@GregPal5 ноя 2008 в 20:10

kiosk-type windows shell или как окружить сотрудников заботой и пониманием

2 мин

1.5K

Чулан

Комментарии 28

НЛО прилетело и опубликовало эту надпись здесь

@GregPal 6 ноя 2008 в 07:20

спасибо большое за совет! почитаю обязательно :)

для решения конкретно данной мне задачи эта часть кода вообще не нужна — в запускаемой программе видеонаблюдения нет вообще никаких диалогов манипуляций с файлами, то есть запустить что либо по идее невозможно. Это я просто подумал о дальнейшем развитии программки. Хотя, если разобраться как запретить запускать, копировать файлы из диалогов открытия и сохранения файлов — можно вообще не беспокоиться о запускаемых программах.

@leoneed 5 ноя 2008 в 20:45

могу предложить Lockwin ))). А как думаешь боротся с «тремя педалями» и безопасным режимом с cmd?
Реестр тут надо хачить неподецки. Может легче поставить линукс?

@SaintSerge 6 ноя 2008 в 00:49

«Скоро линуксом можно будет чистить засорившиеся раковины!»
Ну сколько можно предлагать линукс в тему и без?
Все хорошо в меру!

НЛО прилетело и опубликовало эту надпись здесь

@GregPal 6 ноя 2008 в 07:31

спасибо за идею, попробую на Убунту — я ее как раз поставил на свой девелоперский комп. О результатах напишу, когда они будут :)

@GregPal 6 ноя 2008 в 07:29

о, спасибо огромное!!! похоже что это уже готовое решение моей проблемы! Сегодня обязательно попробую — напишу о результатах.

по поводу безопасного режима — в моей задаче нужно ограничить свободы пользователей, а не админа компьютера. Насколько я помню, в безопасном режиме по умолчанию разрешен логин только администратора?

@spyhabit 5 ноя 2008 в 20:50

Присоединяюсь к предыдущему оратору. Если требуемая программа только под винду работает, можно заморочиться решениями от Citrix

@GregPal 6 ноя 2008 в 07:32

Решения от цитрикса недешевы — но в любом случае спасибо за идею!

@YasonBy 5 ноя 2008 в 21:13

Так пробовали?

gpedit.msc -> User Configuration -> Administrative Templates -> System -> Run only allowed Windows applications

Эта настройка ограничивает только приложения запускаемые из-под эксплорера. Но по горячим клавишам система может запустить Task Manager, что нехорошо. Запрещаем его:

gpedit.msc -> User Configuration -> Administrative Templates -> System -> Ctrl+Alt+Del Options -> Remove Task Manager

Особо пронырливые юзеры, читающие Хабр, могут знать, что можно запускать программы из хелпа (к сожалению, не могу найти топик). Но это тоже лечится:

gpedit.msc -> Computer Configuration -> Administrative Templates -> System -> Restrict these programs from being launched from Help

Ну и чисто для перестраховки.
Запретить командную строку:

gpedit.msc -> User Configuration -> Administrative Templates -> System -> Prevent access to the command prompt

Запретить правку реестра:

gpedit.msc -> User Configuration -> Administrative Templates -> System -> Prevent access to registry editing tools

P.S. Disclaimer: я не админ, не MS Certified специалист, не эксперт по безопасности, поэтому работоспособность вышеприведённого не гарантирую :)

@kabachok 5 ноя 2008 в 21:54

ты просто молодец

@k14us 5 ноя 2008 в 21:58

в зависимости от приложения, иногда достаточно просто прописать его вместо оболочки.
например, в IE есть киоск мод, который убирает всю верхнюю панель

@YasonBy 5 ноя 2008 в 22:16

Ну, автор достаточно определённо написал, что в его случае это не сработало.

@k14us 5 ноя 2008 в 22:38

прошу прощения
*ушел занимать самонаказанием

@point212 5 ноя 2008 в 23:12

Вы видимо просто замечательный специалист.

А подскажите, это будет работать только для текущего юзера, или можно для всей системы задать?

И второй вопрос: нужно ли вносить в список разрешенных приложений всевозможные svchost и прочую нечисть?

@YasonBy 5 ноя 2008 в 23:17

На первый вопрос ответ не знаю :)
Что же касается второго, то описанные настройки, судя по хелпу, относятся только к процессам, запускаемым из эксплорера; подозреваю, что svchost & Co запускаются системой, т.е. специального разрешения им не нужно.

@k14us 7 ноя 2008 в 12:54

в оснастке управления групповыми политиками отдельно включаются и выключаются политики пользователя и системы. если не найдете, уточню где именно.

@GregPal 6 ноя 2008 в 20:00

да, пробовал, за исключением блокировки запуска программ из помощи (не знал, что так можно :))

спасибо за очень подробное и понятное описание решения!

@k14us 5 ноя 2008 в 22:03

видимо по своему основному профилю вы разработчик?
решение явно не системного администратора ;)

@pietrovich 5 ноя 2008 в 23:29

я ж жеж вообще php программер

@nooze 5 ноя 2008 в 23:14

Блокировать все прелести файлового диалога при открытии-сохранении (а возможностей там огого) можно банально заменив диалог на свой собственный (скачанный из инета?), в котором можно действительно только сохранять и открывать, больше ни-ни

НЛО прилетело и опубликовало эту надпись здесь

@Enoty200shtyk 6 ноя 2008 в 05:42

И выдать всем по листу а4 и ручке. компьютеры не включать пусть так работают чо…

@GregPal 6 ноя 2008 в 19:58

наверное что-то типа такого?

mobbit.info/item/2008/10/30/zabavnyi-sposob-otychit-ludei-pisat-kaps-lokom

:)

НЛО прилетело и опубликовало эту надпись здесь

@Bygaga 6 ноя 2008 в 15:18

Бедные юзвера! А еще можно счеты дать в место компа, закрыть в подвал с метровыми железобетонными плитами что бы мобилки не работали, а то вдруг на мобиле ася или джабер какой, а спс и знакомые звонят…
Еще можно как лошадям повязки на глаза и кляп в рот что бы другие сотрудники не отвлекали по сторонам не вертелись…

Ну есть масса способов других по избавлению от онлайн игрушек и прочей нечести… А если не помогает то думаю никакие защиты не помогут человек такой и его не изменишь…

@GregPal 6 ноя 2008 в 19:56

в данном случе идет речь о видонаблюдении. то есть комп это лишь аналог монитора и охранникам нельзя давать повод отвлекаться от выполнения своих обязанностей. Листом бумаги или счетами тут не обойдешься.

в офисах же, согласен, подобные методы неприменимы.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий