Шаг влево, шаг вправо - а некуда.

[Biotech]

Господа админы! Вопрос на миллион долларов.
Существуют ли в природе программы (надстройки?), позволяющие поразить юзера в правах без длительного и утомительного руления политиками? Ибо политика элементарная: юзеру нельзя ничего, кроме того, что у него уже запущено (либо находится в ярлыках на десктопе). Все остальное от него необходимо спрятать. Меню "пуск", диски, файлы, диспетчер задач, ВСЁ. При этом нужно, чтобы администратор путем нехитрых манипуляций мог быстро эту блокировку снять, подшаманить чего нибудь и опять включить. Ведь есть же такое? Что-то подобное я наблюдал в компьютерных клубах.
Особой антихакерской защиты не требуется. Это больше защита от дурака.

p.s. поле битвы: АРМ-ы охранников под Windows 2000.

[FilippOk]

Ох... как я тебя понимаю. Сейчас сам этим занимаюсь, только у меня АРМы сбора данных на автостанциях и кассирши...
Короче, я это дело решал так.
Создаём двух юзеров: админа и юзера.
Админу - всё, юзеру - ничего.
Лезем админом в юзерские права и отключаем там всё до чего дотянемся.
Потом лезем в исключения и добавляем разрешённое в качестве исключения из правил.
Выходим из админа, лезем юзером, проверяем.
Если что не пашет - повторяем процедуру в админе.

Проще пока не умею.

[orthodox]

Навскидку - ограниченное использование программ, уровень по умолчанию - "не разрешено", т.е. всё-таки - политики.

[naryv]

У нас есть подобная программа, на выставках используется, позволяет работать только одной программе, когда из неё выходят- перезапускает, в десктоп, меню пуск и т.д. не пускает, не позволяет переписывать инфу на флэшки и т.д. . Т.е. подобные программы существуют, но в данном случае - это разработка под собственные нужды, насколько я понимаю, и достать её вряд-ли где-то можно.

[olegkirillov]

Запустите Remote Desktop, в качестве shell укажите батник, который запустит нужную программу (программы) и все - explorer.exe отдыхает, никаких кнопок/иконок на столе нет. И полноценный писюк охраннику ставить незачем.

[Biotech]

На АРМ-ах используется весьма мощный софт, который требует полноценного писюка. Я бы и сам рад сгрести всех на терминальном сервере и бед не знать.

В результате поисков наткнулся сегодня на Security Administrator 11.4. Комментарии на софтодроме весьма лестные. Поставил, покрутил - вроде бы это самое оно. Буду пробовать в деле.

[FilippOk]

Security Administrator, говоришь...
Тоже полез рассматривать, спасибо за наводку.

[Kmett]

Security Administrator, говоришь...
Тоже полез рассматривать, спасибо за наводку.

Полез туда же ....
Вообще проблема очень актуальная Шаловливые ручки страшнее кипящего чайника пролитого на систьемник главбуха...

[Kmett]

Secret Net
http://www.infosec.ru/
тоже решение если необходима еще и система разграничения доступа

[CTPEK03A]

Да ну нафиг! Морока какая... Если система стоит на NTFS - можно разрулить абсолютно все - назначив права доступа к той или иной папке...(Программ в том числе)
Ну к примеру :
Как юзер "User" сможет изменить "\documents and settings\User\Desktop" , ежели у него имеются права только на чтение\выполнение содержимого \Desktop и нет разрешения на изменение\удаление\создание? А никак...
Тоже самое с его меню, с его программами и настройками.

[tahorg]

Просто нтфс не очень хорошо. Вообще это можно разрулить групповыми полисями. Но тогда нужен домен. И грамотный админ. Программой наверное проще, хотя поличсями конечно надежней.

[CTPEK03A]

NTFS - это не "не хорошо", а лучшее из того, что имеется на данный момент.
Кроме того - для того что бы запустить и отконфигурировать gpedit.msc вовсе нет никакой необходимости в домене. Локально - все что угодно. Но это неск-ко сложнее чем ограничивать доступ на уровне файловой системы.

[Kmett]

Все зависит от количества машин и выполняемых задач.
Не всегда хватает возможностей NTFS и групповые полисы - жуть