Как запретить запуск программы в windows 10, 8.1 и windows 7

Как установить контроль через локальную учетную запись?

При использовании локальных учетных записей нам понадобится вручную настроить каждый пункт родительского контроля.

Настройка ограничения по времени

Для того чтобы разрешить определенному пользователю вход в учетную запись лишь в определенное время, например только вечером и по выходным, нам понадобится произвести несколько манипуляций в командной строке, следуйте инструкциям ниже:

Для того чтобы воспользоваться командной строкой, воспользуйтесь сочетанием клавиш Win + X или же правым кликом нажмите на меню Пуск и выберите в меню пункт «Командная строка (администратор)».

Команда для ограничения пребывания за ПК по времени выглядит примерно так:

net user /time:

Рассмотрим её подробнее:

1. Замените на имя пользователя которому вы хотите ограничить доступ.
2. Замените на дни недели по которым вы хотите разрешить использование компьютера, дни недели указываются как в полном, так и в укороченном варианте, правда на английском — M, T, W, Th, F, Sa, Su, на русском это будет соответствовать Понедельнику, Вторнику, Среде и так далее.
3. Замените на желанное время в формате XX:YY, где X — часы, а Y — минуты. Впрочем, система будет распознавать лишь часы, минуты не будут учтены, поэтому используйте всегда «00» минут.

net user arthur /time:M,15:00-20:00

Также можно задать диапазон дней для входа, к примеру с понедельника по пятницу, для этого разделите начальный и конечный день дефисом:

net user arthur /time:M-F,15:00-20:00

Возможности данной команды почти безграничные, мы можем даже назначить разное время для различных дней, к примеру ограничим время пребывания за компьютером с 4 до 8 вечера в понедельник, а во вторник с 6 до 9:

net user arthur /time:M,16:00-20:00;T,18:00-21:00

Используя схему, описанную выше, вы можете настроить абсолютно любое сочетание дней и времени, разделив каждый параметр точкой с запятой — «;».

Для того чтобы снять все установленные временные рамки, просто воспользуйтесь командой:

net user arthur /time:all

Как отключить некоторые приложения?

Когда вы успешно настроили время работы на компьютере для вашего ребёнка, вам наверняка захочется ограничить доступ к некоторым приложениям. Вы можете заблокировать некоторые приложения или же заблокировать все программы, дав доступ лишь к определенному списку.

При помощи редактора реестра

1. Войти в учетную запись пользователя, которому вы хотите заблокировать доступ.
2. Откройте редактор реестра при помощи клавиш «Win» + «R» и выполнения команды regedit.
3. В иерархическом древе слева найдите путь «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies».
4. Правым кликом нажмите на каталог Policies и выберите Создать > Раздел, назовите новый раздел Explorer.
5. Перейдите в только что созданную папку, в правой части экрана нажмите правым кликом и выберите Создать > Новый параметр DWORD (32-бита) с именем «DisallowRun».
6. Двойным кликом нажмите по «DisallowRun» и введите в поле Значение 1.
7. Вернитесь к папке Explorer и создайте новый раздел DisallowRun.

После того, как мы подготовили все необходимые разделы, пришло время к непосредственной настройке приложений. Все запрещенные приложения будут нами включаться в только, что созданный раздел «DisallowRun»:

В разделе «DisallowRun» создайте новый строковый параметр (правым кликом по пустому пространству справа — Создать).
Имя параметра не столь важно, просто нумеруйте их по мере необходимости цифрами начиная от единицы.
В поле Значение введите название программы, доступ к которой вы хотите заблокировать, например «firefox.exe» для блокирования браузера Firefox.

Справка. Таким способом вы можете заблокировать любую программу на ПК, в том числе игры, офисные приложения и другое, а также поставить родительский контроль на интернет.

Запретить все приложения, сделав список разрешенных

Чтобы полностью убрать доступ ко всем приложениям, необходимо также воспользоваться реестром, инструкция почти полностью повторяет предыдущую до пункта созданий DWORD параметра:

1. В каталоге Explorer создайте новый DWORD параметр с именем «RestrictRun».
2. Двойным кликом нажмите на только, что созданные параметр и введите значение 1.
3. В папке Explorer создайте новый каталог RestrictRun.
4. Тем же способом, что и в предыдущем методе, создайте в этом каталоге строковые параметры, где в качестве значения указывайте разрешенные программы.
5. К примеру, создав строковый параметр со значением «notepad.exe» мы разрешим пользователю использовать лишь блокнот и ничего другого.

Настройка PowerShell Execution Policy с помощью групповых политик

Вы можете настроить политику выполнения PowerShel скриптов на серверах или компьютерах домена с помощью групповых политик.

1. С помощью редактора доменных GPO (gpmc.msc) создайте новую GPO (или отредактируйте) существующую и назначьте ее на OU с компьютерами, к которым нужно применить политику запуска PowerShell скриптов;
2. В редакторе политики перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell и найдите политику Turn on Script Execution (Включить выполнение сценариев); Аналогичная политика есть в пользовательском разделе GPO — User Configuration, но политика компьютера имеет приоритет.
3. Для политики доступны три значения:
   • Allow only signed scripts (Разрешать только подписанные сценарии) — соответствует политике AllSigned;
   • Allow local scripts and remote signed scripts (Разрешать локальные и удаленные подписанные сценарии) — соответствует политике PS RemoteSigned;
   • Allow all scripts (Разрешать все сценарии) — политика Unrestricted.
4. Выберите необходимое значение политики, сохраните GPO и обновите политики на компьютере.
5. Проверьте, что для области MachinePolicy теперь действуют новые настройки выполнения.

После настройки политики выполнения через GPO вы не сможете изменить настройки политики выполнения скриптов вручную. При попытке изменить настройки Execution Policy на компьютере, на который применяется такая GPO, появится ошибка:

Set-ExecutionPolicy : Windows PowerShell updated your execution policy successfully, but the setting is overridden by a policy defined at a more specific scope. Due to the override, your shell will retain its current effective execution policy of RemoteSigned. Type "Get-ExecutionPolicy -List" to view your execution policy settings.

Аналогичным образом можно настроить Execution Policy на отдельном компьютере с помощью локального редактора GPO – gpedit.msc.

Как установить Родительский контроль в Windows 10

Для возможности использования Семейной безопасности Windows 10, в операционной системе необходимо создать новую учетную запись ребенка с пониженными правами.

1. Войдите в меню «Пуск», запустите приложение «Параметры».
2. Войдите в «Учетные записи», откройте раздел «Семья и другие люди».
3. Нажмите на параметр «Добавить члена семьи».

1. В окне для выбора типа учетной записи: взрослого или ребенка, выберите пункт «Добавить учетную запись ребенка».

1. Если учетная запись была создана заранее, введите данные от существующей учетной записи. В противном случае, создайте учетную запись, сначала создайте адрес в электронной почте outlook.com.

1. Выполните дальнейшие необходимые действия: введите пароль, выберите страну, вставьте дату рождения (можете ввести любые данные о возрасте). Для дополнительной защиты учетной записи укажите номер телефона. Обязательно запомните пароль от учетной записи ребенка, он понадобится для входа в систему.

Если ребенку меньше 8 лет, функция родительского контроля применит максимальные настройки безопасности. Для детей старше 8 лет у родителя будет возможность изменить все настройки вручную.

После завершения создания профиля, в разделе «Семья и люди» отобразиться учетная запись члена семьи: «Ребенок».

При включении компьютера, перезагрузке или при переключении между учетными записями в Windows, для входа в систему необходимо будет ввести пароль от основной учетной записи или от учетной записи ребенка. На экране откроется заставка, после клика по заставке появится панель для выбора учетной записи. Далее кликните по нужному профилю, для входа в учетную запись введите пароль от аккаунта.

Запретить (разрешить) запуск определенных программ с помощью групповых политик

Групповые политики есть только в Windows Pro, Enterprise или Education, если у вас домашняя версия Windows — переходите ко второму способу. Если вы хотите запретить (разрешить) запуск определенных программ другим пользователям этого компьютера — сначала выполните всё по инструкции «Как настроить групповые политики для конкретных пользователей».

1. В строке поиска или в меню «Выполнить» (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.

2. Зайдите в «Конфигурация пользователя» => Административные шаблоны => «Система» => Если вы хотите запретить запуск определенных программ — откройте параметр «Не запускать указанные приложения Windows», если вы хотите разрешить запуск определенных программ, а остальные чтобы были под запретом — откройте «Выполнять только указанные приложения Windows»

Поставьте точку в поле «Включено» и нажмите на «Показать». ВАЖНО: в некоторых версиях Windows данные действия запрещают сами групповые политики, также перестает открываться диспетчер задач и редактор реестра, что в свою очередь не дает вернуть все как было и приходится все исправлять в дополнительных параметрах загрузки системы. Чтобы такого не произошло — добавляйте в список разрешенных gpedit.msc и regedit.exe

Или создайте пользователя, которому вы хотите ограничить открытие программ и делайте данные разрешения для него, оставив себе право все изменить.

В этом окошке нужно ввести приложения, которые разрешено (запрещено) запускать. Вводите название файла для запуска, если вы не знаете его — нажмите на ярлык нужной программы правой клавишей мыши, зайдите в свойства и посмотрите.

Нажмите два раза на «ОК»и перезагрузите компьютер. Теперь те приложения, которые вы ввели в списке -будут открываться без проблем, а при открытии программ отсутствующих в списке — появится окно «…Обратитесь к системному администратору» (это если вы разрешили запуск только определенных программ, если вы запретили запуск определенных программ — то программы из списка не будут открываться, а все остальные будут работать).

В любой момент вы сможете зайти в групповые политики и отключить данный параметр, или добавить в список другие разрешенные программы.

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы вы могли легко понять процесс, связанный с редактированием политик, мы будем использовать пример. Допустим, вы хотите установить конкретные обои по умолчанию для вашего рабочего стола, которые будут установлены для всех существующих или новых пользователей на вашем компьютере с Windows.

Чтобы перейти к настройкам рабочего стола, вам нужно будет просмотреть категорию «Конфигурация пользователя» на левой панели. Затем перейдите к административным шаблонам, разверните Рабочий стол и выберите параметры внутреннего рабочего стола. На правой панели вы увидите все параметры, которые вы можете настроить для выбранного в настоящий момент административного шаблона

Обратите внимание, что для каждого доступного параметра у вас есть два столбца с правой стороны:

• В столбце «Состояние» указано, какие параметры не настроены, а какие включены или отключены.
• В столбце «Комментарии» отображаются комментарии, сделанные вами или другим администратором для этого параметра.

В левой части этой панели также отображается подробная информация о том, что делает конкретный параметр и как он влияет на Windows. Эта информация отображается в левой части панели всякий раз, когда вы выбираете определенную настройку. Например, если вы выберете Обои для рабочего стола, слева вы увидите, что их можно применять к версиям Windows, начиная с Windows 2000, и вы можете прочитать их Описание , которое говорит вам, что вы можете указать «фон рабочего стола отображается на всех рабочих столах пользователей» . Если вы хотите отредактировать настройку, в нашем случае обои рабочего стола, дважды щелкните/нажмите на эту настройку или щелкните правой кнопкой мыши/нажмите и удерживайте ее, а затем выберите «Изменить» в контекстном меню.

Откроется новое окно с названием выбранного вами параметра. В этом окне вы можете включить или отключить настройку или оставить «Не настроено». Если вы хотите включить настройку, сначала выберите ее как Включено. Затем прочитайте раздел справки и, если есть раздел «Опции», убедитесь, что вы заполняете запрашиваемую информацию

Обратите внимание, что это окно может включать в себя различные параметры, в зависимости от настройки, которую вы выбираете для редактирования. Например, в нашем примере об указании обоев для рабочего стола мы должны указать путь к файлу изображения, который мы хотим установить в качестве обоев, и мы должны выбрать, как мы хотим, чтобы он располагался

Затем мы можем добавить комментарий (если мы хотим — это совершенно необязательно) и, наконец, мы должны нажать кнопку Применить или кнопку ОК , чтобы активировать нашу настройку.

Отключение параметра или изменение его статуса на «Не настроен» предполагает простой выбор одного из этих параметров. Как мы упоминали ранее, разные настройки имеют разные параметры. Например, сценарии, которые вы можете настроить для запуска Windows при запуске или выключении, могут выглядеть совершенно иначе.

Нажмите или коснитесь «Конфигурация компьютера», затем «Параметры и сценарии Windows» («Запуск / выключение»). Выберите «Запуск» или «Выключение» на правой панели и нажмите на ссылку «Свойства» на правой панели. Или дважды щелкните Запуск или Завершение работы.

Нажмите «Добавить…», чтобы добавить новые сценарии в выбранный процесс.

В этом случае вам не нужно ничего включать или отключать. Вместо этого вы можете добавлять или удалять различные сценарии, запускаемые при запуске или завершении работы Windows.

Когда вы закончите, нажмите или нажмите OK .

Перейдите к редактору локальной групповой политики и проверьте, какие настройки он предлагает, потому что их много. Считайте это своей игровой площадкой на время, так как есть много вещей, которые вы можете проверить.

Запретить (разрешить) запуск определенных программ в редакторе реестра

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду regedit и нажмите клавишу Enter.

2. Перейдите по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ => в разделе Policies откройте раздел Explorer, если его нет — нажмите на раздел Policies правой клавишей, выберите «Создать» => «Раздел» => назовите его Explorer => нажмите на раздел Explorer правой клавишей мыши, выберите «Создать» => «Параметр DWORD (32 Бита) => если вы хотите запретить определенные программы — назовите новый параметр DisallowRun , если вы хотите чтобы запускались только определенные программы, а остальные были под запретом — назовите новый параметр RestrictRun

3. Откройте параметр RestrictRun или DisallowRun => в поле «Значение» введите 1 и нажмите клавишу Enter.

4. Нажмите на раздел Explorer правой клавишей мыши, выберите «Создать» => «Раздел» => если вы хотите запретить определенные программы — назовите новый раздел DisallowRun , если вы хотите разрешить запуск определенных программ — назовите новый раздел RestrictRun

5. Нажмите на раздел RestrictRun или DisallowRun правой клавишей мыши, выберите «Создать» => «Строковый параметр» => назовите новый параметр 1

6. Важно: в некоторых версиях Windows данные действия запрещают сами групповые политики, также перестает открываться диспетчер задач и редактор реестра, что в свою очередь не дает вернуть все как было и приходится все исправлять в дополнительных параметрах загрузки системы. Чтобы такого не произошло — добавляйте в список разрешенных gpedit.msc и regedit.exe.  Откройте созданный параметр => в поле «Значение» введите имя исполняемого файла программы, которую вы хотите запретить (разрешить)

В нашем примере мы запрещаем (разрешаем) программу «Блокнот», имя исполняемого файла notepad.exe => в поле «Значение вводим notepad.exe и нажимаем на «ОК»

 Откройте созданный параметр => в поле «Значение» введите имя исполняемого файла программы, которую вы хотите запретить (разрешить). В нашем примере мы запрещаем (разрешаем) программу «Блокнот», имя исполняемого файла notepad.exe => в поле «Значение вводим notepad.exe и нажимаем на «ОК».

