователям устанавливать программы не есть хорошо.
 

Цитата:

А будет ли работать правило для хеша на клиентских компьютерах, если при создании файла указывается программа, установленная на контроллере домена, а не на клиентском компьютере?  
Будет. Хеш зависит от конкретного файла, а не от компьютера на котором он расположен. Всего записей: 371 | Зарегистр. 30-09-2005 | Отправлено: 12:13 15-12-2008 Raypase

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый вечер!
У меня возникла проблемка, я значит на своем компьютере поставил запрет на запуск всех программ кроме Оперы, через "Локальная политика безопасности" сейчас пробую снять запрет но ни могу запустить  
"Локальную политика безопасности" , через выполнить gpedit.msc тоже не запускается, реестор, и консоль тоже не работают... все время:  пишет операция отменена в следствии действующих для компьютера ограничений.  
Пробовал и через безопасный режим, то же самое...
Как мне сейчас убрать запрет?  
Спасибо заранее за ответ.
 
Всего записей: 1 | Зарегистр. 08-10-2010 | Отправлено: 18:47 08-10-2010
Имя: Пароль: Сообщение

Для вставки имени, кликните на нем.

Опции сообщения Добавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды

Переход по форумам   Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование



Рейтинг.ru Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам Как сделать доступ ко всем программам

Тоже читают:



Поздравление любимому мужчине с годовщиной свадьбы

Как самому сделать декоративную краску

Поздравления мужчине на 65 от детей и внуков

Люстра с светодиодов своими руками

Как сделать чтобы компьютер говорил при запуске