P.S. На дурака конечно, ведь пользователь остается администратором. Нужны только знания и он сможет практически все.
Решение: для решения используем стандартную XP SP2 с заплаткам:
- 958644
- 957097
- 957095
- 956841
- 956803
- 924270
- 923414
- 921883
Все знают что такое политики безопасности. И можно было бы использовать групповые политики но беда в том, что машина вряд ли когда то попадет в домен. Политики это записи в реестре, поэтому мы можем смело их экспортировать в файл и потом импортировать на новую машину, что делает метод весьма универсальным и быстрым.
И так, для того что бы саму систему можно было бы отогнать (имеется ввиду вернуть системный раздел в исходное состояние) переносим все пользовательские директории на раздел отличный от С:\, пусть это будет D:\. Создадим на чистом диске папку, обзовем ее так же как и пользователя (сотрудник). Из-под учетки администратора скопируем все файлы сотрудника из C:\document and settings\сотрудник в D:\сотрудник. Дальше можно смело логиниться под сотрудником и наблюдать изменения "на лету" (для успешного перемещения профиля необходимо включить отображение скрытых файлов и папок).
- Перемещаем профиль.
Открываем regedit и переходим к ветке - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList разворачиваем и ищем нашего сотрудника по значению ключа ProfileImagePath, меняем значение на нужное нам D:\сотрудник. Рекомендуется так же заменить все подобные значения (но работает и так, глюков не замечал. Если кто заметит отпишитесь в комментах). - Принудительно класическая тема оформления.
Создаем раздел System в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ в нем создаем строковый параметр SetVisualStyle и для класической темы значение оставляем пустым, для совей темы оформления прописываем путь к теме. - Запретим пользователю менять оформление и все что с ним связанно.
Устанавливаем нужный нам wallpapers.
Отключаем вкладки темы и оформление в свойствах экрана:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System создаем DWORD параметр NoDispAppearancePage значение = 1
Отключаем вкладки "Рабочий стол" и "Заставка" в свойствах экрана:
Рабочий стол:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляем пораметр DWORD NoDispBackgroundPage значение = 1
Заставка: параметр DWORD NoDispScrSavPage значене = 1 - Твикнем explorer:
Запретим менть путь к папке "Мои документы": HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer параметр DWORD DisablePersonalDirChange значение = 1
Запретим контекстное меню панели пуск: параметр DWORD LockTaskbar значение = 1
Отключиv мастер очистки рабочего стола: NoDesktopCleanupWizard значение = 1
Скроем локальные диски: NoDrives значение = 3ffffff
Отключаем автозапуск: NoDriveTypeAutoRun значение = ff
Запретим перемещение Tsk bar'a NoMovingBands значение = 1
Запретим изменение значка мои документы: NoPropertiesMyDocuments значение = 1
Скрываем Документы и Общие документы из "Мой компьютер": NoSharedDocuments значение = 1
Классическое меню пуск: NoSimpleStartMenu Значение = 1
Отключаем контекстное меню Task bar'a NoTrayContextMenu значение = 1
Отключаем окно приветсвия: NoWelcomeScreen значение = 1 - Скроем некоторые аплеты в панели управления:
В HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer создаем параметр DWORD DisallowCpl значение = 1
в этой же ветке создаем одноименный раздел в котором создаем строковые параметры, в качестве имен порядковые номера, в качестве значения названия тех аплетов которые желаем скрыть.
P.S. Учетные записи пользователей скрыть в обязательном порядке. Иначе оставляем возможность создание нового административного пользователя, администрирование скроем из тех же соображений. Дабы нельзя было получить доступ к скрытым элементам путем смены языка системы, скроем и аплет "язык и региональные стандарты". - Спрячем "Мой компьютер":
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\NonEnum создадим DWORD параметр {20D04FE0-3AEA-1069-A2D8-08002B30309D} значение = 1 - Автологин:
Дабы не вызывать соблазна заглянуть в другие учетки, сделаем нашему пользователю автологин.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Проверяем наличие параметра DefaultUserName со значением = сотрудник (наш пользователь). Если его нет то создадим. Создаем строковый параметр DefaultPassword значение - пароль к учетке пользователя.
Создаем два строковых параметра: AutoAdminLogon и ForceAutoLogon со значением 1.
P.S. Для обхода процедуры автологина можно при загрузке удерживать клавишу Shift либо выбрать "смена пользователя" из стандартного диалога завершения сеанса. - Запретить изменение реестра.
Закроем доступ к реестру для нашего пользователя:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System создадим параметр DWORD DisableRegistryTools значение = 1
Экспортируем весь раздел Policies в файл, для дальнейшего импорта на машины. В моем конкретном случае получилось следующее
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDrives"=dword:03ffffff
"NoSharedDocuments"=dword:00000001
"NoPropertiesMyDocuments"=dword:00000001
"DisablePersonalDirChange"=dword:00000001
"NoMovingBands"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoWelcomeScreen"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"LockTaskbar"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"DisallowCpl"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl]
"1"="Учетные записи пользователей"
"2"="Язык и региональные стандарты"
"3"="Автоматическое обновление"
"4"="Речь"
"5"="Шрифты"
"6"="Администрирование"
"7"="Центр обеспечения безопасности"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"SetVisualStyle"=""
"NoDispAppearancePage"=dword:00000001
"NoDispBackgroundPage"=dword:00000001
"NoDispScrSavPage"=dword:00000001
"DisableRegistryTools"=dword:00000001
Для доступа к реестру не прибегая к смене пользователя, можно воспользоваться встроенной консольной утилиткой runas К примеру чтобы запустить regedit с правами администратора в командной строке вводим
runas /user:администратор regedit
P.S. Пустой пароль пользователя администратор в данном случае не приемлем. Вам придется его назначить.
1 комментарий:
UPDT: для полного запрета изменения картинки рабочего стола необходимо запретить пользователю изменять раздел HKCU\Control Panel\Desktop
По мимо этого там же можно руками назначить путь к картинке рабочего стола, путем правки параметра Wallpaper
Отправить комментарий