7. Повторите 5 и 6 пункт с инструкции столько раз, сколько нужно программ вам запретить или разрешить. Следующие создаваемые параметры называйте цифрами по порядку ( 2, 3, 4 …).

Диктатура админ

После произведенных настроек мы получим полностью контролируемую сеть, в
которой будут использоваться только разрешенные программы, а пользователи не
будут отвлекаться от работы. Также не забываем о записях системы аудита, в
которых будет присутствовать информация о переводе сетевого интерфейса в
пассивный режим или установке программ. Конечно, это не все варианты
установления «диктатуры» админа в LAN; добавим сюда отключение пользователя от
интернета при превышении лимита, шейпинг трафика, контроль МАС- и IP-адресов,
блокировку мессенджеров, фильтрацию URL и контента и многое другое.

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:

Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

Жмём «Win+R» и вводим «secpol.msc».

Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

Откроется окно Мастера создания новых правил. Жмём «Далее».

Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Блокирование наследования политики Править

Windows 2000 позволяет блокировать наследование политики от родительского объекта. Например, если вы хотите, чтобы в отношении контейнера IT и всех его подконтейнеров действовали только политики, определенные на уровне IT, на странице Group Policy (Групповая политика) свойств объекта IT установите флажок Block Policy Inheritance (блокировать наследование политики). При этом политики Р1 и Р3 не будут применяться в отношении контейнеров IT Workstations и IT Servers. Блокирование наследования политик нельзя отключить для какой-либо одной политики. Если для какого-либо контейнера включено блокирование наследования политик, в отношении этого контейнера и всех его подконтейнеров перестают действовать абсолютно все политики, назначенные на более высоких уровнях иерархии каталога Active Directory.
Этот параметр может быть настроен отдельно для конкретного объекта GPO и действует в отношении всех контейнеров, для которых назначен этот GPO. Если для объекта GPO установлен флажок No Override (не отменять), значения параметров из соответствующей политики всегда будут обладать большим приоритетом при возникновении конфликтов политик вне зависимости от того, на каком уровне иерархии расположены контейнеры, к которым применяется данный GPO. Например, если вы откроете окно свойств домена shinyapple.msft и установите флажок No Override (не отменять) для политики Р1, объекты, расположенные ниже по иерархии Active Directory, всегда будут настроены в соответствии со значениями, заданными в политике Р1. При возникновении конфликта политик значениям из Р1 будет отдано предпочтение. Хорошим примером ситуации, в которой может потребоваться использование данной возможности, является применение параметров безопасности. Если для какого-либо контейнера включено блокирование наследования политик, политика, обладающая свойством No Override (не отменять), все равно будет применена, так как параметр No Override (не отменять) обладает большим приоритетом.

Простая политика ограниченного использования программ

Простая политика ограниченного использования программ имеет некоторое сходство с функцией повышения учетной записи пользователя. Именно эта функция помогает предотвратить приобретение прав администратора правами администратора, тем самым ограничивая возможности причинения беспрецедентного вреда. По сути, инструмент предотвращает запуск вредоносных программ.

В отличие от ОАЭ, который чрезвычайно уязвим к тактике социальной инженерии или обману пользователей, Политика ограниченного использования программ очень устойчива к таким событиям. Это не позволяет запускать программу, если ее установка не была запланирована заранее.

Следовательно, необходимо деактивировать Политику ограниченного использования программ, прежде чем пытаться запустить программу установки программного обеспечения. Если нет, инструмент выдаст несколько всплывающих окон на экране вашего компьютера

Также обратите внимание, что для мгновенного включения контроля политик программного обеспечения ваша система требует перезагрузки.

Важные функции служебного приложения находятся в файле softwarepolicy.ini . Вы можете запустить его в любом текстовом редакторе, чтобы настроить его поведение. Синтаксис довольно прост, и инструкции приведены для каждой записи.

