Как в учетной записи гостя удалить ярлыки браузеров
Самый лучший способ сделать так, чтобы никто из домочадцев не испытывал интерес к вашему личному компьютеру – купить каждому из них по своему компьютеру. Но, увы, не каждая семья может себе позволить такую роскошь. Ведь если покупать не ноутбук, а десктоп, нужно ещё и позаботиться об обустройстве компьютерного места в доме. Если своё виртуальное пространство всё же приходится делить с близкими, чтобы не накалять обстановку, тогда как хотя бы защитить его? Как минимум от ненамеренных действий детей или взрослых людей, но полных новичков. Ниже рассмотрим 5 способов такой защиты, реализуемых в среде Windows 10. Итак…
↑ 5 способов ограничить возможности пользователя Windows 10
↑ 1. Тип учётной записи «Стандартный пользователь»
При установке любой версии Windows всегда создаётся учётная запись администратора, а внутри неё уже можно формировать сколь угодно учётных записей типа «Стандартный пользователь». Именно посредством таких и нужно делить компьютер с неопытными домочадцами. В Windows 10 создать другим пользователям отдельную среду для работы с компьютером можно в приложении «Параметры», в разделе «Учётные записи».
Тогда как с учётной записи администратора с Windows можно делать практически всё – устанавливать и запускать какой угодно софт, вносить в систему свои настройки, удалять любые, даже некоторые системные файлы, с учётной записи стандартного пользователя эти действия будут блокироваться. Стандартный пользователь сможет работать с Интернетом и программами, запуск которых неограничен получением разрешения на запрос UAC.
Такой подход не решит всех проблем, которые порождает совместное использование технологий в доме, но как минимум снизит риск заражения компьютера вирусами. И в части случаев предотвратит сбой работы Windows. По всем вопросам запуска программ, требующих прав администратора, стандартному пользователю придётся обращаться к вам. И вы сможете контролировать действия того, кому доверили своё устройство.
↑ 2. Блокировка установки десктопного ПО
Права стандартного пользователя в актуальной версии Windows 10 (обновлённой до Creators Update) можно ещё больше ограничить, запретив установку в систему десктопного ПО. В учётной записи администратора открываем приложение «Параметры» и проходим в раздел «Приложения». В первой вкладке раздела нам нужна функция «Установка приложений». В её выпадающем перечне выбираем опцию, разрешающую установку на компьютер только универсальных приложений из магазина Windows Store.
В плане исследования новинок ему придётся довольствоваться только выбором контента из Windows Store. Ну или искать портативные программы, не требующие разрешения UAC.
↑ 3. Только одно приложение из Windows Store
Свести совсем уж к минимуму возможности стандартного пользователя можно, ограничив его работу только с одним универсальным приложением. Редакция Windows 10 Pro предусматривает доступ к одному из приложений только из числа универсальных. А вот в редакциях системы Enterprise и Education в качестве единственного окна доступа учётной записи можно назначать браузер или десктопную программу. Такое ограничение настраивается в разделе управления учётными записями внутри приложения «Параметры».
В настройках ограниченного доступа необходимо указать учётную запись стандартного пользователя и единственное доступное ему приложение.
Примечание: друзья, в предыдущих версиях Windows существовал ещё один тип учётной записи - «Гость». Microsoft её специально предусмотрела для случаев временной работы встречных-поперечных пользователей, которым владелец компьютера вынужден давать его на время попользоваться, чтобы не прослыть скупердяем. В версии системы 10 этот тип учётной записи упразднён, но при желании её всё же можно организовать. Как это делается, читайте в этой статье.
↑ 4. Отключение и ограничение использования Интернета
Более гибкие настройки ограничения использования Интернета может предложить ПО типа «Родительский контроль», в том числе и штатный функционал Windows 10, который будет рассмотрен ниже. Пока же такое ПО в системе не настроено, от случая к случаю ограничивать стандартных пользователей в работе с Интернетом можно за счёт отключения сетевой карты или Wi-Fi адаптера и правки файла hosts. Включение/отключение сетевых устройств и замена редакции файла hosts требуют наличия прав администратора. Следовательно, стандартному пользователю без пароля администраторской учётной записи эти ограничения никак не удастся обойти.
Чтобы полностью отключить Интернет на компьютере, на значке сети в системном трее вызываем контекстное меню и отправляемся раздел сетевых настроек системы.
Переключаемся на раздел «Изменение параметров адаптера» и с помощью контекстного меню отключаем активность сетевой карты или Wi-Fi.
После нажатия «Ок» в системном проводнике обнаружим путь хранения файла hosts. Открываем его с помощью любого редактора TXT-файлов, например, штатного блокнота.
Домен указывается через пробел после цифровых значений, как показано на скриншоте. После чего сохраняем файл как текстовый в любом месте компьютера.
Включаем в проводнике отображение расширений файлов и переименовываем (клавиша F2) - убираем из имени «hosts.txt» расширение, то есть часть имени «.txt». Жмём Enter.
Теперь отправляемся по пути нахождения исходного файла hosts, удаляем его (или перемещаем куда-нибудь для хранения в качестве резервной копии), а на его место переносим только что отредактированный файл hosts с заблокированными сайтами. Для возврата настроек системы в исходное состояние либо возвращаем на место первую редакцию файла hosts, либо таким же образом правим текст существующей редакции и удаляем значения блокировки сайтов.
↑ 5. Родительский контроль Windows 10
Каждое ПО, реализуемое в среде Windows функцию родительского контроля, имеет свои особенности. Возможности такой функции в составе Windows 10 позволяют гибко устанавливать и снимать ограничения для детских учётных записей, причём ещё и удалённо по Интернету - из веб-интерфейса учётной записи Microsoft. Правда, без Интернета управлять этой функцией нельзя. Применение к учётной записи родительского контроля позволит гибко ограничивать пользователя в действиях:
- Разрешать или запрещать доступ к определённому перечню сайтов;
- Запрещать покупку приложений из Windows Store;
- Разрешать доступ к компьютеру по графику;
- Блокировать запуск отдельного ПО (причём как универсальных приложений, так и десктопных программ);
- Отслеживать действия пользователя и т.п.
Указываем, что это ребёнок, вводим адрес электронной почты, к которой подвязана его учётная запись Microsoft.
Затем заходим в почтовый ящик ребёнка и по ссылке в письме от Microsoft подтверждаем его присоединение к семье. После этого в разделе «Семья» веб-интерфейса учётной записи Microsoft взрослого откроется доступ к настройкам родительского контроля ребёнка.
Конфигурация компьютера | |
Процессор: AMD Phenom 2 x4 945 3ггц | |
Материнская плата: Gygabyte 770t-d3l | |
Память: Kingston 2x2гб DDR3 | |
HDD: Western 500gb SATA 2 | |
Видеокарта: NVidia gts250 1024мб | |
Блок питания: Vento 450w Используется с 01.11 | |
CD/DVD: Nec dvdrw | |
ОС: Windows 7 Home premium 32bit |
Немножко банально, но надо. Есть 2 учётных записи на компьютере, обе с правами администратора. Нужно у другой учётной записи просто удалить ярлык из меню пуск. Пароля естественно к учётке я не знаю.
Конфигурация компьютера | |
Процессор: Intel(R) Core(TM) i5-2300 CPU @ 2.80GHz | |
Материнская плата: Gigabyte GA-H67MA-UD2H-B3 | |
Память: Hynix HMT325U6BFR8C-H9 2x2Gb + Hynix HMT351U6BFR8C-H9 2x4Gb | |
HDD: Hitachi HDS721010CLA332 | |
Звук: Realtek ALC889 | |
Блок питания: Asus 500W | |
CD/DVD: Optiarc DVD RW AD-7201S ATA Device | |
Монитор: Acer V243HQAbd | |
ОС: Windows 7 Ultimate x64 SP1 RTM (6.1.7601) | |
Индекс производительности Windows: 5,1 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
Процессор: Intel Core i5-8600 | |
Материнская плата: GIGABYTE Z370M DS3H | |
Память: 16,00 ГБ 2* DDR4 DIMM 8Gb, 2400MHz | |
HDD: Intel Optane+, INTEL SSDSC2CW120A3, OCZ-AGILITY3, 2хST3000NM0033 RAID1 | |
Видеокарта: NVIDIA GeForce GTX660 TI-DC2O-2GD5 | |
Блок питания: Chieftec APS-650C | |
CD/DVD: DVD RW AD-7203S | |
Монитор: VK278Q, S24E390, 943N | |
ОС: Windows 10 Ent x64 21H2 |
И не обязательно, что потребуется ввод пароля, разве что если пользователь зашифровал папку своего профиля.
