Ограничения пользователей компьютера с помощью локальной групповой политики

Категория: Учётные записи и пароли / Функционал Windows
Добавил: access_timeОпубликовано: 6-10-2017 visibilityПросмотров: 77 612 chat_bubble_outlineКомментариев: 27
Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.

Ограничения пользователей компьютера с помощью локальной групповой политики


Групповая политика для всех пользователей компьютера

Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.

Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.

Групповая политика для отдельных учётных записей


Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».

В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».

Теперь – «Обзор».

И добавляем пользователей. Выбираем:
• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;
• либо конкретного пользователя.

Готово.

Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».

Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.

Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.

Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.

Ограничения с помощью групповой политики




Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».

Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.

1. Запрет запуска отдельных программ


Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны - Система
Выбираем параметр «Не запускать указанные приложения Windows».

Включаем его, жмём «Применить».

Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:
AnyDesk.exe

После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.

По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем. 

2. Ограничение размера профиля


Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:\) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:
Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».

Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.

При достижении указанного лимита система будет выдавать соответствующее сообщение.


3. Отключение записи на съёмные носители


Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:
Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.

Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.




4. Удаление файлов мимо корзины


При частом захламлении диска (C:\) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:
Административные шаблоны – Компоненты Windows – Проводник
Отрываем параметр «Не перемещать удаляемые файлы в корзину».

Включаем, применяем.


5. Запрет доступа к дискам компьютера


Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Открываем параметр «Запретить доступ к дискам через «Мой компьютер».

Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.


6. Запрет доступа к панели управления и приложению «Параметры»




Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».

Включаем, применяем.
tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (27)

  1. img
    5 мая 2021 11:48 Фёдор
    Гость
    С помощью политики "Выполнять только указанные приложения" указал файл winword.exe. Настройка работает.

    А разрешать выполнение удалённого рабочего стола (rdp - mstsc.exe) пробовали?
    Цитировать replyОтветить
  2. img
    4 мая 2021 19:55 tarbo
    Гость
    Добрый день!
    Прошу помощи в решении следующей задачи: пользователю необходимо запретить запуск всех программ, кроме Word и удалённого рабочего стола (rdp). С помощью политики "Выполнять только указанные приложения" указал файл winword.exe. Настройка работает. Но запустить rdp-подключение не представляется возможным "Операция отменена вследствие действующих для компьютера ограничений". Как настроить подключение с помощью групповых политик?
    Спасибо.
    Цитировать replyОтветить
  3. img
    26 марта 2021 12:32 Фёдор
    Гость
    При установке системы в папке Windows\System32 создаются две подпапки GroupPolicy и GroupPolicyUsers. Первоначально эти папки даже не скрытые, их можно видеть и в проводнике, и пустые. Первая папка относится общей локальной групповой политике вызываемой и настраиваемой через gpedit.msc. При первом же запуске gpedit.msc папка GroupPolicy становится скрытой, в ней создаются подпапки Machine и User, соответственно относящиеся к разделам Конфигурация компьютера и Конфигурация пользователя, настраиваемых через gpedit.msc. В этих подпапках при настройке политики создаются файлы Registry.pol в которых сохраняются настроенные политики. Если в эти файлы заглянуть, будет видно, что в них сохраняются разделы и значения сохраняемые в реестре каждой применённой политикой. Ещё там появляются файлы comment.cmtx, насколько они нужны не знаю. Так вот настроенные файлы Registry.pol можно было скопировать на другой компьютер в те же папки и выполнить команду gpupdate /force чтобы их настройки применились к другому компьютеру. Насколько понимаю, с папкой GroupPolicyUsers должно быть тоже самое. Там, по методу описываемому в статье, для каждого пользователя/группы создаётся подпапка с именем GUID-индентификатора пользователя и в ней подпапки Machine и User с соответствующими файлами Registry.pol. Вот созданием и применением политик для отдельных пользователей на одном компьютере никогда не занимался ни дома ни по работе. Сделайте запрос в браузере по gpupdate и registry.pol
    Цитировать replyОтветить
  4. img
    26 марта 2021 09:41 admin
    Администратор
    Подумаю, отпишусь сегодня, завтра. Мож Фёдор с Фомой что подскажут.
    Цитировать replyОтветить
  5. img
    25 марта 2021 12:34 Дмитрий
    Гость
    Добрый день. Есть ли возможность копировать настроенные параметры для других пользователей этого ПК или изменять пользователя в Политике пользователя в консоли? Пользователей много и каждый раз создавать и настраивать консоль для каждого пользователя не хочется.
    Цитировать replyОтветить
  6. img
    19 февраля 2021 20:44 admin
    Администратор
    Если вы администратор на компьютере, то ограничьте права другим учётным записям.
    Цитировать replyОтветить
  7. img
    19 февраля 2021 19:21 Alex
    Гость
    Подскажите пожалуйста, а как ограничить доступ к групповым политикам, а то всё то что я запретил, такой же умник как я может обратно разрешить?
    Цитировать replyОтветить
  8. img
    14 января 2021 08:20 Гость Фома
    Гость
    решил ограничить доступ к приложению, а именно к антивирусу Kaspersky Total Security.
    Так вот, именно к антивирусам Касперского можно и надо использовать встроенные средства разграничения доступа. Загружаете исходный файл - avpui.exe, открываете окно Kaspersky Total Security, внизу окна слева должн быть значок шестеренки, нажимаете на него. В открывшемся окне Настройка, выбираете Интерфейс, справа окна есть прокрутка, если за нее потащить вниз или покрутить колесо мышки, в самом низу обнаружится переключатель Защита паролем. Если что-то не понятно, справа вверху окна есть знак вопроса, нажатие мышкой на нем и вас отправят на страницу сайта Как настроить интерфейс программы. Последним пунктом там должен числиться Как защитить доступ к управлению Kaspersky Total Security с помощью пароля, вот этот пункт и читайте, выполняйте.
    Цитировать replyОтветить
  9. img
    13 января 2021 09:12 Нуруддин
    Гость
    Здравствуйте. Вопрос таков: я решил ограничить доступ к приложению, а именно к антивирусу Kaspersky Total Security. Так вот, делаю все как вы прописали ("Заперт запуска отдельных программ"), и когда ввожу название приложения (через ".exe") и нажимаю "Применить" - приложение пропадает из списка запрещённых. Что делать? Программа - Kaspersky Total Security. Исходный файл - "avpui.exe". Буду благодарен, если вы отпишитесь. 
    Цитировать replyОтветить
  10. img
    19 августа 2020 09:59 admin
    Администратор
    Ara4on, временные проблемы с регистрацией.
    Цитировать replyОтветить
  11. img
    19 августа 2020 08:25 Ara4on
    Гость
    Приветствую. Давненько "поживаю" на ресурсе, один раз даже писал кое-что. А вот зарегистрироваться не могу уже который раз... Красная полоса с надписью "Информация Message body empty". При попытке написать письмо, тот же ответ, но в другом виде (Opera).

    Цитировать replyОтветить
  12. img
    9 января 2020 23:18 admin
    Администратор
    Цитата: Vityanya
    есть ли возможность создать ему учетную запись

    Есть:
    Цитата: Vityanya
    доступ на установку, удаление использование и просмотр файлов только на одном диске

    Смотрите п.5 этой статьи "Запрет доступа к дискам компьютера". Также вы можете использовать программы для родительского контроля, которые предусматривают такого рода ограничения, например, WinLock.
    Цитата: Vityanya
    есть браузер и он установлен и на его диске и на моем чтоб я запускал свою историю браузера а он свою и так далее

    Создайте для своего брата отдельный профиль в браузере. Для этого ваш браузер должен поддерживать многопрофильную работу. Такой браузер, например, Google Chrome. Если у вас Windows 10, вы можете использовать режим киоска

    Цитировать replyОтветить
  13. img
    9 января 2020 22:11 Vityanya
    Гость
    Добрый день есть пк и 3 жестких диска C,D,U , есть младший брат который часто засоряет ПК есть ли возможность создать ему учетную запись и дасть доступ на установку, удаление использование и просмотр файлов только на одном диске а к остальным не имел доступ, т.е к примеру есть браузер и он установлен и на его диске и на моем чтоб я запускал свою историю браузера а он свою и так далее
    Цитировать replyОтветить
  14. img
    17 декабря 2019 15:36 admin
    Администратор
    SevskGen, надо обычному пользователю дать статус учётной записи администратора. Если это невозможно, юзайте в сети информацию по запросу:
    • запуск программы без прав администратора windows 
    Цитировать replyОтветить
  15. img
    17 декабря 2019 15:18 SevskGen
    Гость
    Здравствуйте. Такая ситуация: Windows 10.  Как разрешить Пользователю (не администратору) установку любых приложений без введения пароля администратора?
    Спасибо.
    Цитировать replyОтветить
  16. img
    18 сентября 2019 10:32 admin
    Администратор
    Цитата: p4cific
    почему такое может быть

    У пользователя должна быть обычная учётная запись, а не администратора.
    Цитировать replyОтветить
  17. img
    18 сентября 2019 09:39 p4cific
    Гость
    сделал всё по инструкции, сохранил, но почему-то политики не применились и пользователь всё так же может делать что хочет... почему такое может быть?
    Цитировать replyОтветить
  18. img
    16 августа 2019 02:25 valeron_76
    Гость
    Добрый день. Подскажите пожалуйста, а как? «Редактор объектов групповой политики» в списке отсутствует.

    Цитировать replyОтветить
  19. img
    13 августа 2019 04:09 admin
    Администратор
     valeron_76,
    Да
    Цитировать replyОтветить
  20. img
    13 августа 2019 00:52 valeron_76
    Гость
    Добрый день! А вин10 домашняя для одного языка реализовать это можно???
    Цитировать replyОтветить
  21. img
    2 августа 2019 12:32 admin
    Администратор

    User, создаёте учётную запись обычную, без прав администратора. Делаете то, что описано в пункте этой статьи "Групповая политика для отдельных учётных записей". Далее, как показано в пункте этой статьи "1. Запрет запуска отдельных программ" ставьте ограничения на запуск программ, только не отдельных, а всех, кроме указанной. Если нужно отключить или ограничить Интернет, читайте пункт "4. Отключение и ограничение использования Интернета" статьи "5 способов ограничить возможности пользователя". С помощью программы Win10 Settings Blocker в среде Windows 7 можно запретить доступ к панели управления:

    https://www.sordum.org/11128/win10-settings-blocker-v1-1/

    О блокировке разделов диска с ограниченной учётной записи читайте пункт этой статьи "5. Запрет доступа к дискам компьютера"

    Цитировать replyОтветить
  22. img
    2 августа 2019 11:40 User
    Гость

    Здравствуйте! Помогите в решении задачки (желательно пошагово), очень нада.

    И так поставили мне задачу: Создать вторую учетную запись так, что бы из доступных функций был только один ярлык на робочем столе (запускающий программу) и больше никаких прав (window 7)

    Цитировать replyОтветить
  23. img
    11 сентября 2018 15:06 admin
    Администратор

    Делайте всё в обратном порядке или примените обычное восстановленияе системы.

    Цитировать replyОтветить
  24. img
    10 сентября 2018 15:22 Daniayr
    Гость

    А как обратно вернуть доступ на чтение и запись к съемным накопителям пользователю, после отключения через групповую политику?

    Цитировать replyОтветить
  25. img
    11 октября 2017 14:38 admin
    Администратор

    Самый простой способ, это использование утилиты LocalGPO.

    Цитировать replyОтветить
  26. img
    11 октября 2017 13:52 Viktor
    Гость

    Добрый день. А если есть 20 компьютеров и они не подключены к сети и в локальных политиках нужно изменить на каждом по 15 параметров, есть ли возможность копировать настроенные пареметры с одного компьютера на другой, а не настраивать каждый отдельно? Компьютеры одинаковые и операционная система одна и таже. Короче, как перенести настройки групповых политик на другой компьютер?

    Цитировать replyОтветить