Цитата:
voron
что можно еще сделать
|
можно сделать
очень жестко:
Пуск - Панель управления - Администрирование - Локальная политика безопасности
В этой консоли:
1. Политики ограниченного использования программ - правой кнопкой мыши на Принудительный - в свойствах выбираешь "ко всем файлам программ, кроме библиотек" и "Для всех пользователей, кроме локальных администраторов" - Ок.
2. Политики ограниченного использования программ - Уровень безопасности - правой кнопкой мыши на Не разрешено - выбираешь пункт "По умолчанию" - Ок.
3. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути :
в Путь вписываешь - %WINDIR%
в Уровень безопасности - Неограниченный
4. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути :
в Путь вписываешь - %PROGRAMFILES%
в Уровень безопасности - Неограниченный
5. Каталоги %WINDIR% и %PROGRAMFILES% должны располагаться в
разделе NTFS, для них ты определяешь права доступа только для админа.
ВСЁ...
Что произойдет?
Уровень безопасности по умолчанию
запретит запуск любых прогамм из любого места для всех, кроме админа машины.
Для нормальной работы компа разрешен запуск программ из %WINDIR% и %PROGRAMFILES% (типа ворда, екселя и т.д.), но юзера не имеют прав на установку и удаление программ из этих каталогов.
Все концы отрублены, можешь спать спокойно...
Кстати, в домене это еще проще - создаешь объект групповой политики с такими свойствами и применяешь его к домену, не надо лазить на каждую машину....
