Настройка GPO без AD

[eldic]

Возможно оффтоп, но всеже. В общем на сервер из этических соображений не ставил АД и не добавлял роль контролера домен так как задача как можно меньше "левых" программ..., быстродйствие важней, задача: на данный сервер прокинул впн соединение на RDP и нужно пользователям входящим в группу которым разрешено соединение по RDP установить ограничение по пользованию системой такие как :
1. ограничения по просмотру структуры файлов и папок на дисках.
2. запуск только одного приложения.
3. меню пуск минимизировать
4. соот-но запретить любые движения в сотороны.

в общем чтобы не могли ничего двигать =) просьба ткнуть носом в мануалы (на русском) либо дать рекомендации

Добавлено через 5 минут
операционная система win 2003

[Andru_kz]

[QUOTE=eldic;1028178не добавлял роль контролера домен так как задача как можно меньше "левых" программ..., [/QUOTE]

Вообще-то АД это не левая программа, а оснастка управления. И GPO в любом случае как и DNS привязана в АД.

[eldic]

т.е. применение политик не возможно без установки оснастки управления АД ? ... уж больно не верится.

[Tur]

Цитата: Сообщение от eldic т.е. применение политик не возможно без установки оснастки управления АД ? ... уж больно не верится.

можно использовать локальные политики, но область их действия распространяется только на тот комп на котором они настроены.

АД конечно же не "левая программа", а служба каталогов, если стоит задача выставить ограничения для, для пользователей терминала, поднимать домен нет необходимости.

[mikle]

secpol.msc вам помогут

[Merkator2006]

Цитата: Сообщение от eldic Возможно оффтоп, но всеже. В общем на сервер из этических соображений не ставил АД и не добавлял роль контролера домен так как задача как можно меньше "левых" программ..., 1. ограничения по просмотру структуры файлов и папок на дисках. 2. запуск только одного приложения. 3. меню пуск минимизировать 4. соот-но запретить любые движения в сотороны.

Поможет, но делать это на сервере не вижу смысла.


[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=dword:03ffffff
"NoControlPanel"=dword:00000001
"NoCustomizeWebView"=dword:00000001
"NoBandCustomize"=dword:00000001
"NoRun"=dword:00000001
"NoEntireNetwork"=dword:00000001
"NoStartMenuSubFolders"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"NoFileMenu"=dword:00000001
"NoFind"=dword:00000001
"NoSetFolders"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoCommonGroups"=dword:00000001
"NoWinKeys"=dword:00000001
"NoSetTaskBar"=dword:00000001
"NoChangeStartMenu"=dword:00000001
"NoClose"=dword:00000001
"RestrictRun"=dword:00000001

Для ограничения запускаемых программ надо открыть раздел
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001.
Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...
Не забудьте указать файл Regedit.exe, иначе не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\ExplorerRestrictRun]
"1"="regedit.exe"
"2"="Excel.exe"
"3"="word.exe"

[eldic]

Цитата: Сообщение от Tur можно использовать локальные политики, но область их действия распространяется только на тот комп на котором они настроены.

Вот имено это я и хотел услышать. Описание есть у кого нить на русском всех параметров в политиках ?

[Tur]

Открываете gpedit.msc в русской винде, там к каждому параметру есть описание