Другие разделы

Правила

FAQ

Пользователи

Комментарии

Друзья сайта

Flash Loops

RaceBook

Использование групповых политик в Windows для ограничения прав пользователей

Для урезания прав пользователей существуют различные типы учётных записей, но с помощью них нельзя всё настроить как захочется, к примеру в Windows XP, хотя в Windows 7 уже больше возможностей по настроке типов учётных записей...

Для помощи урезания прав пользователей в Windows существует специальная служба "групповые политики", с помощью которой можно настроить систему так, что Вашу операционную систему ни кто не сможет "испортить" :)

Сразу скажу, что в WIndows XP HOME нет такой службы.

Для запуска службы "групповые политики" нужно выполнить команду "gpedit.msc", без ковычек конечно же. Можно воспользоваться горячими клавишами и нажать Win+R и уже в появившееся окошко "выполнить" прописать gpedit.msc, после чего нажать на Enter либо на кнопку "Ok". Клавиша "Win" находится на клавиатуре снизу слева, на ней ещё эмблема виндовс, но а также правее пробела. Если Вы не можете найти эту клавишу, то нажимайте на пуск и выбирайте "выполнить" (Windows XP). Для Windows 7 нажимайте на пуск, выбирайте "все программы" -> "стандартные" -> "выполнить".

Так, теперь я буду описывать дальнейшее выполнение действия для Windows 7, так как нет под руками Windows XP, но различий в этой службе там не значительные.

После выполнения команды у Вас должно появится окошко "Редактор локальной групповой политики". Слева есть "конфигурация компьютера" и "конфигурация пользователя", мы будем работать только в конфигурации пользователя.

Сразу скажу, что выполняемые изменения будут применяться ко всем пользователям системы, даже для Администратора, то есть если вы ограничите к чему либо доступ через эту службу, то Вы автоматически лишите этих прав и Администратора :) Понятное дело, что это не есть хорошо, по этому мы пойдём на хитрость.

Для того чтобы ограничить доступ всем, кроме Администратора нужно действовать по следующему алгоритму:

  1. Изменить какие либо значения в групповых политиках;
  2. Выйти из системы;
  3. Зайти под всеми другими пользователями;
  4. Зайти под Администратором;
  5. Скопировать файл C:\Windows\System32\GroupPolicy\User\Registry.pol куда нибудь;
  6. Изменить все те значения, которые ограничивали (изменять значения на "отключить", вместо первоначальной "не задано");
  7. Обратно скопируйте файл Registry.pol в C:\Windows\System32\GroupPolicy\User\;
  8. Зайти под другими пользователями и убедиться, что у них всё "урезано", а у Администратора нет :)

Всё основное, так сказать, находится в административных шаблонах, по этому все значения будем менять там. Для того чтобы что-то ограничить, к примеру доступ к диспетчеру задач, заходим "конфигурация пользователя" -> "Административные шаблоны" -> "Система" -> "Варианты действий после нажатия CTRL+ALT+DEL" и выбираем "Адлить диспетчер задач", то есть кликаем два раза, либо нажимаем правой кнопкой и выбираем из меню "изменить", откроется окошко, где нужно будет выбрать "Включить", после чего "применить". Если всё сделано правильно, то Вы уже не сможете запустить диспетчер задач :)

В принципе нет смысла мне тут расписывать каждые "ограничения", ведь в самой службе и так всё хорошо расписано.

Приведу Вам пример, какие ограничения я выставлял в школе для обычных школьников для Windows XP Professional (всё находится в "конфигурация пользователя" -> "Административные шаблоны").

Система

  • запретить использование командной строки;
  • сделать недопустимым средства редактирования реестра;
  • отключить автозапуск.
  • Возможности CTRL+ALT+DEL:
    1. удалить диспетчер задач;
    2. запретить блокировку компьютера;
    3. запретить изменение пароль.
  • групповая политика:
    1. запретить интерактивным пользователям создавать данные результирующей политики (RSoP).
  • управление связью через Интернет -> параметры связи через Интернет:
    1. отключить веб-публикацию в списке задач для файлов и папок;
    2. отключить участие в программе улучшения подержки пользователей Windows messenger;
    3. отключить службу сопоставления файлов Интернета;
    4. отключить автоматическую загрузку кодеков для Windows Movie Maker;
    5. отключить веб-ссылки в Windows Movie Maker;
    6. отключить сохранение видео на вебузлах поставщиков видиохостинга...;

Сеть

  • автономные файлы:
    1. запретить пользовательскую настройку автономных файлов.
  • сетевые подключения:
    1. запретить дополнительную настройку TCP/IP;
    2. запретить доступ к команде "Дополнительные параметры" в меню "дополнительно";
    3. запретить добавление и удаление компонентов для подключений LAN или...;
    4. запретить доступ к свойствам подключений по локальной сети;
    5. запретить включение и отключение компонентов подключений по локальной сети;
    6. запретить доступ к мастеру новых подключений;
    7. запретить доступ к команде "Параметры удалённого доступа" в меню "Дополнительно".

Панель управления

Запретить доступ к панели управления.

Рабочий стол

  1. удалить команду "свойства"... (все 3 штуки);
  2. запретить пользователям изменять путь папки "Мои документы";
  3. запретить перетаскивание и закрытие всех панелей инструментов на панели задач;
  4. запретить изменение расположения панелей инструментов рабочего стола;
  5. удалить мастер очистки рабочего стола;
  6. убрать значёк "Сетевое окружение" из рабочего стола;

Панель задач именю

  1. удалить ссылки и запретить использование Windows Update;
  2. удалить "Сетевые подключения" из меню "Пуск";
  3. удалить значёк "Сетевое окружение" из меню "Пуск";
  4. запретить изменение параметров понели задач и меню "Пуск";
  5. запретить доступ к контекстному меню для панели задач;
  6. очищать список недавно открывшихся документов при выходе;
  7. отключить сокращённые меню;
  8. зафиксировать положение панели задач;
  9. удалить список часто используемых программ в меню "Пуск".

Проводник

  1. удалить команду "свойства папки" из меню "сервис";
  2. скрыть команду "управление" из контекстного меню проводника;
  3. удалить вкладку "Оборудование";
  4. отключить кэширование эскизов изображений.

Но при этом я ещё ограничивал права, на запись, на жёсткий диск С.

Обсудить на форуме

© Филимошин В. Ю., 2010

Комментарии

Нельзя групповыми политиками ограничить скачку файлов, нужно смотреть настройки самого браузера...

16:36:11 | 05/03/2015

ААА...Я чайник! Мне нужно установить ограничения на компы на работе (миниофис - про айтишников тут даже не слышали), стоит XP. Мне необходимо просто заблокировать скачивание каких либо файлов вне "Администратора". Помогитеее!!!
А с лепестками разобралась за час - почувствовала себя тупицей))

11:26:55 | 04/03/2015

Очень познавательно, спасибо!

07:06:49 | 27/02/2013

При чём тут лицензии, где деньги на "железо" для сервера?

04:25:30 | 02/09/2012

да брось те вы)) Там же лицензии сейчас даром почти)

13:42:27 | 31/08/2012

Не у всех школ есть возможность позволить себе сервер, чтобы на нём поднять AD...

04:47:17 | 19/08/2012

Не парьтесь херней, юзайте АД и будет всем счастье. Все вышеописанное - маразм. Кого-то с помощью ГП ограничивать в пределах дома - идиотизм, а в организашках (сколь-нибудь адекватных) используют АД или новелевые домены. Ну, еще бывают какие-нить никсовые контроллеры, на openLDAP.

07:34:59 | 17/08/2012

НЛО

06:04:53 | 05/07/2012

Установку программ можно запретить :)
На счёт батника - не знаю, но можно же просто копировать настроенный файлик (Registry.pol) в папку C:\Windows\System32\GroupPolicy\User\

17:16:38 | 27/12/2011

Ну а если не запуск, а установку программ можно же запретить?

Вопрос. Можно ли создать что то типа батника с такими значениями групповых политик. Что бы на каждом ПК не настраивать все по новому.?

09:45:20 | 27/12/2011

"запуск любых файлов с расширением exe" - пользователи вообще не смогут запускать ни какие приложения :) Windows какой?
На счёт запрета скачки - это в браузере нужно смотреть настройки...

11:48:04 | 25/11/2011

как запретить установку программ(запуск любых файлов с расширением exe)? и как запретить скачивать файлы из интернета

10:10:00 | 24/11/2011

Да, если следовать этому алгоритму, то всё получится.
Зачем это делать, а затем, чтоб администратору каждый раз не менять групповые политики, если нужно будет что-то установить и т.д., а так как в windows xp эти политики применяются ко всем пользователям, то так оно и будет, если не выполнить этот алгоритм.
Почему именно так? без понятия, просто нашли способ как это сделать вот и всё, возможно что windows гдето кэширует значения для активного юзера, который меняет в данный момент групповые политики, а для не активных в данный момент, он потом подгружает их из файла...

12:23:59 | 26/10/2011

По поводу алгоритма действия поясните пожалуйста. Т.е. я находясь под учеткой администратора зарезаю права в групповых политиках, затем выхожу из системы. Захожу под другим пользователем (он в моем случае единственный), выхожу из системы. Захожу Админом, копирую файл Registry.pol, меняю опять политики на "разрешающие", и возвращаю предыдущий Registry.pol? как то не понимаю этого шага ...

09:40:36 | 26/10/2011

Весьма убедительные аргументы, пожалуй, соглашусь. :)

04:26:51 | 10/08/2011

Это школа где нужно учится, а не заниматься всякой ерундой на компьютерах в учебное время.

07:31:08 | 07/08/2011

Бедные школьники, как представлю их, так плачу... xD
Это что за школа такая? Колония для несовершеннолетних? :)

02:29:40 | 07/08/2011

Вход

Логин:

Зарегистрировать

Пароль:

Забыли пароль?

запомнить

Пятнашки

1
4
2
5
13
12
9
3
7
6
11
8
14
10
15

Опрос

Как Вы узнали об этом сайте?

От админа (1035)

48.4%

От друзей (32)

1.49%

Поисковик выдал... (983)

45.9%

Увидел(а) на других сайтах (46)

2.15%

Другое (41)

1.91%

Случайное фото

Клавиатура

Счётчики

Яндекс.Метрика

Internet Map

Каталог@Mail.ru - каталог ресурсов интернет