Для того чтобы ограничить доступ всем, кроме Администратора нужно действовать по следующему алгоритму:
- Изменить какие либо значения в групповых политиках;
- Выйти из системы;
- Зайти под всеми другими пользователями;
- Зайти под Администратором;
- Скопировать файл C:\Windows\System32\GroupPolicy\User\Registry.pol куда нибудь;
- Изменить все те значения, которые ограничивали (изменять значения на "отключить", вместо первоначальной "не задано");
- Обратно скопируйте файл Registry.pol в C:\Windows\System32\GroupPolicy\User\;
- Зайти под другими пользователями и убедиться, что у них всё "урезано", а у Администратора нет :)
Всё основное, так сказать, находится в административных шаблонах, по этому все значения будем менять там. Для того чтобы что-то ограничить, к примеру доступ к диспетчеру задач, заходим "конфигурация пользователя" -> "Административные шаблоны" -> "Система" -> "Варианты действий после нажатия CTRL+ALT+DEL" и выбираем "Адлить диспетчер задач", то есть кликаем два раза, либо нажимаем правой кнопкой и выбираем из меню "изменить", откроется окошко, где нужно будет выбрать "Включить", после чего "применить". Если всё сделано правильно, то Вы уже не сможете запустить диспетчер задач :)
В принципе нет смысла мне тут расписывать каждые "ограничения", ведь в самой службе и так всё хорошо расписано.
Приведу Вам пример, какие ограничения я выставлял в школе для обычных школьников для Windows XP Professional (всё находится в "конфигурация пользователя" -> "Административные шаблоны").
Система
- запретить использование командной строки;
- сделать недопустимым средства редактирования реестра;
- отключить автозапуск.
- Возможности CTRL+ALT+DEL:
- удалить диспетчер задач;
- запретить блокировку компьютера;
- запретить изменение пароль.
- групповая политика:
- запретить интерактивным пользователям создавать данные результирующей политики (RSoP).
- управление связью через Интернет -> параметры связи через Интернет:
- отключить веб-публикацию в списке задач для файлов и папок;
- отключить участие в программе улучшения подержки пользователей Windows messenger;
- отключить службу сопоставления файлов Интернета;
- отключить автоматическую загрузку кодеков для Windows Movie Maker;
- отключить веб-ссылки в Windows Movie Maker;
- отключить сохранение видео на вебузлах поставщиков видиохостинга...;
Сеть
- автономные файлы:
- запретить пользовательскую настройку автономных файлов.
- сетевые подключения:
- запретить дополнительную настройку TCP/IP;
- запретить доступ к команде "Дополнительные параметры" в меню "дополнительно";
- запретить добавление и удаление компонентов для подключений LAN или...;
- запретить доступ к свойствам подключений по локальной сети;
- запретить включение и отключение компонентов подключений по локальной сети;
- запретить доступ к мастеру новых подключений;
- запретить доступ к команде "Параметры удалённого доступа" в меню "Дополнительно".
Панель управления
Запретить доступ к панели управления.
Рабочий стол
- удалить команду "свойства"... (все 3 штуки);
- запретить пользователям изменять путь папки "Мои документы";
- запретить перетаскивание и закрытие всех панелей инструментов на панели задач;
- запретить изменение расположения панелей инструментов рабочего стола;
- удалить мастер очистки рабочего стола;
- убрать значёк "Сетевое окружение" из рабочего стола;
Панель задач именю
- удалить ссылки и запретить использование Windows Update;
- удалить "Сетевые подключения" из меню "Пуск";
- удалить значёк "Сетевое окружение" из меню "Пуск";
- запретить изменение параметров понели задач и меню "Пуск";
- запретить доступ к контекстному меню для панели задач;
- очищать список недавно открывшихся документов при выходе;
- отключить сокращённые меню;
- зафиксировать положение панели задач;
- удалить список часто используемых программ в меню "Пуск".
Проводник
- удалить команду "свойства папки" из меню "сервис";
- скрыть команду "управление" из контекстного меню проводника;
- удалить вкладку "Оборудование";
- отключить кэширование эскизов изображений.
Но при этом я ещё ограничивал права, на запись, на жёсткий диск С |