Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » запрет на запуск любых программ кроме указанных

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5

Открыть новую тему     Написать ответ в эту тему

slay1212

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Они же локальные админы - с легкостью снимут все ограничения
Дело в том что админы домена д.б в группе локал админов - требование такое. Если выкинут - поимеют проблемы. Кстати как это можно проверить попроще в батнике?
Так что в принципе время от времени можно батником с сервака проверять наличие рестрикт ключей на игрухи и восстанавливать их при отсутствии. А если они не в домене в рабочей группе (у них по нескольку операционок, заходят под разными) тогда конечно никак  
 Ну а не для программеров ясно - можно просто поставить обычного юзера,  тогда они большинство левых программ не смогут поставить.  
 
Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 14:04 18-09-2008
veryom



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212

Цитата:
Дело в том что админы домена д.б в группе локал админов - требование такое. Если выкинут - поимеют проблемы. Кстати как это можно проверить попроще в батнике?  

"Группы с ограниченным доступом"? Максимум через 90 мин +- 30 мин после удаления все вернется на круги своя. Но это только в том случае, если пользователь не воспрепятствует выполнению групповых политик, а он может.

----------
Как обойти административные ограничения
Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:59 18-09-2008 | Исправлено: veryom, 17:19 18-09-2008
slay1212

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
veryom
 Спасибо большое. Узнать в домене, применяется ли на конкретной компе доменная ГП можно, если она отменена локадмином? Нужен какойто скрипт или есть штатные возможности.
Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 11:46 19-09-2008
fighter80

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rsop.msc
Всего записей: 6 | Зарегистр. 11-09-2008 | Отправлено: 18:31 19-09-2008
veryom



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212
 
Я вас, скорее всего, обманул с
Цитата:
"Группы с ограниченным доступом"? Максимум через 90 мин +- 30 мин после удаления все вернется на круги своя.
Извиняюсь.
На круги своя все вернется через 16 часов. См. http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=8921&start=820#20

----------
Как обойти административные ограничения
Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 19:56 19-09-2008 | Исправлено: veryom, 19:57 19-09-2008
slay1212

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fighter80

Цитата:
rsop.msc

  Я вообще то имел ввиду узнать с DC применяется ли на компе доменная политика. rsop может запускаться с другого компа?  
Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 11:22 22-09-2008 | Исправлено: slay1212, 11:35 22-09-2008
CtrlSoft



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для запрета запуска любого файла можно воспользоваться Faronics Anti-Executor. Можно создать "активный список" разрешенных программ и вуаля!
 
...К сожалению она не понимает досовские программы, мне нужно было дать доступ для Turbo Pascal, сколько не пытался не вышло    

----------
altruist | ctrlsoft.org
Всего записей: 432 | Зарегистр. 29-08-2008 | Отправлено: 17:31 21-02-2009
69anton

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212

Цитата:
Значит увы, как я и думал. Понизить права не получается юзеры - программисты, пишут и софт и дрова, в тч и на линуксе. Просто была мысль как то прибить хотя бы возможность  игрушек по заданному шаблону списку прог. Остается только файл реестра всем принудительно накатить с  рестриктами соответствующих прог, и периодически отслеживать его наличие  Опять же в нерабочее время разрешено играть . Так что и по времени привязывать надо.

 
 
slay1212 Я чють со стула не упал звини но это не твой уровень ты не сможешь ограничить доступ людям которые гораздо выше тебя по уровню знаний в данной облати , похоже на попытки 5 летнего ребёнка запретить своим родителям употребление акоголя.
 
И ещё как можно называть програмистов пользователями ? они профы . ты пользователь .
 
По теме поставить следящий софт онлайн скриншоты и один раз в 10минут и полный лог запускаемых приложений , закрытие программы слежения минус зарплата запуск игры минус зарплата 10 х рецыдив  и увольнение .  
Все проблемы будут решены  .
Какого  вобще запрещать игры в рабочее время если на работе нужно работать .
Всего записей: 28 | Зарегистр. 14-04-2008 | Отправлено: 05:02 18-04-2009
slay1212

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
69anton

Цитата:
 чють со стула не упал звини но это не твой уровень  
А ты уровень по почерку определяешь
 Конкретно , какой софт к примеру может решить задачу? Программы слежения все легко палятся - в смысле грамотный юзер заметит что его наблюдают, и без прав админа не поставишь.

