Запрет инсталляции программ юзеру в домене !!??

[openx]

Вопрос конечно глупый, но ... в груповых политиках чего?

ДОМЕНА АЛИ GPEDIT.MSC?

В моем домене все звери по-умолчанию не могут ставить ПО. Пишет - не достаточно прав на установку ПО.
Также не могут изменить время и вызвать половину оснасток. Насчет остального не смотрел - без надобности.
ВИН 2003 ЕЕ

А как тогда у тебя работают проги, которые как говорил Уважаемый gavron требуют контакта с реестром?

Ну например Citrix Metaframe Client.....
Тут проблема гораздо шире.

 

[lammer]

Доступ к реестру (каждой ветки отдельно) также регулируется безопасностью.
Пользователей можно поместить в групу которая будет иметь право на редакцию определенных веток реестра. Видел что-то вроде в политике, вот в какой не помню.
Сам таким не занимался.

 

[openx]

Доступ к реестру (каждой ветки отдельно) также регулируется безопасностью.
Сам таким не занимался.

Веришь/нет но не помогает, не знаю почему. Либо от того что эти изменения вносятся приложением, а не вручную, либо я туплю. Но там все просто, заморочек нет никаких.

 

[reZon]

Веришь/нет но не помогает, не знаю почему. Либо от того что эти изменения вносятся приложением, а не вручную, либо я туплю. Но там все просто, заморочек нет никаких.

Узнай в какие ветки реестра лезет прога, и открой на них доступ безопастности, разницы от того лезет сторонняя прога в реестр или regedit - нет.

2gavron
В gp точно можно настроить запуск только тех приложений(или директорий) которые не запрещены, то есть даем право на запуск из program files и запрещаем туда писать.... все, никто ничего больше не установит.

Нашел где
Конфигурация компьютера, конфигурация виндоуз, параметры безопасности, политики ограниченного использования программ.... дальше все понятно...

 

[SoftIce]

Есть такая хорошая программа как RemoteScope. Ставится удаленно на компьютеры в сети и регулярно производит опрос состава оборудования и установленных программ. При любом изменении в составе тут же админу на мыло отсылается письмо с подробным отчетом об изменениях в составе ПО и оборудования.

C таким же успехом можно воспользоваться Everest.
У него специальные функции инвентаризации и мониторинга изменений в системе (как харда так и софта).
Может работать в режиме службы и высалать список изменений на почту или нет сендом сразу как только они были сделаны.
Кстати инвентаризацию он может делать сразу на SQL сервер, достаточно указать ему формат базы.

 

[LeXuS_1]

gavron может просто можно с квотами на дисках юзеров поиграться?!

 

[gavron]

to LeXuS_1 Для чего ??? как с помощью квот можно решить данную задачу ??

 

[LeXuS_1]

У меня пока прокатывает: 20 мб на юзера и права пользователя(запрет на запись данных и дозапись).

 

[Crazy_lug]

Можно "завести" всех на терминал.

 

[wildman]

у меня юзера не могут ставить проги(сервера win2k), им сообщается что у них нет прав. Примерно 2 года назад ставил запрет через групповые политики(насколько помню)

 

[KelWin]

На _oszone.ru есть несколько статей на похожие темы, посмотрите тут _http://www.oszone.ru/4325/ например, там и по висте есть кое-что

 

[Ghost007]

А у Вас что, все пользователи на своих рабочих станциях администраторы?

 

[zeits]

А вот не подскажете ли начинающему админу:
В комп. классе десяток машин, сервер (Advanced 2000) - контроллер домена. Перемещаемые профили юзеров.
Нужно:
- запретить всем юзерам что-либо сохранять на локальной машине (все данные хранятся в именных папках на сервере)
- запретить юзерам инсталляцию программ
- одна группа (преподы) могут залезать в папки студентов
- группа "студенты" может залезать только в папки студентов (а лучше вообще только в свою, но тогда нужна общая папака обмена)
- изменённый юзером рабочий стол (иконки, обои) должен сохраняться в перемещаемом профиле и загружаться с любой машины домена

---

.Да, на локальных машинах - ХР (не нашёл опции копирования профиля на сервер). Когда загружаешься с доменным логином - по умолчанию меню ХРишное, переделываю в "классическое", захожу на другую машину - опять ХРишное! Это что ж - каждый юзер должен на каждой машине ручками переконфигурировать?

 

[Ghost007]

А вот не подскажете ли начинающему админу: В комп. классе десяток машин, сервер (Advanced 2000) - контроллер домена. Перемещаемые профили юзеров.

A. Я бы не стал делать на 2000-ом перемещаемые профили, особенно в компьютерном классе. Глючно там все было с перемещаемыми профилями.

Нужно:
- запретить всем юзерам что-либо сохранять на локальной машине (все данные хранятся в именных папках на сервере)
A. Запрещается через NTFS. Для автоматизации пишется скрипт.

- запретить юзерам инсталляцию программ
A. Простые пользователи и так не могут устанавливать программы. Если у них права Administrator на локальной машине, то смогут.

- одна группа (преподы) могут залезать в папки студентов
A. Дать группе (преподы) права на чтение на корневую папку, куда перенаправляются папки пользователей и распространить данное разрешение на подпапки. (Опять NTFS).

- группа "студенты" может залезать только в папки студентов (а лучше вообще только в свою, но тогда нужна общая папака обмена)
A. Если разрешить всем все читать - то Domain Usres дать права на чтение корневой папки, куда перенаправляются папки пользователей и распространить данное разрешение на подпапки.

- изменённый юзером рабочий стол (иконки, обои) должен сохраняться в перемещаемом профиле и загружаться с любой машины домена
A. Если это перемещаемый профиль, то оно просто переезжает...


Да, на локальных машинах - ХР (не нашёл опции копирования профиля на сервер).
А. А там ее и нет...

Когда загружаешься с доменным логином - по умолчанию меню ХРишное, переделываю в "классическое", захожу на другую машину - опять ХРишное! Это что ж - каждый юзер должен на каждой машине ручками переконфигурировать?

Просто вопрос - а с первой машины был ли произведен logoff ?

 

[zeits]

Просто вопрос - а с первой машины был ли произведен logoff ?

Да..., вот и не понимаю...
Перемещаемые профили я решил сделать чтобы избежать постоянного воя "...у меня нет иконки Total Comm...", "...я вчера на этой машине работал, у меня там сохранилось..." и т.п.

Я бы не стал делать на 2000-ом перемещаемые профили, особенно в компьютерном классе. Глючно там все было с перемещаемыми профилями.

Вообще я на сервак установил и 2000 и 2003, но пытаюсь настраивать 2000 - он как-то попривычнее... Советуешь 2003?