Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: как запретить пользователям запускать программы?  (Прочитано 15250 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Gud
Гость
« : 07-04-2009 10:09 » 

такая вот задача: програмно создаются пользователи, которые в своей учетной записи могут запустить только одну определенную программу. ет программа будет запускаться в автозапуске от имени администратора.

мне надо запретить пользователям запускать другие программы и изменять реестр.
подскажите как это можно сделать, какие привелегии предоставлять пользователям или как-то через реестр? или как сделать чтобы сама программа отслеживала запуск ненужных программ и завершала их? спасибо
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 07-04-2009 10:58 » 

групповые политики в помощь
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Gud
Гость
« Ответ #2 : 07-04-2009 11:57 » 

надо програмно ет все  организовать,
какие для этого можно  использовать ключи в реестре?

пока я только создал пользователей, какие им назначить  привелегии через функцию LsaAddAccountRights а привелегии - через константы SE_ чтобы они не могли запускать программы и реестр редактировать?
если через привелегии никак, то думаю отслеживать запуск програм через событие WM_ACTIVATEAPP и проверять ID.
как програмно запретить изменять реестр?,
направте пожалуйста  в нужную сторону или небольшой пример кода,
а чо тему перенесли то?
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 07-04-2009 12:08 » 

Не думаю что такие вещи нужно реализовывать программно. Если это можно решить на уровне политик.
Политиками легче управлять. И безопаснее.

Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #4 : 07-04-2009 13:04 » 

А я бы подругому сделал. Повесил бы прогу вместо эксплорера (проводника) и вырубил (перехватил-бы) запуск менеджера задач и прочих гнусностей (вроде бы подобное уже на форуме было). Тогда и запрещать запуск программ не надо - юзер их и так не запустит - не будет у него для этого средств. Следить конечно надо за стандартными диалогами типа FileOpen/Save - короче за всем, что имеет доступ к Shell, но по большому счёту это горазо проще.

Ситуация будет равносильна вырубанию эксплорера. Те у тебя пустое окно и можно только запустить чего-нить через менеджер задач.
Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 07-04-2009 13:08 » 

Джон, дык в том-то и дело, что это можно все политиками сделать.
Кста. Вынь2008 имеет режим сервер коре (Core) - по сути дела командная строка, gui минимальный
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #6 : 07-04-2009 14:32 » 

Не, Слав, эт я знаю, что PolEdit великая вещь. Я дома так и настраивал детям комп. А тут я так понял, что ему надо на целевом компе юзвер просто запустить прогу (может проинсталлить) и типа всё - баста карапузики. Например, такое делается на выставках, или POI (инофрмационных точках), когда по сути работает нормальная винда, но посетители, даже очень продвинутые, могут выполнять операции только в пределах данной запущеной проги.
Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 07-04-2009 14:42 » 

poledit? шепотом - это хде? (знаю где, потому и шепотом)
gpedit.msc - наше фсе!
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
zubr
Гость
« Ответ #8 : 07-04-2009 16:47 » 

1. С программной установкой привилегий смотри в сторону функций: AdjustTokenPrivileges, LookupPrivilegeValue
2. Другой довольно эффективный вариант - перехват функции ZwCreateFile. Причем в данном случае можно контролировать как запуск программ (разрешать-не разрешать), так и доступ к файлам (чтение, запись).
Записан
Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #9 : 07-04-2009 20:04 » 

Слав, и для тех, кто ещё не знает (поэтому тоже шёпотом) - утилитка из Windows Resource Kit, хотя кто такое сейчас помнит.
Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Gud
Гость
« Ответ #10 : 08-04-2009 03:41 » 

спс будем пробовать, если еще есть предложения пишите
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines