2

Я использую Windows 8 Pro. Я пытаюсь создать очень ограниченную учетную запись Windows. Учетная запись будет иметь только:

  1. Доступ к удаленному рабочему столу

  2. Shell заменена нашим собственным приложением

  3. Доступ к одному FTP-клиенту (в настоящее время FileZilla), который для них запустит наше собственное приложение (отправляет информацию о входе в систему в командной строке)

Я не хочу, чтобы они могли запускать любые другие приложения. Я отключил диспетчер задач и заменил оболочку, поэтому в настоящее время они могут запускать другие приложения только из FileZilla , поскольку он позволяет "открывать" EXE-файл (запускать его) или другие файлы, открывающие другие приложения.

Я попробовал Редактор групповой политики, и из того, что я могу сказать, все, что не позволяет администратору запускать приложения, но не влияет на пользователей, не являющихся администраторами. Я видел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun , но мне нужен белый список, а не черный, а также я думаю, что он работает только для процессов, которые запускает Explorer, а не для других приложений, таких как FileZilla .

Я бы хотел, чтобы черный список также использовал полный путь к EXE-файлу, а не только его имя. Так как у пользователей будет возможность FTP и возможность переименовывать файлы (в папках системных или программных файлов ничего нет, поскольку это ограниченная учетная запись).

Я также попытался перейти к корню диска C и добавить разрешение « Deny execute/traverse » на уровне файловой системы, но я получаю массу ошибок о запрете доступа ко многим папкам, таким как c:\windows и даже тому, что находится под c:\users . Затем я начал заходить в каждую подпапку и добавлять это разрешение, но оно занимало вечность, и я все еще получал много ошибок, связанных с отказом в доступе (я делал это из учетной записи администратора).

Обновление - с принятым ответом, плюс информация, которую я нашел здесь, я получил то, что мне было нужно.

Запустите MMC (консоль управления Microsoft). Введите mmc в поле поиска меню «Пуск» или окно командной строки, или вы можете использовать функцию «Выполнить…».

Выберите «Файл» и выберите «Добавить / удалить оснастку…» в раскрывающемся меню.

Откроется диалоговое окно «Добавить или удалить оснастку». На левой панели выделите Редактор объектов групповой политики и нажмите Добавить> ;.

Откроется диалоговое окно «Выбор объекта групповой политики». Нажмите кнопку Обзор ... Перейдите на вкладку «Пользователи» и выберите «Не администраторы» в списке. Нажмите ОК.

Объект групповой политики должен теперь отображать «Local ComputerNon-Administrators». Нажмите Готово.

После того, как я смог установить политики для одного пользователя, используя описанные выше шаги, мне просто нужно было перейти к «Администрирование шаблонов-> Система-> Запустить только указанные приложения Windows». Я уже пробовал это, но пропустил часть о том, как редактировать политики только для одного пользователя, а не "только для пользователей с правами администратора" (что мне кажется странным по умолчанию).

2 ответа2

6

Чтобы еще больше понять, что сказали все остальные, "правильный" способ сделать это - использовать GPO. Возможно, вы захотите взглянуть на пакет « Общие сценарии групповой политики с использованием консоли управления групповыми политиками». Это набор сценариев групповой политики для блокировки рабочих станций в различных ситуациях. Я считаю, что вы ищете скрипт AppStation.

Консоль управления групповыми политиками больше не используется, но сценарии по-прежнему являются действительно хорошими шаблонами для отправной точки для этого.

AppStation

Сценарий AppStation используется, когда вам требуются строго ограниченные конфигурации только с несколькими приложениями. Используйте этот сценарий в «вертикальных» приложениях, таких как сценарии маркетинга, обработки заявок и обработки ссуд, а также сценарии обслуживания клиентов.

Сценарий AppStation имеет следующие характеристики:

  • Позволяет минимальную настройку пользователем.
  • Позволяет пользователям получать доступ к небольшому количеству приложений, соответствующих их должности.
  • Не позволяет пользователям добавлять или удалять приложения.
  • Поддерживает свободное размещение.
  • Предоставляет упрощенный рабочий стол и меню «Пуск».
  • Пользователи имеют ограниченный доступ для записи на локальный компьютер и могут записывать данные только в свой профиль пользователя и в перенаправленные папки.
  • Это очень безопасно.

TaskStation

Используйте сценарий TaskStation, когда вам нужен компьютер, предназначенный для запуска одного приложения, например, на производственном участке, в качестве терминала ввода заказов или в колл-центр.

Сценарий TaskStation аналогичен сценарию AppStation со следующими изменениями:

  • На нем установлено только одно приложение, которое автоматически запускается при входе пользователя в систему.
  • Нет рабочего стола или меню «Пуск».

киоск

Используйте этот сценарий в общественных местах, например, в аэропорту, где пассажиры регистрируются и просматривают информацию о своем рейсе. Поскольку компьютер обычно находится без присмотра, он должен быть очень безопасным.

Сценарий киоска имеет следующие характеристики:

  • Это общественная рабочая станция.
  • Запускает только одно приложение.
  • Использует только одну учетную запись пользователя и автоматически входит в систему. Система автоматически сбрасывается в состояние по умолчанию в начале каждого сеанса.
  • Работает без присмотра.
  • Это очень безопасно.
  • Прост в эксплуатации, без процедуры входа в систему.
  • Не позволяет пользователям вносить изменения в настройки пользователя или системы по умолчанию.
  • Не сохраняет данные на диск.
  • Всегда включен (пользователь не может выйти или выключить компьютер).

Рабочая станция, использующая сценарий Kiosk, похожа на TaskStation, но пользователи являются анонимными в том, что все они используют одну учетную запись, которая автоматически входит в систему при запуске компьютера. Это достигается путем модификации машины киоска способом, описанным далее в этом документе. Никакие настройки не могут быть выполнены, и пользовательское состояние не сохраняется.

Хотя пользовательские сеансы обычно являются анонимными, пользователь может войти в учетную запись конкретного приложения, например, в веб-приложение через Internet Explorer (при условии, что Internet Explorer является «приложением киоска», запускаемым при запуске).

Выделенное приложение может быть приложением Line of Business (LOB), приложением, размещенным в Internet Explorer, или другим приложением, например, доступным в Microsoft Office. Приложение по умолчанию не должно быть Windows Explorer или любым другим подобным оболочке приложением. Проводник Windows обеспечивает больший доступ к компьютеру, чем это подходит для компьютера с киоском. Убедитесь, что командная строка отключена, и Windows Explorer не может быть доступен из любого приложения, которое вы используете для этой цели.

Приложения, используемые для сценариев киосков, должны быть тщательно проверены, чтобы убедиться, что они не содержат «задних дверей», которые позволяют пользователям обходить системные политики. Например, они не должны разрешать пользователям доступ к приложениям, которые обращаются к файловой системе. В идеале вы должны использовать только те приложения, которые соответствуют «Спецификации приложений для Windows 2000», сертифицированы для Windows и проверяют параметры групповой политики, прежде чем предоставить пользователям доступ к запрещенным функциям. Старые приложения обычно не поддерживают групповую политику, поэтому попробуйте отключить все функции, позволяющие пользователям обходить административную политику.

Записи реестра Run и RunOnce отключены в сценарии киоска через соответствующие параметры политики.

1

Лучший способ сделать это - использовать политику ограниченного использования программ GPO, как прокомментировал Zoredache, но если у вас нет домена, локальный редактор GPO не будет настолько мощным и не слишком полезным для вас.

Самый простой (хотя и не идеальный) способ сделать это - сделать следующее:

  • Установите сторонние приложения (например, Filezilla и вашу проприетарную программу) в папку в корне C:/ , например C:/Apps . Дайте вашим пользователям разрешения на эту папку.
  • Запретите вашему пользователю доступ к папкам C:/Program Files и C:\Program Files (x86) .
  • Удалите все папки и ярлыки в меню «Пуск» и оставьте только записи для утвержденных приложений, либо полностью удалите меню «Пуск» и используйте только значки на рабочем столе .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .