Постановка задачи: необходимо сделать так, чтоб пользователь в своей учетной записи мог запускать только разрешенный перечень программ.
Варианты исполнения:
-через групповые политики;
-через реестр.
Способ через реестр.
Внимание! Некорректные действия в реестре могут привести к неработоспособности ОС Windows и как следствие ее переустановка.
Входим в реестр Windows:
-нажимаем сочетание клавиш Win+R;
-в строке «Выполнить» вводим: regedit;
-нажимаем ОК или кнопку «Ввод».
В реестре переходим по пути:
Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (настройки текущего пользователя).
Создаем параметр DWORD (32 бита) правой кнопкой мыши.
Название параметра: RestrictRun (запретить запуск приложений, кроме указанных)
Значение:1
Теперь укажем, какие приложения можно запускать. Создаем раздел с таким же названием RestrictRun.
В этом разделе создаем строковые параметры с номерами по порядку.
В значении каждого строкового параметра указываем приложение, которое разрешено запускать.
Начать желательно с regedit.exe, чтоб не заблокировать самого себя.
На этом все. Перезагружаем ПК, чтоб настройки применились.
В итоге этого примера на компьютере оказались разрешенными к запуску только 5 указанных программ: regedit.exe – реестр, calc.exe – калькулятор, mspaint.exe – пэйнт, avpui.exe – антивирус, winword.exe – ворд.
При запуске других программ появляется сообщение – Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.
Если необходимо обратное действие — разрешены все программы, кроме указанных в списке, необходимо использовать DWORD с названием DisallowRun и так же создать папку с перечнем запрещенных программ.
Для отмены блокировки необходимо удалить в реестре все созданное ранее и перезагрузить ПК.
Если по случайности заблокировался доступ в реестр, то необходимо выполнить загрузку с установочной флэшки Windows и удалить созданные параметры. Путь к файлам нужно искать в ветке HKEY_USERS\имя вашей учетной записи\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Продвинутые пользователи могут догадаться о причине блокировки, зайти в реестр и удалить ее. Чтоб устранить эту проблему нужно ограничить доступ к диску с папкой файлов реестра.
Reg-файл.
Теперь немного автоматизируем процесс.
Создадим reg-файл с параметрами настроек, который можно применять на других ПК и каждый раз не заходить в реестр. Такой метод называется tweak reg (твик реестра).
Создаем текстовый файл с расширением .txt
Меняем расширение на .reg
Чтоб менять расширение файлов в Windows10 нужно на вкладке «Вид» верхней панели папки установить галочку «Расширения имен файлов».
Получился reg-файл в который мы внесем настройки реестра.
Другой способ получить reg-файл – экспортировать настройки из реестра.
Экспортируем в удобное место и называем любым именем.
Открываем экспортированный файл с помощью блокнота Notepad++ (или другого удобного текстового редактора). Если просто кликнуть по файлу 2 раза мышкой, то он внесет изменения в реестр.
Внутри файла следующее содержание.
1 2 3 4 5 6 7 8 9 10 11 12 |
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] @="" "RestrictRun"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] "1"="regedit.exe" "2"="calc.exe" "3"="mspaint.exe" "4"="avpui.exe" "5"="winword.exe" |
Рассмотрим построчно:
1 строка – версия редактора реестра Windows (ничего не меняем);
2 строка – пустая (обязательно);
3 строка – путь реестра в квадратных скобках;
4 строка – какой-то параметр, который был по умолчанию (можно удалить);
5 строка – параметр DWORD созданный ранее, со значением 1;
6 строка – пустая
7 строка – следующая ветка реестра;
7-12 строки – строковые параметры, с указанием разрешенных к запуску программ.
13 строка пустая (обязательно).
Для удаления значения какого-то параметра нужно использовать ключ – (минус)
Например, нужно деактивировать строку 5 и строки 7-12. Это будет выглядеть так:
1 2 3 4 5 6 7 8 9 10 11 12 |
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] @="" "RestrictRun"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] "1"=- "2"=- "3"=- "4"=- "5"=- |
К параметрам можно добавлять комментарий. Для этого вначале строки ставится ; (точка с запятой)
На картинке ниже настройки с комментариями.
Таким способом можно редактировать любую ветку реестра.
Чтоб применить все внесенные настройки сохраняем файл и кликаем по нему 2 раза. В открывшемся предупреждении нажимаем «Да».
Перезагружаем ПК.
На этом описание базового функционала редактора реестра завершается. Более подробно можно прочитать в учебниках и в Интернете.
Теперь, зная все выше описанное, создаем reg-файл с необходимыми настройками реестра и применяем на любом ПК с ОС Windows.
Кроме разрешения запуска программ можно заблокировать доступ к дискам, панели управления и еще много куда. Название ключей для этих действий нужно искать в Интернете.
Для удобства администрирования были созданы два reg-файла: блокиратор и разблокиратор. Блокиратор, как понятно из названия, блокирует все после его применения (нельзя вызвать строку «Выполнить» и запустить редактор реестра). Разблокиратор – все что было заблокировано – разблокирует.
Работоспособность этого метода проверена в Window7 и Windows 10.
А как подавить вывод сообщения «Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.»? Оставить блокировку, но без вывода этой бесящей пользователя надписи?