Цитата:
И ещё как можно называть програмистов пользователями  

Ну не админы же они .  В принципе батник смотрящий процессы юзерой  и киляющие проги из запрещенных списков  ( pskill и пр.) может помочь. Ну и много играющий полюбому играть недолго будет
  Кстати по теме: для висты и 7 ки как я понимаю политику ограничения программ можно уже применять к отдельным пользователям, те более гибко.
   Еще вопрос - на первых страницах мелькало что на проги в systemroot все политики ограничения не будут действовать? Т.е. я не смогу запретить пользователю васе запустить к примеру net.exe ? НТФС права тут не помогут?
Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 15:25 17-09-2009
AmdAd

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Программка по теме:  
 
Process Blocker
 
http://www.processblocker.com/
 
Блокирует программы по имени исполняемого файла. Но стоит последить за ней, т.к. в планах разработчиков есть не мало интересных идей. Пока бесплатна.
Всего записей: 405 | Зарегистр. 17-01-2006 | Отправлено: 08:28 14-10-2009
ruslan910



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
 
Ситуация: есть WinXP, в домене. Контроллер под windows 2000 Advanced server. Сделал ограничение на запуск П.О. в локальных политиках XP. Поставил по умолчанию запрет всего, короме разрешенных программ. Применил (gpupdte). Применилось.  
Но есть одна проблема: если запускать разрешенную программу путем запуска exe-шника (например, перейти в c:\windows\notepad.exe и щелкнуть по нему), то программа запускается, а вот если щелкать по ярлыку - нет. Компоненты приложений разрешены, LNK в список разрешенных компонентов входит. Что я неправильно делаю?
 
 
Решил проблему созданием правила для пути вида "*.lnk:неограниченно".

 
Подскажите как решить это для DOS программ?
Всего записей: 428 | Зарегистр. 31-05-2008 | Отправлено: 19:56 07-12-2009 | Исправлено: ruslan910, 20:31 07-12-2009
cdrom2

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.  
Ищу совета.  
1.Необходимо запретить запуск одной (конкретной) программы при условии незапущенной другой (конкретной) программы.  
2.И  также при выгрузке одной (конкретной) программы (в т.ч. ее креш) обязательная выгрузка запущенной другой конкретной программы.  
Данная функция не должна сопровождаться никакими вспомогательными (дополнительными) действиями конечного пользователя.  
Или укажите нужную тему на ru-board-e...  
P.S. "одна (конкретная)" и "другая (конкретная)" не являются антивирусом, фаерволом и т.п.  
Спасибо.
Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 18:47 26-04-2010
Sinclair83

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, пожалуйста помогите. Вопрос по Висте. У самого её нима, потому к вам обращаюсь. Вобщем, кто бы мог сделать reg-файл для максимальной блокировки действий учётки. Проясню. Есть Виста. Есть 2 учётки (Admin и User). Права у обоих пока админские, ну это для насторйки сети и одного приложения. Вот. Хотелось бы увидеть reg-файл по нажатию на который всё лишнее из User'a убирается (скрыть всё по-максимуму рабочий стол (все иконки), изменение времени, запуск реестра что там ещё можно? да оставить в системном трее время и иконку подключения ЛВС, так сказать индикатор рабочего состояния, но запретить что-либо по нажатии по ним изменять и вообще заблокировать запуск любых сторонних приложений, да и внутрисистемных (карты, paint, cmd, calc, проводник e.t.c) кроме одной (трех) служебной программки). Так сказать исключение, которое(ые) можно заранее указать в reg-файле, подредактировав его. Желательно решение стандартными средствами системы (не инсталлировать никаких сторонних программ) и без применения брэнмауэра. Оставить только кнопку пуск с автозагрузкой,  в которой и будет сидеть одна программка и пункт смены пользователя. Ну и возможность (лазейку) чтобы вернуть всё в зад, то есть такой же reg, но отпирающий (unlock) учётку Узера, если потребуется что-то изменить. Естественно после этого (залочивания) зайдя из-под Админа к Узеру применить ограниченная уч. зап. из панели инструмнетов. Была когда-то такая утиль fitw. Более старые версии не требовали инстолла. При запуске считывала текущие установки реестра. Можно было предварительно считать и сохранить unlock. Но она не актуальна для Висты, а к тому же как-то глюковато работает с Вистой. В принципе блочит, но хотелось бы услышать совета кто такое уже проделывал, как и чем. На одной машине fitw не завелась - сразу error. На другой залоченного узера разлочил, сделал свои дела, хотел опять залочить ранее сохраненным профилем, причём этой же прогой этой же машины, а нне-е-т не хочет. Ошибка. Хотя после всех изменений перезагружался как положено.
Всего записей: 758 | Зарегистр. 07-01-2009 | Отправлено: 15:14 10-05-2010
attaattaatta



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sinclair83
 
Не прокатит такое, лучше включите user в группу гости.
 
Добавлено:
Плюс выполните gpedit.msc и посмотрите параметры.

----------
Фрилансю
Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 21:39 10-05-2010
Sinclair83

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
жаль что заблаговременно не получается заготовить такой файлик. а ситуация такая, что ставить своего ничего низззя и по времени работы ограничен (экспериментировать не дадут). комп-ы в работе отображают некий набор данных, который время от времени нужен для посадки ВС. отсюда и следуют эти вынужденные меры по ограничению прав. от греха подальше. дисп. состав в затылок дышит. естественно унести их все 5шт в одну свободную комнату и спокойно поработать никто не даст. потому-то и спрашивал про готовое решение. а реально ли тогда оставив все на виду (пусть облизываются) сделать запуск по хэшу только нужных пользователю программ. где-то здесь такое пробегало, видел. при помощи гр. политик говорят очень гибко (жестко) можно раздавать права. нужна конкретная инструкция. чтоб пришел и не плавая в настройках целенаправленно по шагам все скоренько заблочил ненужное.
Всего записей: 758 | Зарегистр. 07-01-2009 | Отправлено: 19:03 12-05-2010
Sergey_Gry

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня такой вопрос - как заблокировать инсталляцию или деинсталляцию любых программ на одном компе без настроек администратора.
Я знаю уже что есть такие проги как KillerWindow или Censor 2... но они платные и я рыл по всему инету и не нашел кряка. А если кряк нашел то проги нет ...
Подскажите плз. или ссылочку киньте ...
Спасибо.
Всего записей: 15 | Зарегистр. 12-11-2009 | Отправлено: 03:37 16-02-2011
CtrlSoft



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sergey_Gry
http://download.chip.eu/ru/Windows-SteadyState_1352301.html
Всего записей: 432 | Зарегистр. 29-08-2008 | Отправлено: 08:10 16-02-2011
StephanChur



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте!  
Как в "Запуск только разрешенные приложения Windows" указать сетевой выполняемый файл?  
\\fsc\Рабочие Программы\ARM.exe
не дает запускать  
если просто добавить ARM.exe то программа будет запускаться.
Надо что бы политика разрешала выполнять программы только с определенного сервера.
Спасибо!
Всего записей: 51 | Зарегистр. 26-02-2008 | Отправлено: 13:34 11-04-2011
Farch



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
единственный вариант ставить программы типа mcafee firewall
которые по md5 хешу дадут исполнять только разрешенные программы
остальное бред и легко обойти
Всего записей: 3211 | Зарегистр. 25-12-2001 | Отправлено: 12:51 14-04-2011
LlodikK



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, подскажите. Есть ли способ сделать себя не пользователем с ограниченными возможностями, а Админом, вопреки указаниям самих же админов? Просто ситуация такая: на работе приходится из-за этого идти к другому компу кто знает куда, чтобы запустить файл в печать. А если был бы полный доступ, то можно посылать этот файл прямо с моего компа. Так раньше и было, пока вредные админы зачем-то не внесли меня в список ограниченных пользователей.
Всего записей: 154 | Зарегистр. 03-02-2011 | Отправлено: 01:22 25-05-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » запрет на запуск любых программ кроме указанных


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru