частичное блокирование доступа к ПО
 

С помощью какого ПО можно ограничить доступ к приложениям в Windows 2000 для своей учетной записи с правами локального админа на время отпуска при работе другого пользователя с моим логином?

Или с помощью какого ПО можно корректно поставить запрос пароля на *.exe и/или каталог в Win '2000 Pro?

mr_jok
Если пользователь не слышал про права доступа, то можно убрать у себя вообще все права на доступ к папкам программ, запуск которых надо ограничить, администратор всегда их может себе вернуть.

mr_jok, глянь тут.
А конкретно вот это:

Cartman, не смешно :) это же можно сделать через start > run > gpedit.msc. только:
If you enable this setting, users cannot run programs that you add to the list of disallowed applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe).

надеюсь, понятно, о чем речь. тем более, если под аком автора раздела заходить, а он админ, то админ в винде это вам не рут в никсе и может себе все права взять какие ему заблагорассудится :молись:

кстати, при любом запрете на любое приложение... его ведь и переименовать можно ;) имхо. дай лучше челу другой акк, а приложение, которое не хочешь, что бы запускал он закриптуй. а если ты на все *.exe поставишь, то при любом раскладе чел не залогинится, ехплохер тоже ехе :)

а еще лучше, напиши конкретно, что ты НЕ хочешь, что бы он запускал. и можно ли ему дать другой акк? :idontnow:

mr_jok можно поставить программу Desktop Lock Business, которая вообще запретит запуск программ, только тех что по списку. в итоге пользователь будет видеть голый рабочий стол и программы которые может запускать :biggrin:

имхо, при любом раскладе проги локающие другие проге (обычно это по названию файла) не могут запретить переименовать файл и запустить. а запретить переименовывать файлы, это не верная мысль :idontnow:

VanHelsing, в том то и дело, что это не запреты на определенные приложения, а разрешения. Если приложения не будет в списке - винда не позволит его запустить.

te zhe yaitsa, prostite, no vid s boku:
If you enable this setting, users can only run programs that you add to the List of Allowed Applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs such as Task Manager, which are started by the system process or by other processes. Also, if users have access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer.

Note: It is a requirement for third-party applications with Windows 2000 or later certification to adhere to this setting. Note: To create a list of allowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe).

razve chto razreshit' N-prog zapuskat' i zakryt' dostup k cmd :idontnow:

Можно, наверное, резюмировать:
1) встроенными средствами пользователю с административными полномочиями не запретишь что-либо запустить. То есть запретить можно, но он имеет возможность себе все вернуть в зад, если разбирается.
2) Можно какими-нибудь средствами третьих производителей запретить запускать существующие программы. Либо путем шифрации, либо каким-то еще. Но запретить администратору принести на флешке или просто поставить дополнительный софт - задача нереальная.
Отсюда:
1) Не давать ему админских прав. Создать для него отдельного юзверя. И запретить этому юзверю все, что необходимо.
2) Если п.1 не канает и если Ваш друг недостаточно остроумен, чтобы разобраться с GPO и реестром, то нужно следовать совету г-на Cartman или VanHelsing.
3) Если п.2 не канает, то единственный вариант - см п.1.

KomatoZo
Про мой пост не забыл? Очень даже действенно. Не каждый пользователь догадается как ему попасть например в папку System Volume Information :)

Madness
Я не люблю защиту, стойкость которай сильно зависит от ума взломщика. Но это мои тараканы, так, что можно и так. =)

KomatoZo
Ну если с такой колокольни смотреть, то физического доступа к компу с CD/usb достаточно чтоб стать на нем администратором со всеми вытакающими проблемами, не говоря уже про переустановку всего и вся. :)

Это намного проще отследить и потом, соответственно, сделать шею чистой. Впрочем если углубляться в такие дебри, то в любом мало-мальски стоящем учебнике написано, что тот кто имеет физический доступ к компу тот имеет к нему полный доступ. Аминь.