Запретить файлы *.exe
 

У меня вопрос. Можно ли, в Windows XP SP2, запретить на компьютере запускать файлы с расширением *.exe. Например, пользователь запускает файл с таким разрешением, а выскакивает табличка - сделать это нельзя!
Хотел бы услышать точный ответ.
А может есть для этого специальные программы?

а как запретить на компьютер установку новых программ?

Если пользователю (кстати, учетка "пользователь" уже имеет серьезные ограничения, в т.ч. и на установку программ) разрешено выполнять только программы из перечня, то он уже ничего не установит.

а в учетной записи администратор никак нельзя?

Мне надо лишь одно, что бы те кто работает на моем компьютере не могли установить никакие программы

Ну запрети все и regedit в том числе, чтобы исправить обратно нельзя было :)

З.Ы. Ты бы сделал для них отдельную учетную запись, что-ли...

отдельную учетную запись не могу. есть программа ExeLockdownV501Full, но она мне не полностью подходит - сыровата

Используйте ограниченную учетную запись, входящую в группу Пользователи. Стандартными средствами системы эффективных препятствий администратору создать невозможно.

Действительно непонятно зачем использовать административную учетную запись чтоб потом ее ограничивать во всем...

Получается, что мне надо создать несколько учетных записей?
Я правильно понял?

На моем компьютере теперь две записи - администратор и ограниченный пользователь. Имеются несколько вопросов.
1. Как сделать так, что бы программы с которыми работает админ, мог работать и пользователь. (а то захожу как пользователь в систему, а программ нет, которых ставил под администратором.)
2. Как сделать так, чтобы ограниченный пользователь не мог устанавливать новые программы, и в диск С лазить. Но программы проинсталированные на комнпе мог запускать.

Aleksis AleksЧто значит нет программ? Ярлыков может? Ну так создайте ярлыки. В будущем устанавливайте программы для всех пользователей, а не только для текущего, когда предлагает установщик.
Ограниченная учетная запись и так не может это делать. Доступ в системные папки закрыт. Что конкретно требуется?

Vadikan

я прочитал всю информацию по данному вопросу на форуме. Немного каша в голове. Хочу услышать правильны мои действия или нет.
Мои пожелание такие. Чтобы пользователи не ставили никаких программ, не удаляли никакие программы, не лазили в папку на диск С. Но они могли качать с нета музыку, фильмы работать со списком программ которые я им проинсталировал бы, создавать файлы word и удалять их. Вообщем нормально работать.
1.Ставлю винду чистую.
2. Делаю двух пользователей, администратора и гостя.
а как дальше правильно все сделать?

Aleksis Aleks
Для осуществления поставленной задачи не обязательно производить чистую установку ОС, однако настоятельно рекомендуется использовать файловую систему NTFS для эффективного управления доступом. Необходимо наличие учетной записи, входящей в группу Администраторы (это может быть встроенная учетная запись Администратор или любая другая запись (рекомендуется)). Из этой учетной записи вы сможете администрировать компьютер, в том числе создавая другие учетные записи. Для пользователей вашего компьютера, которых вы хотите ограничить в правах, подойдет учетная запись, входящая в группу Пользователи (ее должно быть достаточно, а использование учетной записи Гость имеет смысл в том случае, если вы хотите предоставить доступ к компьютеру на непостоянной основе - например, гостям вашего дома). Управление учетными записями осуществляется из одноименного элемента панели управления или из оснастки lusrmgr.msc http://www.petri.co.il/create_local_...windows_xp.htm

Такой расклад позволит вашим пользователям комфортно работать в ОС, одновременно предотвращая возможность удаления системных файлов или изменения важных настроек, которые могут негативно повлиять на работоспособность системы.

Дополнительная информация. Параметры безопасности для групп по умолчанию

Вопрос, а как сделать так, чтобы я инсталировал программы под администратором, и вся инфа о ней была бы в пуске у ограниченного пользавателя и администратора

а) Поставить из-под учетки Админа на всех пользователей;
в) Поднять пользователя до админа, поставить им программу и снова понизить до пользователя.

Aleksis Aleks
Нормальные приложения (или приложения с нормальными установщиками) либо сразу устанавливаются для всех пользователей, либо предоставляют выбор, устанавливать их для всех пользователей или только для текущего. В последнем случае дело может быть не только в ярлыках, но и в способе хранения пользовательских данных (например, в случае "для всех" данные могут храниться в профиле пользователя в отличие от папки %programfiles% в случае "для текущего"). Если же программа просто не способна создать ярлыки в меню "Пуск" и/или на рабочем столе, то вы можете это сделать из под учетной записи администратора, разместив ярлыки в соответствующих папках каталога %allusersprofile%.
Это крайний случай, но иногда приходится делать и так из-за криворукости авторов программ.

Угу, сталкивался. Приходилось дополнительно разрешать пользователям запись в соответствующую ветку реестра.
Это надо будет каждому юзеру копировать ярлыки. Можно сбросить ярлыки в каталог c:\Documents and Settings\All Users\Главное меню\ (путь для русской версии), тогда программа появится у всех пользователей.

Vadikan
Во я балбес!

Кстати, лучше сначала создать всех пользователей компьютера, а потом уже инсталлить программы. Если наоборот, то не всегда у новых пользователей будут работать все программы, особенно в случае ограниченных учетных записей (точнее сказать "только в случае").

Вопрос у меня возник по ходу работы. Как сделать так, чтобы ограниченный пользователь мог создавать и удалять папки на диске D, E, F. Еще один ворос, если я отключу ограниченному польователю изменять реест винды, чем ему это грозит? сможет ли он нормально работать?

Установить соответствующие разрешения на эти тома.
Установка, просмотр, изменение и удаление разрешений на доступ к файлам и папкам в Windows XP
Смотря как вы собираетесь запрещать. Если хотите блокровать запуск редакторов реестра, то нет проблем. Если же вы собираетесь устанавливать разрешения на разделы реестра, то все зависит от ваших действий. Просто не забывайте, что ограниченная учетная запись не может внести в реестр изменения, способные повлиять на работоспособность системы.

Cпасибо все работает!

Aleksis Aleks
Отлично, удачи в администрировании домочадцев ;)