Но это маловероятно.
Упппс, не успел
Конфигурация компьютера | |
Процессор: AMD Phenom 2 x4 945 3ггц | |
Материнская плата: Gygabyte 770t-d3l | |
Память: Kingston 2x2гб DDR3 | |
HDD: Western 500gb SATA 2 | |
Видеокарта: NVidia gts250 1024мб | |
Блок питания: Vento 450w Используется с 01.11 | |
CD/DVD: Nec dvdrw | |
ОС: Windows 7 Home premium 32bit |
В папке главное меню не нашёл, там их вообще нету. У себя в папке тоже только 1 ярлык, а когда нажимаешь пуск там их несколько. Это даже скорее не ярлыки, а что-то типа списка недавно запущенных программ. Не знаю как он формируется, но именно такую фигню и надо удалить. В моей ситуации программа при установке сама на всех пользователей разместила ярлыки в меню пуск.
Ну раз такое дело то ещё вопрос ***
Последний раз редактировалось Morpheus, 01-11-2011 в 21:50 . Причина: одна проблема - одна тема. См.правила форума "Microsoft Windows 7"
В предыдущей статье упоминалось о том, что после установки многих программных продуктов, желательно еще проверить настройки самих программ и конфигурировать установленное программное обеспечение под нужды ваших пользователей. На примере был подробно рассмотрен процесс настройки нескольких параметров программы Adobe Reader при помощи элемента предпочтения «Реестр» предпочтений групповой политики с нацеленностью на подразделение, в котором расположена учётная запись пользователя. Но, несмотря на оптимальные настройки административных шаблонов, параметров безопасности и настройки параметров реестра установленного программного обеспечения, по меньшей мере, у каждого второго пользователя есть привычка хранить на рабочем столе все ярлыки установленных программ, документов, с которыми они работают даже раз в квартал и так далее. Но ведь если подумать, для чего вашим пользователям нужен ярлык Adobe Reader на рабочем столе? Они ведь никогда не будут для начала открывать сам Reader, а потом уже искать PDF-документ, который им нужно почитать. Ходить возле каждого пользователя и следить за ярлыками, установленными на рабочем столе бессмысленно, а подходить к пользователю для поиска нужного документа на рабочем столе перед сдачей отчетов просто пустая трата времени. Используя функционал предпочтений групповой политики, вы можете гибко управлять ярлыками ваших пользователей. Например, вы можете удалить ярлыки Adobe Reader тем пользователям, для которых была произведена установка и настройка этого приложения, а также можете автоматизировать создание на рабочем столе ярлыков к документам, предназначенным для сдачи определенных отчетов в определенные дни месяца или даже года. Именно для этих целей и предназначен элемент предпочтения «Ярлыки» предпочтений групповой политики. За это расширение клиентской стороны отвечает динамическая библиотека gpprefcl.dll, а также связан идентификатор GUID , расположенный на вашем контроллере домена. Как и с большинством элементов предпочтения конфигурации Windows, к расширению CSE «Ярлыки» вы можете получить доступ как из узла «Конфигурация компьютера», так и из узла «Конфигурация пользователя».
Узел предпочтений групповой политики «Ярлыки»
Элемент предпочтения «Ярлыки» предпочтений групповой политики также примечателен тем, что помимо возможности создания ярлыков рабочего стола, данное расширение CSE также позволяет вам создавать, изменять, а также удалять ярлыки к таким объектам файловой системы, как папки, файлы, диски, компьютеры, а также общие сетевые ресурсы, URL-адресам, а также к таким объектам оболочки, как принтеры, компоненты панели управления и элементы рабочего стола. В этой статье будут рассмотрены четыре простых сценария с данным элементом предпочтения. Прежде всего, будет удален ярлык Adobe Reader для сотрудников отдела «Тестирование», то есть для тех же пользователей, для которых настраивалась данная программа в предыдущей статье. После этого 14-го числа каждого квартала будет создаваться на рабочем столе документ, с которыми должны работать сотрудники подразделения «Бухгалтерия». Далее будет создан ярлык для открытия переменных сред на рабочем столе и в меню «Пуск» для сотрудников группы «Отладчики». И в последнем сценарии будет создана ссылка на корпоративный сайт для всех пользователей подразделения верхнего уровня «Маркетинг» с определенным диапазоном MAC-адресов. Также, для того чтобы создание всех ярлыков было более интересным, все четыре примера будут созданы в одном элементе групповой политики, который будет привязан к подразделению, содержащему все пользовательские учетные данные, в моем случае, это подразделение «Пользователи». Итак, для того чтобы реализовать указанные выше сценарии, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект групповой политики «Управление ярлыками пользователей», выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню выберите команду «Изменить»;
- В отобразившейся оснастке «Редактор управления групповыми политиками», в дереве консоли разверните узел Конфигурация пользователя\Настройка\Конфигурация Windows и выберите узел «Ярлыки». Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем команду «Ярлык». Процесс создания элемента предпочтения ярлыка можно увидеть ниже:
Рис. 1. Создание элемента предпочтения групповой политики «Ярлык»
- Имя. Данное текстовое поле позволяет вам указать имя создаваемого вами ярлыка;
- Тип объекта. Из этого раскрывающегося списка вы можете выбрать тип объекта, на который будет указывать создаваемый или изменяемый вами ярлык. Ранее в этой статье уже были приведены доступные типы ярлыков. Выбрав «Объект файловой системы» вы можете указать путь к любому файлу, папке, общедоступному сетевому ресурсу, диску или компьютеру. Указав в качестве типа объекта «URL-адрес» вам предоставляется возможность выбора веб-страницы. А если вы остановитесь на типе «Объект оболочки», то в качестве целевого объекта можете выбрать любой элемент рабочего стола, панели управления, а также любые файлы, папки, принтеры, общедоступные сетевые ресурсы и прочее. Но стоит обратить внимание, что при выборе таких типов как «URL-адрес» или «Объект оболочки», вы не сможете изменять значения полей «Аргументы» и «Рабочая папка»;
- Размещение. Раскрывающийся список «Размещение» позволяет вам выбрать для создаваемого вами ярлыка на клиентских компьютерах конечное физическое расположение. Для выбора доступны 15 расположений, причем пять из них предназначены для отображения ярлыка для всех пользователей на текущем компьютере. Помимо этого, вы можете создавать ярлыки в подпапках доступных из списка расположений. То есть, если вы укажите в поле имя наименование папки и имени ярлыка, например, «Финансовые отчеты\Результаты операционной деятельности.docx» и выберите размещение «Главное меню», то ярлык на документ будет располагаться в подпапке главного меню профиля пользователя;
- Конечный путь. Это текстовое поле доступно лишь в том случае, если значением параметра «Тип объекта» будет указано «Объект файловой системы». В этом текстовом поле вам следует указать UNC-путь, букву диска или локальный путь для создаваемого вами ярлыка;
- Целевой URL. Параметр указания целевого веб-адреса может быть доступен только в том случае, когда вы укажите в качестве типа объекта значение «URL-адрес». Значением текущего текстового поля должен выступать веб-адрес, ссылка на веб- или FTP-сайт;
- Целевой объект. Вам предоставляется возможность доступа к текущему текстовому полю только в том случае, если значением параметра «Тип объекта» выступало «Объект оболочки». Здесь, используя диалоговое окно «Выбор объекта», вы можете указать доступные для выбранного параметра объекты;
- Аргументы. Для того чтобы запустить необходимое вам диалоговое окно системного приложения или, например, запустить определенное программное обеспечение в режиме отладки, принято добавлять к ярлыку определенные аргументы. При помощи текущего текстового поля вы можете указать необходимые аргументы, которые будут использоваться при открытии созданного вами ярлыка. Стоит обратить внимание на то, что аргументы можно добавлять только в том случае, если выбран тип объекта «Объект файловой системы»;
- Рабочая папка. Используя данное текстовое поле, вы можете выбрать папку с файлами для запуска требуемого объекта, причем, не следует использовать ни кавычки, ни косую черту после наименование папки, если ваш объект является папкой. Другими словами, указывайте такую же рабочую папку, как и в обычных ярлыках;
- Быстрый вызов. Команда «Быстрый вызов», скорее всего, вам должна быть известна, так как она отвечает за сочетание клавиш для запуска приложения, указанного в ярлыке. Для того чтобы добавить сочетание любой клавиши в комбинации с Ctrl+Alt, просто нажмите на любую клавишу, а если хотите удалить выбранное вами сочетание, нажмите на кнопку «Delete»;
- Выполнение. Раскрывающийся список «Выполнение» предназначен для определения размера окна, в котором будет открываться объект, указанный в создаваемом вами ярлыке. Для выбора доступны такие же значения, как и для параметра «Окно» свойств ярлыка, а именно: «Обычный размер окна», «Свернутое в значок», а также «Развернутое во весь экран»;
- Комментарий. Вы также можете добавить комментарий, который будет отображаться при наведении мыши на ярлык. Для того чтобы пользователи могли увидеть такую подсказку, введите какой-либо текст в соответствующем текстовом поле;
- Путь к файлу значка. Очень часто бывают такие ситуации, когда значок, который подставляет операционная система к созданному вами ярлыку, может не соответствовать открывающемуся приложению. Для того чтобы указать свой значок к созданному вами ярлыку, перейдите к диалоговому окну «Смена значка» и выберите требуемый значок;
- Индекс значка. Этот последний параметр вкладки «Общие» диалогового окна свойств элемента предпочтения «Ярлык» может быть доступен лишь в том случае, если вы указали какое-то значение в предыдущем текстовом поле. При помощи значения этого параметра вы можете указать индекс значка, то есть указать порядковый номер картинки в выбранной вами динамической библиотеке.
Теперь, когда все параметры вкладки «Общие» подробно рассмотрены, можно перейти к выполнению указанных ранее сценариев. В первом элементе предпочтения нам предстоит удалить ярлык программы Adobe Reader для сотрудников подразделения «Тестирование». Для этого в созданном заранее объекте GPO создайте элемент предпочтения «Ярлык», где следует выбрать следующие параметры:
- Действие – «Удалить»;
- Имя – «Adobe Reader 9»;
- Тип объекта – «Объект файловой системы»;
- Размещение – «Рабочий стол».
В конечном результате, вкладка «Общие» текущего элемента предпочтения должна выглядеть следующим образом:
Рис. 2. Вкладка «Общие» первого элемента предпочтения
Так как необходимо удалить ярлыки для программы только для пользователей из подразделения «Тестирование», для текущего элемента предпочтения следует задать нацеливание на уровень элемента. Предположим, что все-таки в подразделении тестировщиков есть такие индивидуумы, которые предпочитают хранить ярлык программы Adobe Reader на своем рабочем столе. Другими словами, если после первого удаления ярлыка, пользователь снова вынесет ярлык Reader-а на свой рабочий стол, а через некоторое время этот ярлык снова пропадет, пользователю будет не сильно приятно. Поэтому, перейдя на вкладку «Общие параметры» оставьте установленный по умолчанию флажок «Выполнять в контексте безопасности вошедшего пользователя», а также установите флажок на опции «Применять один раз и не применять повторно». После этого установите флажок на опции «Нацеливание на уровень элемента» и перейдите к редактору нацеливания. В диалоговом окне редактора нацеливания, из раскрывающегося списка «Создать элемент» выберите элемент «Подразделение». Для этого элемента, в текстовом поле «Подразделение» укажите название подразделения, членом которого должны являться пользователи, в данном случае, полным именем подразделения тестирования будет OU=Тестирование,OU=Разработка,OU=Пользователи,DC=BIOPHARMACEUTIC,DC=COM. Для того чтобы ограничения данного элемента предпочтения не распространялись на дочерние подразделения, в случае их существования, также установите флажок «Только непосредственный член». Настроенное окно редактора нацеливания для первого элемента предпочтения можно увидеть на следующей иллюстрации:
Рис. 3. Диалоговое окно редактора нацеливания для первого элемента предпочтения
Рис. 4. Вкладка «Общие» второго элемента предпочтения
Теперь нужно настроить нацеливание на уровень элемента. Как уже было сказано ранее, этот элемент предпочтения должен создаваться только для пользователей, учетные записи которых расположены в подразделении «Бухгалтерия» 14-го числа первого месяца каждого квартала. Для этого на вкладке «Общие параметры» установите флажок на опции «Нацеливание на уровень элемента» и перейдите к диалоговому окну редактора нацеливания. Создайте первый элемент нацеливания на подразделение «Бухгалтерия» по аналогии с элементом нацеливания, который создавался на предыдущем шаге. К сожалению, функционал нацеливания на уровень элемента не позволяет добавлять один элемент нацеливания, в котором можно было бы указать 4 различных даты. Поэтому я предлагаю добавить коллекцию, а затем внутри этой коллекции добавить четыре элемента нацеливания «Сопоставление дат», где уже можно указать четыре разных даты. Результат создания таких элементов нацеливания можно увидеть на следующей иллюстрации:
Рис. 5. Диалоговое окно редактора нацеливания для второго элемента предпочтения
Думаю, процесс удаления этого ярлыка (то есть, создание нового элемента предпочтения) рассматривать не стоит.
Создайте новый элемент предпочтения «Ярлык». Из раскрывающегося списка «Действие», выберите действие «Создать». В текстовом поле «Имя» введите «Переменные среды». Поле «Тип объекта» можно оставить без изменений, а из списка размещений выберите «Рабочий стол». В качестве конечного пути укажите команду, предназначенную для открытия диалогового окна переменных сред. В текстовом поле «Рабочая папка» введите «C:\Windows\system32». Чтобы вашим отладчикам было удобнее работать, укажите комбинацию клавиш, по нажатию на которую для отладчиков будет открываться окно переменных сред, например, «Ctrl+Alt+E». Добавим значок к создаваемому ярлыку. Для этого в текстовом поле «Путь к файлу значка» укажите расположение к файлу со значками, а именно «C:\Windows\System32\imageres.dll» и введите какой-то индекс значка, например, 28. Содержимое вкладки «Общие» диалогового окна элемента предпочтения должно получиться следующее:
Рис. 6. Вкладка «Общие» третьего элемента предпочтения
Для этого ярлыка тоже нужно указать параметры нацеливания. В этом случае будет создан простейший элемент нацеливания. В списке элементов выберите «Группа безопасности» и укажите группу «Отладчики», как показано на следующей иллюстрации:
Рис. 7. Диалоговое окно редактора нацеливания для третьего элемента предпочтения
Поскольку для отладчиков еще нужно создать ярлык в меню «Пуск», следует добавить еще один элемент предпочтения с идентичными настройками, за исключением текстового поля «Размещение».
Рис. 8. Вкладка «Общие» пятого элемента предпочтения
Теперь нужно создать нацеливание на уровень элемента. В редакторе нацеливания добавьте элемент «Подразделение», выберите необходимое подразделение и не устанавливайте флажок на опции «Только непосредственный член», так как нужно, чтобы ярлык создавался еще и для всех учетных записей пользователей, размещенных в дочерних подразделениях. Добавьте еще один элемент нацеливания «Диапазон MAC-адресов». Используя этот элемент нацеливания, ярлык будет создаваться для учетных записей пользователей только в том случае, если какой-либо из MAC-адресов обрабатывающего компьютера находится в диапазоне, указанном в элементе нацеленности. Укажите диапазон МАС-адресов, например с 00-15-5D-EE-29-00 по 00-15-5D-EE-29-BC, как показано ниже:
Рис. 9. Диалоговое окно редактора нацеливания для третьего элемента предпочтения
Например, выполнив вход в систему под учетной записью маркетолога Елена Калачева, учетная запись которой хранится в подразделении «Маркетинг», на рабочем столе будет расположен ярлык на корпоративный сайт компании. Рабочий стол этого пользователя можно увидеть ниже:
Рис. 9. Рабочий стол пользователя, учетная запись которого находится в подразделении «Маркетинг»
Заключение
В этой статье я рассказал об элементах предпочтения «Ярлыки» предпочтений групповой политики. Были рассмотрены четыре примера с разными сценариями применения этих элементов предпочтений. Первый элемент предпочтения позволяет удалить ярлык Adobe Reader для сотрудников отдела «Тестирование». При помощи следующего элемента предпочтения, на рабочих столах сотрудников подразделения «Бухгалтерия», каждого 14-го числа первого месяца квартала создавался документ. Третий элемент предпочтения позволяет создать ярлык для открытия переменных сред на рабочем столе и в меню «Пуск» для сотрудников группы «Отладчики». А используя последний элемент предпочтения, для всех пользователей подразделения верхнего уровня «Маркетинг» с определенным диапазоном MAC-адресов на рабочем столе можно создать ярлык для корпоративного сайта компании. В этой статье также рассматривались четыре различных элемента нацеленности предпочтений на уровне элемента.
Добрый день!
Есть необходимость завести на компьютере учётную запись гостя с очень сильно порезанными возможностями — идеально было бы оставить только возможность запускать браузер (например, Google Chrome). Речь идёт о Windows 7. Такое возможно сделать? Подскажите, что нужно отключать и где, в администрировании Windows вообще не разбираюсь.
- Вопрос задан более трёх лет назад
- 5443 просмотра
Зря тут речь идет про Windows 7. Под такое дело хорошо работает Debian, проверено.
Более того, буквально парой строчек в конфиге можно ограничить браузер одним сайтом.
А в винде дыры так или иначе все равно найдутся.
Конфиг киоска на Debian:
/etc/rc.local :
Запускается Хром прямо под иксами, без оболочек, и открывает нужную страницу. Ни на какие другие сайты доступа нет. Возможности вызвать какие-то другие программы, не имея пароля администратора - тоже ;)
Adamos да, пожалуй, выбор ОС не самый удачный. А что за пара строчек в конфиге для Debian, не подскажите? Может, попробую так в ней сделать.
Поставить Chrome OS. Вам же кроме браузера ничего не нужно, да и на антивирус не надо раскошеливаться.
Сергей Морозов пробовал, но я нашёл только старый дистрибутив от 2013 года, его какой-то энтузиаст собирал. Где взять свежие?
Вам верно написали про политики ограничения запуска программ (Software Restriction Policy или SRP / App Locker). Попробую немного прояснить суть решения проблемы.
Главное что нужно сделать это при помощи NTFS ACL заблокировать пользователям возможность запускать программы отовсюду куда они могут записать файлы и при помощи SRP ограничить операционке права запускать программы только каталогами каталогами в которые пользователи не могут писать. В общем случае должно быть разрешено запускать программы только из Program Files и Windows, но запрещено запускать из systemdrive:\Windows\tmp и systemdrive:\Windows\blablabla\spooler
Для этого нужно понимать, что такое права NTFS их наследование. Все диски в системе на которых есть программы которые можно запускать программы — сделать NTFS. Лучше всего всегда чтобы запускаемые программы были только в Program Files при этом пользователи этих программ никогда не должны иметь прав записи в системные каталоги.
Любые манипуляции с NTFS и ACL должен проводить человек который понимает что делает!
- изменить права на диски таким образом чтобы гость, да и вообще пользователи не могли создавать каталоги и файлы. Единственное обязательное разрешение папки с профилями пользователей и временные папки Windows включая "принтерный спулер". Главный запрет папка с Program Files (незачем туда писать ни пользователям ни пользователям удалённого рабочего стола ни инсталяторам. Всёравно ставить программы и обновления будем от учётки админа)
- снять к права пользователей c папки Program Files. Не запретить, а именно снять! (запретом можно случайно сломать доступ и админам) Пользователям можно оставить только Читать каталоги и подкаталоги но не файлы! Traverse folders
- после этого включите политику ограничения программ или App Locker и проверьте что пути откуда допускается запуск программ не допускают пользователям записывать данные. Для пущего запрета можете добавить блокировку запуска из некоторых каталогов в Program Files но очень осторожно! Можно повредить систему так что потом и системы и у админа будут проблемы.
- проверьте и добавьте ограничение запуска из временных папкок Windows и spooler Windows. Они обычно находятся в папке Windows, а на неё включено разрешение запуска программ (иначе система не стартанёт).
- после этого разрешите в Program Files пользователям запускать программы только из папки Google Chrome хотя я рекомендую Mozilla Firefox
- также рекомендую снять право пользователей запускать Internet Explorer (некоторые программы Microsoft умеют обходить SRP)
Несколько замечаний.
SRP и/или AppLocker есть не во всех дистрибутивах Windows. Понятно, что MS это машина по зарабатыванию денег. Но SRP напрямую затрагивает основу основ компьютерной безопасности операционных систем Windows и для меня выглядит не совсем логичным добавить UAC но не дать возможность защищать систему при помощи SRP на самой дешёвой OEM Windows системе. До появления SRP я пользовался замечательной программой TrustNoExe. Она бесплатна ставится в виде сервиса имеет белые и чёрные списки. На новых дистрибутивах Windows я её не испытывал, но она могла бы закрыть брешь в безопасности Windows где есть NTFS но нет SRP.
SRP это не панацея. К сожалению программы умеющие исполнять скрипты например Word, Excel и т д можно использовать для инжекции постороннего исполняемого кода, а значит можно пытаться поднять привилегии используя известные и не очень уязвимости.
Дополнительные рекомендации:
При установке всяких программ типа Google Chrome, Mozilla Firefox, Skype, FoxItReader и т д (их количество будет продолжать расти). следить чтобы они не наставили своих сервисов. С появлением UAC в Windows, всем есть дело и все явно (есть птичка отказаться) или подло (нет выбора) ставят такие сервисы. Если программа ставит такой сервис — удалить его sc delete имя_сервиса. Назначение этих сервисов — скрытая установка своих программ. Отвратительные побочные явления — внезапная поломка системы после неудачного обвноления (включая обновления Windows) У нас был случай когда на клиентских серверах Win2008 после автоматического обновления тотально (у большого числа клиентов) перестал работать терминальный сервер, в результате чего пришлось удалять часть обновлений и ставить другие. После этогого все автообновления были отключены и заблокированы. Нехотите таких сюрпризов — пресекайте все попытки программ установить свои сервисы. Есть программы которые после своей установки хамским образом меняют NTFS acl таким образом что разрешают писать всем в каталог этой программы в Program Files — это сведёт к нулю все ваши старания ограничить запуск программ. Избавляйтесь от таких программ используйте нормальные которые не пишут в Program Files.
Кроме этого такой подход позволит вам отказаться от антивирусов если не будете бездумно ставить всякий неизвестный и даже известный софт.
в семерке можно было просто в пуске ПКМ-> удалить , в 10ке если нажать на удаление из пуска то запрашивает удаление программы, как удалить только папку?
и как скрыть удаление из: Панель управления -> Программы и компоненты ?
Простой 9 комментариев
Подозреваю, что кликнуть ПКМ, Выбрать More или как там по-русски, ЛКМ на Open File Location, попадете в папку меню пуск, например,
C:\ProgramData\Microsoft\Windows\Start Menu\
В ней и удаляйте ярлыки
Если нужно удалить папку из меню пуск, последовательность та же, кроме того, что по ПКМ на папку меню не открывается (go figure. ), так что придется делать это с каким-нибудь ярлыком в папке, либо идти в start menu самому
не совсем понятно, что имеется в виду. хотите убрать программу из списка установленных?
John Smith, да, все верно, чтоб удалить можно было только если в папку с программой зайти и оттуда uninstall нажать
первый совет отлично помог, мне не суть было именно искать через пуск, я не знал что есть такая папка
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
удалю тут
а где удалять из программы и компоненты?
Владислав Лысков, вот вот, как тут убрать "ссылку" на удаление программы? Но не удалять саму программу
Павел,
Владислав Лысков, да, я за это и говорю, как отсюда убрать например чтоб торрент в системе был, а в этом списке его небыло?
Павел, GeekUninstaller умеет.
ПКМ на программу, Remove this entry (НЕ force removal!).
Из списка программ удалится, сама программа останется.
С помощью команды regedit, ввести ее можно в диалог который появится по нажатию Win+R
В ветке HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall можете найти весь список программ и удалить не нужные.
А папки из меню пуск можно удалить выполнив команду shell:start menu через тот же диалог из Win+R
в семерке можно было просто в пуске ПКМ-> удалить , в 10ке если нажать на удаление из пуска то запрашивает удаление программы, как удалить только папку?
Кликнуть ПКМ, Выбрать More или как там по-русски, ЛКМ на Open File Location, попадете в папку меню пуск, например,
C:\ProgramData\Microsoft\Windows\Start Menu\
В ней и удаляйте ярлыки
Если нужно удалить папку из меню пуск, последовательность та же, кроме того, что по ПКМ на папку меню не открывается (go figure. ), так что придется делать это с каким-нибудь ярлыком в папке, либо идти в start menu самому
GeekUninstaller умеет.
ПКМ на программу, Remove this entry (НЕ force removal!).
Из списка программ удалится, сама программа останется.
Читайте также: