Запрет инсталляции программ юзеру в домене !!??

[gavron]

Имеется домен поднятый на основе Windows 2003 R2 Eng (поднят AD, DNS). C помощью груповых политик домена настроил так чтобы пользователи на своих ПК не могли менять настройки рабочего стола, сетевого подключения, вообщем почти всего ... что им ненужно.... но вот хочется запретить инсталляцию программ на ПК находящихся в домене (будет установленно только ПО необходимое для работы)... искал в груплвых политиках не нашел (хотя может плохо искал или не там) Прошу помощи знающих людей !!! заранее спасибо

 

[Vicci]

Обсуждалась недавно эта проблема вот здесь

_http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=929133&SiteID=40&PageID=0

Рецептов описано несколько, посмотри может поможет!

 

[gavron]

Чесно говоря там конкретного решения я так и ненашел (((

 

[okun]

Понравилась фраза

При этом следует учитывать тот факт, что пользователи обычно очень изобретательны

Также следует учесть, что наш пользователь хитер, коварен и дьявольски умен

По теме думаю, что хорошим подспорьем окажутся орг.меры и контроль их исполнения, лучше автоматический с уведомлением на мыло (анализ лог файлов).

 

[openx]

Эххх, до боли знакомая проблема.

Определенный вариант решения проблемы следующий (так сделано у меня):
1. Создаешь контейнер для компьютеров пользователей.
2. Перемещаем туда необходимые копьютеры.
3. Создаем групповую политику:
Конфигурация компьютера - Административные шаблоны - Windows Installer
Computer Configuration - Administrative tools - Windows Installer

Отключить Windows Installer - Да
Disable Windows Installer - Yes

Также если не отключать саму службу, можешь поиграться с другими настройками.

И поверь мне - они уж без тебя ничего не смогут поставить А если чего горит, то всегда можно компьютер из "нашего" контейнера переместить в первоначальное место и Run - gpupdate /force


А так если права юзверя на машине как Пользователь, то ему и так будет проблематично поставить проблемные тузлы

Но как справедливо заметил Уважаемый ТоВарИсчЬ okun "аш пользователь хитер, коварен и дьявольски умен" может легко запустится с сидюка и сбрость пасс локального админа, но тут как вариант отключение подобных девайсов + установка пароля на BIOS.

Удачи, если что пиши, решим проблемму совместно.

 

[okun]

Если отключить Windows Installer, тогда возникнут проблемы по крайней мере с автоматическим обновлением. Да и самому админу будет неудобно что-нибудь поставить при необходимости.

Вот поработать с настройками политики Installer'а было бы интересно.

 

[115580]

Недопуск пользователя к реестру + перекрытие всей панели управления приведет к значительному сокращению программ для установки - тока те, что переписал и запустил... а для этого можно и "запускать только данные приложения" выставить... правда всегда найдется умник, который CMD назовет winword... вообще - самая адекватная мера - это подмена GUI + ограничения на папки - в R2 вроде с этим полегче, особенно если файловые системы имеют одинаковую структуру

 

[SoftIce]

Плюс программа DeviceLock устанавливаемая через Групповые Политики поможет отключить все ненужные устройства. Чтоб не лазали куда попало

 

[gavron]

Реестр не подходит, так как пользователи работают с парочкой программ которые работают с реестром (вносят изменения в реестр) ... насчет Windows Installer не все инсталяшки используют его, так что это не полностью решает проблему....а вот создание политик на запуск конкретных приложений это гуд. Но я пошел по другому пути создали внтренний документ который регламентирует действия пользовтеля в ЛС и работе на ПК При попытке нарушить правила сразу же служебка руководству (думаю так будет эффективней)

 

[okun]

Есть такая хорошая программа как RemoteScope. Ставится удаленно на компьютеры в сети и регулярно производит опрос состава оборудования и установленных программ. При любом изменении в составе тут же админу на мыло отсылается письмо с подробным отчетом об изменениях в составе ПО и оборудования.

 

[openx]

заливай на рапиду, опробую. А то сейчас инвентаризацию все равно делать надо. Заодно и "правила пользования" напишу и опробуем на деле.

 

[gavron]

Только желательно программу в полном комплекте

 

[okun]

Какие вы Полную уже 2 года ищу время от времени. А так - только на 5 юзеров есть. Не обещаю, но возможно что-нибудь придумаю...

Если кто знает аналоги ей - пишите...

 

[openx]

хмммм, довай на 5 пока что-ли.... хотя у меня их 155 ровно! )))) Но надо попробовать.....

 

[lammer]

искал в груплвых политиках не нашел (хотя может плохо искал или не там)

Вопрос конечно глупый, но ... в груповых политиках чего?

ДОМЕНА АЛИ GPEDIT.MSC?

В моем домене все звери по-умолчанию не могут ставить ПО. Пишет - не достаточно прав на установку ПО.
Также не могут изменить время и вызвать половину оснасток. Насчет остального не смотрел - без надобности.
ВИН 2003 ЕЕ

 

[openx]

Вопрос конечно глупый, но ... в груповых политиках чего?

ДОМЕНА АЛИ GPEDIT.MSC?

В моем домене все звери по-умолчанию не могут ставить ПО. Пишет - не достаточно прав на установку ПО.
Также не могут изменить время и вызвать половину оснасток. Насчет остального не смотрел - без надобности.
ВИН 2003 ЕЕ

А как тогда у тебя работают проги, которые как говорил Уважаемый gavron требуют контакта с реестром?

Ну например Citrix Metaframe Client.....
Тут проблема гораздо шире.

 

[lammer]

Доступ к реестру (каждой ветки отдельно) также регулируется безопасностью.
Пользователей можно поместить в групу которая будет иметь право на редакцию определенных веток реестра. Видел что-то вроде в политике, вот в какой не помню.
Сам таким не занимался.

 

[openx]

Доступ к реестру (каждой ветки отдельно) также регулируется безопасностью.
Сам таким не занимался.

Веришь/нет но не помогает, не знаю почему. Либо от того что эти изменения вносятся приложением, а не вручную, либо я туплю. Но там все просто, заморочек нет никаких.

 

[reZon]

Веришь/нет но не помогает, не знаю почему. Либо от того что эти изменения вносятся приложением, а не вручную, либо я туплю. Но там все просто, заморочек нет никаких.

Узнай в какие ветки реестра лезет прога, и открой на них доступ безопастности, разницы от того лезет сторонняя прога в реестр или regedit - нет.

2gavron
В gp точно можно настроить запуск только тех приложений(или директорий) которые не запрещены, то есть даем право на запуск из program files и запрещаем туда писать.... все, никто ничего больше не установит.

Нашел где
Конфигурация компьютера, конфигурация виндоуз, параметры безопасности, политики ограниченного использования программ.... дальше все понятно...

 

[SoftIce]

Есть такая хорошая программа как RemoteScope. Ставится удаленно на компьютеры в сети и регулярно производит опрос состава оборудования и установленных программ. При любом изменении в составе тут же админу на мыло отсылается письмо с подробным отчетом об изменениях в составе ПО и оборудования.

C таким же успехом можно воспользоваться Everest.
У него специальные функции инвентаризации и мониторинга изменений в системе (как харда так и софта).
Может работать в режиме службы и высалать список изменений на почту или нет сендом сразу как только они были сделаны.
Кстати инвентаризацию он может делать сразу на SQL сервер, достаточно указать ему формат базы.