• Пользовательские политики — позволяет программному обеспечению всегда работать в стандартных местах, таких как файлы программ.
• LimitedApps . Программы, перечисленные в этом разделе, могут запускаться только с ограниченными правами.
• SoftwarePolicy — содержит некоторые важные типы файлов, такие как exe, bat и т. д.
• AdminMenuPasswordLevel — предлагает полезное меню в виде трея. Вы можете включить его, чтобы защитить паролем конфигурацию приложения.

Доступ к основным элементам управления политикой программного обеспечения можно получить через системный трей. Наведите указатель мыши на значок, чтобы отобразить статус политики. Щелчок один раз расширяет меню опций

Важное меню параметров, которые вы можете найти в разделе Политика ограниченного использования программ:

1. Замок
2. отпереть
3. Настройка.

Функции параметров Блокировка и Разблокировать не требуют пояснений. Они активируют или деактивируют ограничения политики с немедленным вступлением в силу. Когда разблокировано, иконка в трее меняется на красный восклицательный знак и мигает. При наведении курсора мыши на него отобразится время, оставшееся до автоматического повторного активирования политики (блокировки).

Параметр Настроить открывает файл конфигурации softwarepolicy.ini в стандартном текстовом редакторе, обычно в блокноте. Если вы внесете изменения и сохраните их, интерфейс политики обнаружит эту ситуацию и спросит, хотите ли вы перезагрузить настройки и активировать их.

В дополнение к вышеперечисленным основным элементам управления в меню на панели задач отображаются параметры питания. Выход из апплета в трее не деактивирует никакую политику. Это только отключает пользовательские элементы управления.

Если апплет был случайно закрыт, его можно перезапустить с иконки на рабочем столе или с помощью ярлыка автозапуска MLSoftwarePolicyTrayApplet в меню «Пуск».

Апплет Software Policy не использует подход групповой политики для настройки своих элементов управления. Вместо этого они встроены непосредственно в реестр. Выполнение операций таким способом подразумевает либо/или ситуацию, когда программные политики могут быть установлены только этим апплетом или редактором групповой политики. Использование обоих для установки программных политик может привести к конфликту интересов.

Раздел реестра, в котором находятся и могут быть легко расположены эти политики,

На 64-битном Windows вы найдете вторую копию в разделе:

Оба они должны быть установлены по порядку, чтобы 32-битное и 64-битное программное обеспечение должным образом контролировались.

Это доступно на Sourceforge.com. Прочитайте подробную документацию там.

Слово предостережения . Настройка любых неправильных настроек может помешать нормальному функционированию системы

Поэтому используйте его с осторожностью

Что такое Групповые политики (Group Policy)?

Если верить скучным определениям, то групповые политики (или Group Policy) — это эффективный и централизованный механизм управления многочисленными параметрами операционных систем и приложений. Групповые политики позволяют админам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Проще говоря, это довольно мощный инструмент для ограничения в действиях обычных пользователей. Существует масса различных политик и прав, с помощью которых можно запретить вызов диспетчера задач или редактора реестра, запретить доступ к меню «Пуск», а также довольно гибко ограничить запуск программного обеспечения (это реализуется с помощью так называемых Software Restriction Policies). Является ли этот механизм эффективным? Лишь отчасти. Доступ к шорткатам, запуск левого ПО и системных приложений, изменение настроек — все это достаточно легко запрещается с помощью групповых политик, и с этой точки зрения можно сказать спасибо разработчикам ОС. Но, увы, как это обычно бывает, эти политики зачастую можно обойти. Тут стоит сделать оговорку. Все политики можно разбить на две категории — для компов и для пользователей. Групповые политики доступны как в домене, так и на локальном компе. Если речь идет о локальной машине, то их можно посмотреть через специальную оснастку gpedit.msc (secpol.msc). В данной статье основной акцент сделан именно на доменные групповые политики. Итак, приступим.