PDA

Просмотр полной версии : Как назанчить групповую политику группе Users на отдельном Win2k Prof?


ШаманМганга
12-04-2001, 14:19
Задача - на автономном Win2kPro некая группа VeryStupidUsers должна иметь возможность запускать только одну программу - никаких "помощь", "найти", "выполнить", "настройка" и проч. - в кнопке "Пуск" быть не должно. Также не должно быть никаких "Мой компьютер", "сетевое окружение" и т.п. Эдакий аналог Dendy - включил компьютер, попользовал программу, а вышел из программы - автоматический сброс.
Попробовал я использовать оснастку "Групповая политика - локальный компьютер" от имени созданной мной группы VeryStupidUsers - шиш, запрет изменения реестра. Попробовал от имени администраторов - меняются политики группы Администраторы. Как, оставаясь администратором, назначить урезанную политику какой-либо другой группе?

 
 

ШаманМганга
16-04-2001, 13:48
М-да, здесь задают намного больше вопросов, чем отвечают...
Пока я ждал ответа, сам докопался до всего...
Отвечу сам себе - может кому-нибудь поможет мой ответ.
Как назначить политику целой группе - я не разобрался, а вот с отдельным юзером - да.
Прежде всего делаем юзера членом группы Администраторы - чтобы мог себе реестр менять.
Входим от имени этого юзера.
Создать профиль пользователя, из которого убрать все программы пользователя из меню «Пуск».
Добавить в меню "Пуск" ссылку на редактор реестра, чтобы потом можно было изменить настройки. Запретить на уровне файловой системы NTFS всякий доступ к этому ярлыку для группы VeryStupidUsers.
Необходимо заблокировать программы, запускаемые из «Диспетчера служебных программ» - «Экранная лупа» и «Экранная клавиатура» (Ещё лучше было бы заблокировать сам «Диспетчер служебных программ», однако неизвестно, как это сделать. Запрет на выполнение конкретной группой пользователей файлов D:\WINNT\SYSTEM32\UtilMan.exe и D:\WINNT\SYSTEM32\DLLCASHE\UtilMan.exe на уровне файловой системы результата не даёт – по всей видимости, запуск по «горячей» клавише Win+U идёт от имени учётной записи SYSTEM). Блокировка «Экранной лупы» осуществляется сбросом ключа реестра H K E Y _ L O C A L _ M A C H I N E \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s N T \ C u r r e n t V e r s i o n \ A c c e s s e b i l i t y \ U t i l i t y M a n a g e r \ M a g n i f i e r \ A p p l i c a t i o n P a t h со значения Magnifier.exe в пустое значение. Блокировка «Экранной клавиатуры» осуществляется сбросом ключа реестра H K E Y _ L O C A L _ M A C H I N E \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s N T \ C u r r e n t V e r s i o n \ A c c e s s e b i l i t y \ U t i l i t y M a n a g e r \ O n – S c e e n K e y b o a r d \ A p p l i c a t i o n P a t h со значения osk.exe в пустое значение.

В ветви реестра H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ P o l i c i e s \ E x p l o r e r установить значение следующих ключей в 1 (тип данных DWORD):

NoControlPanel
NoSMMyDocuments
NoRecentDocsHistory
NoRecentDocsMenu
NoChangeStartMenu
NoSMHelp
NoRun
NoSetFolders
NoSetTaskbar
NoFind
NoNetHood
NoStartMenuSubFolders
NoOptions
NoFileMenu
NoCommonGroups
NoTrayContextMenu
NoViewContextMenu
NoNetConnectDisconnect
NoDesktop
NoBalloonTip
NoClose
Ключ NoDrives установите равным FF.

В ветви реестра H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ P o l i c i e s \ N e t w o r k установить значение следующих ключей в 1 (тип данных DWORD):
NoEntireNetwork
NoWorkgroupContents

В ветви реестра H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ P o l i c i e s \ S y s t e m установить значения следующих ключей в 1 (тип данных DWORD):
NoHelp
NoDispCPL
NoDispBackgroundPage
NoDispScrSavPage
NoDispAppearancePage
NoDispSettingsPage
DisableTaskMgr
DisableLockWorkstation
DisableChangePassword


Пояснения к вышеуказанным ключам.

NoControlPanel
Отключает все значки "Панели управления". Эта политика запрещает запуск программы CONTROL.EXE, которая отвечает за работу панели управления. В результате пользователи не могут открыть окно "Панель управления" или запустить какой-либо из элементов панели управления.Эта политика также удаляет команду "Панель управления" из меню "Пуск". Эта политика также удаляет папку "Панель управления" из дерева "Проводника". Если пользователь попытается выбрать команду "Панель управления" в элементе "Свойства" контекстного меню, будет выдано сообщение о том, что политика запрещает выполнение этого действия. См. также политики "Отключить значок "Экран" в панели управления" и "Отключить папки программ в меню "Настройка"".

NoSMMyDocuments
Удаляет значок "Мои документы" из меню "Пуск" и его подменю.Эта политика удаляет только значок. Она не запрещает пользователю получать доступ к содержимому папки "Мои документы" другими способами.Примечание: чтобы изменения этой политики вступили в силу, нужно выйти и снова войти в Windows 2000.См. также: "Удалить значок "Мои документы" с рабочего стола".
Для большей надёжности. В принципе достаточно ключа NoRecentDocsMenu

NoRecentDocsHistory
Запрещает системе сохранять ярлыки к документам, которые недавно открывал пользователь. По умолчанию, система сохраняет ярлыки ко всем файлам, не являющимся программами, которые недавно открывал пользователь, и отображает их в меню "Пуск" в папке "Документы". Эти ярлыки позволяют пользователям быстрее отыскивать и вновь открывать недавно использовавшиеся ими документы. Если эта политика включена, система не сохраняет ярлыки в папке "Документы". Эта политика может использоваться совместно с политиками "Удалить меню "Документы" из главного меню" и "Очищать сведения о недавно открывавшихся документах при выходе" в этой папке для того, чтобы настроить параметры управления доступом к недавно открывавшимся файлам. Если эта политика включена и не выбрана политика "Удалить меню "Документы" из главного меню", папка "Документы" отображается в меню "Пуск", но она будет пуста.См. также политику "Максимальная длина списка "Документы"" в папке "Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник".
Для большей надёжности. В принципе достаточно ключа NoRecentDocsMenu

NoRecentDocsMenu
Удаляет команду меню "Документы" из меню "Пуск". Меню "Документы" содержит ярлыки ко всем файлам, не являющимся программами, которые недавно открывал пользователь. Эти ярлыки позволяют пользователям быстрее отыскивать и вновь открывать недавно использовавшиеся ими документы. Эта политика может использоваться совместно с политиками "Не хранить журнал недавно открытых документов" и "Очищать сведения о недавно открывавшихся документах при выходе" в этой папке для того, чтобы настроить параметры управления доступом к недавно открывавшимся файлам. См. также политику "Максимальная длина списка "Документы"" в папке "Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник".

NoChangeStartMenu
Запрещает пользователям использовать перетаскивание мышью для изменения порядка или удаления элементов меню "Пуск". Кроме того, она удаляет контекстные меню из меню "Пуск".Если эта политика отключена или не задана, пользователи могут изменять порядок или удалять элементы меню "Пуск" с помощью перетаскивания мышью этих элементов. Они также могут использовать контекстные меню, открывая их с помощью правого щелчка мышью на элементах меню "Пуск". Эта политика не запрещает пользователям использовать другие методы для настройки меню "Пуск" или для выполнения заданий, доступных им с помощью контекстных меню. См. также политики "Запретить изменение параметров панели задач и меню "Пуск"" и "Отключить контекстное меню для панели задач".

NoSMHelp
Удаляет команду "Справка" из меню "Пуск". Эта политика влияет только на меню "Пуск". Она не удаляет меню "Справка" из окна "Проводника" Windows и не запрещает пользователям использовать другие способы вызова справки Windows 2000."

NoRun
Удаляет команду "Выполнить" из меню "Пуск" и кнопку "Новая задача" из окна "Диспетчер задач". Кроме того, пользователи, имеющие клавиатуры с дополнительной клавишей <Windows> не смогут открывать диалог "Запуск программы" с помощью сочетания клавиш <Windows> +<R> .Эта политика влияет только на указанные возможности интерфейса. Она не запрещает пользователям применять другие методы для запуска программ.

NoSetFolders
Запрещает открытие папок "Панель управления", "Принтеры" и "Сеть и удаленный доступ к сети". Эта политика удаляет команды "Панель управления", "Принтеры" и "Сеть и удаленный доступ к сети" из меню "Пуск", "Настройка", а также из окон "Мой компьютер" и "Проводник". Кроме того, она запрещает выполнение программ, представляемых этими папками (таких, как CONTROL.EXE).Однако, пользователи могут запускать отдельные элементы панели управления с помощью других средств, например, с помощью правого щелчка на рабочем столе можно запустить элемент "Экран", или с помощью правого щелчка на значке "Мой компьютер" можно запустить элемент "Система". См. также политики "Отключить панель управления", "Отключить значок "Экран" в панели управления" и "Удалить "Сеть и удаленный доступ к сети" из меню "Пуск".

NoSetTaskbar
Удаляет команду "Панель задач и меню "Пуск"" из меню "Пуск", "Настройка". Эта политика также запрещает пользователю открывать окно свойств панели задач и меню "Пуск". Если пользователь сделает правый щелчок мышью на панели задач, а затем попытается выбрать команду "Свойства" в контекстном меню, будет выдано сообщение о том, что политика запрещает выполнение этого действия.

NoFind
Удаляет команду "Найти" из меню "Пуск" и отключает некоторые функции поиска "Проводника" Windows.Эта политика удаляет команду "Найти" из меню "Пуск" и из контекстного меню, появляющегося при выполнении правого щелчка мышью на кнопке "Пуск". Кроме того, система не реагирует на нажатие на клавиатуре сочетания клавиш <Windows> +<F> .В "Проводнике" Windows кнопка "Поиск" сохраняется на стандартной панели инструментов, но система не реагирует на нажатие сочетания клавиш <Ctrl> +<F> . Кроме того, команда "Найти" не появляется в контекстном меню при выполнении правого щелчка на значках, представляющих собой диски или папки. Эта политика влияет только на перечисленные элементы пользовательского интерфейса. Она не влияет на Internet Explorer и не запрещает пользователям использование других методов выполнения поиска. Си. также политику "Удалить кнопку "Поиск" из проводника Windows" в папке "Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник".

NoDrives
Удаляет значки, представляющие выбранные диски, из папок "Мой компьютер", "Проводник" и "Мое сетевое окружение". Кроме того, буквы дисков, представляющие выбранные диски, не будут отображаться в стандартном диалоговом окне "Открыть". Эта политика удаляет значки дисков из соответствующих папок. Пользователи при этом могут получить доступ к содержимому скрытых дисков с помощью других методов, например, указав путь к папке на скрытом диске в диалоговом окне " Подключение сетевого диска", окне "Выполнить" или в окне командной строки. Учтите, что эта политика не запрещает использовать другие программы для доступа к выбранным дискам или к их содержимому. Кроме того, она не запрещает использовать оснастку "Управление дисками" для просмотра или изменения характеристик дисков. См. также политику "Запретить доступ к дискам через "Мой компьютер"
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoNetHood
Удаляет значок "Мое сетевое окружение" с рабочего стола. Эта политика влияет только на значок рабочего стола. Она не запрещает пользователям подключаться к сети или выполнять обзор сети с целью поиска доступных компьютеров и общих ресурсов в сети.
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoStartMenuSubFolders
Скрывает все папки в пользовательской (располагающейся вверху) части меню "Пуск". Все другие элементы отображаются, но папки будут скрыты. Эта политика используется совместно с перенаправлением папок. Перенаправленные папки появляются в основной (нижней) части меню "Пуск". Однако при этом исходная пользовательская версия папок все равно отображается в верхней части меню "Пуск". Поскольку отображение двух папок с одним и тем же именем может запутывать пользователя, можно использовать эту политику для того, чтобы скрыть пользовательские папки. Учтите, что эта политика скрывает все пользовательские папки, а не только перенаправленные папки. Если эта политика включена, папки в верхней части меню "Пуск" не отображаются. Если пользователи добавляют новые папки в каталог меню "Пуск" в своем профиле пользователя, эти папки появляются в каталоге, но не отображаются в меню.Если эта политика отключена или не задана, Windows 2000 отображает папки в обеих частях меню "Пуск".

NoOptions
Удаляет пункт "Свойства папки" изо всех меню проводника Windows и удаляет пункт "Свойства обозревателя" из Internet Explorer. Эта политика также удаляет "Свойства папки" из панели управления. Пункт "Свойства папки" находится в меню "Сервис" панели управления и проводника Windows ("Мой компьютер", "Мои документы" и "Мое сетевое окружение") и представлен как значок в панели управления.Диалоговое окно "Свойства папки" позволяет пользователям задавать целый ряд параметров проводника Windows, таких как использование Active Desktop, использование одинарного щелчка для значков, вывод скрытых системных файлов, добавление и удаление типов файлов и сохранение локальных копий сетевых файлов. Пункт "Свойства обозревателя" находится в меню "Сервис" Internet Explorer. Диалоговое окно "Свойства обозревателя" является основным средством для настройки Internet Explorer. Оно позволяет настроить параметры вывода на экран, указать стандарты безопасности и содержания, настроить LAN-подключения и подключения удаленного доступа к сети, задать дополнительные параметры обозревателя, получит доступ к диспетчеру сертификатов и "Бумажнику".Эта политика является более строгой, чем политика "Удалить "Свойства папки" из меню "Сервис"", которая удаляет "Свойства папки", но разрешает использование "Свойства обозревателя".
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoFileMenu
Удаляет меню "Файл" из окна "Мой компьютер" и проводника Windows.Эта политика не запрещает пользователям использовать другие способы выполнения задач, представленных в меню "Файл".
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoCommonGroups
Удаляет элементы для профиля "All Users" из меню "Пуск", "Программы".По умолчанию, меню "Программы" содержит элементы не только из профиля пользователя, но и из профиля "All Users". Если эта политика включена, в меню "Программы" отображаются только элементы из профиля пользователя. Совет: чтобы увидеть элементы меню "Программы" для профиля "All Users", на системном диске откройте папку "Documents and Settings\All Users\Главное меню\Программы".

NoTrayContextMenu
Скрывает контекстные меню, которые отображаются при выполнении правого щелчка мышью на панели задач или на элементах этой панели, таких, как кнопка "Пуск", часы, другие кнопки панели задач. Эта политика не запрещает пользователям использовать другие методы для выполнения команд, которые располагаются в этих меню.

NoViewContextMenu
Удаляет контекстные меню для рабочего стола и "Проводника" Windows. Контекстные меню появляются при выполнении правого щелчка мышью на каких-либо элементах интерфейса. Если эта политика включена, меню не отображаются при выполнении правого щелчка мышью на рабочем столе или на элементах окна "Проводника" Windows. nЭта политика не запрещает пользователям использовать другие методы для выполнения команд, которые располагаются в контекстных меню.

NoNetConnectDisconnect
Запрещает пользователям использовать проводник Windows или "Мое сетевое окружение" для подключения к другим компьютерам или закрывать существующие подключения.При использовании этой политики система удаляет команды "Подключить сетевой диск" и "Отключить сетевой диск" из панели инструментов и меню "Сервис" проводника Windows и окна "Мое сетевое окружение", а также из меню, появляющихся при нажатии правой кнопкой мыши на значках в проводнике Windows или окна "Мое сетевое окружение". Кроме того, значок "Новое место в сетевом окружении" будет удален из окна "Мое сетевое окружение".Эта политика не запрещает пользователям подключаться к другому компьютеру посредством ввода имени компьютера и имени общей папки в диалоговом окне "Выполнить".
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoDesktop
Удаляет значки, ярлыки и другие стандартные и определенные пользователем элементы с рабочего стола, включая значки "Мой компьютер", "Мое сетевое окружение", "Корзина". Удаление значков и ярлыков не запрещает пользователю использовать другие методы для запуска программ или открывать представленные этими значками элементы.

NoBalloonTip
Скрывает всплывающие подсказки для меню "Пуск". Когда вы наводите курсор на элементы меню "Пуск", система отображает всплывающую подсказку, предоставляющую дополнительную информацию, такую, как путь к файлу, URL-адрес для веб-ярлыка, или краткое описание назначения программы. Если эта политика включена, то всплывающая подсказка для элементов меню "Пуск" не отображается.

NoClose
Запрещает пользователю завершать работу системы или перезагружать Windows.Эта политика удаляет пункт "Завершение работы" из главного меню и отключает кнопку "Завершение работы" в диалоговом окне безопасности Windows (появляющемся при нажатии Ctrl+Alt+Del).Эта политика запрещает пользователям использовать пользовательский интерфейс Windows для завершения работы системы, хотя и не запрещает использовать программы, завершающие работу Windows.Если политика отключена или не задана, команда "Завершение работы" присутствует и использование кнопки "Завершение работы" разрешено.

NoEntireNetwork
Удаляет все компьютеры, находящиеся вне рабочей группы пользователя или локального домена, из списков сетевых ресурсов в проводнике Windows и окне "Мое сетевое окружение". При использовании этой политики система удаляет значок "Вся сеть" и другие значки, представляющие сетевые компьютеры из окна "Мое сетевое окружение" и окна подключения сетевого диска.Эта политика не запрещает пользователям просматривать или подключаться к компьютерам из той же рабочей группы или домена. Она также не запрещает пользователям подключаться к удаленным компьютерам с использованием других известных способов, таких как ввод имени общей папки в диалоговом окне команды "Выполнить" или команды "Подключить сетевой диск". Для удаления компьютеров, находящиеся в рабочей группе пользователя или домене из списка сетевых ресурсов, воспользуйтесь политикой "Не показывать состав рабочих групп".
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoWorkgroupContents
Удаляет компьютеры, входящие в рабочую группу и домен пользователя, из списков сетевых ресурсов в "Проводнике" Windows и окне "Мое сетевое окружение".Если эта политика включена, система удаляет элемент "Соседние компьютеры" и значки, представляющие соседние компьютеры, из папки "Мое сетевое окружение". Эта политика также удаляет эти значки из окна обзора при подключении сетевых дисков. Эта политика не запрещает пользователям подключаться к компьютерам в своей рабочей группе или домене другими доступными средствами, такими как ввод имени общего ресурса в диалоговом окне команды "Выполнить" или команды "Подключить сетевой диск".Чтобы удалить компьютеры из списков сетевых ресурсов, можно использовать политику "Скрыть значок "Вся сеть" в папке "Мое сетевое окружение"".
Для большей надёжности. В принципе достаточно ключа NoDesktop

NoHelp
Отключает появление справки Windows при нажатии клавиши F1

NoDispCPL
Отключает значок "Экран" панели управления. Если эта политика включена, нельзя будет использовать значок "Экран" панели управления. Если пользователь попытается открыть окно "Экран", будет выдано сообщение о том, что политика запрещает выполнение этого действия. См. также политики "Отключить панель управления" и "Отключить папки программ в меню "Настройка"".
Для большей надёжности. В принципе достаточно ключа NoDesktop и NoViewContextMenu


NoDispBackgroundPage
Удаляет вкладку "Фон" из окна свойств экрана.Эта политика запрещает пользователям использовать панель управления для изменения фона рабочего стола.
Для большей надёжности. В принципе достаточно ключа NoDesktop и NoViewContextMenu или NoDispCPL

NoDispScrSavPage
Удаляет вкладку "Заставка" из окна свойств экрана.Эта политика запрещает использование панели управления для добавления, настройки или изменения заставки на компьютере.
Для большей надёжности. В принципе достаточно ключа NoDesktop и NoViewContextMenu или NoDispCPL

NoDispAppearancePage
Удаляет вкладку "Оформление" из окна свойств экрана.Эта политика запрещает пользователям использовать панель управления для изменения цветов или цветовых схем для рабочего стола и окон.
Для большей надёжности. В принципе достаточно ключа NoDesktop и NoViewContextMenu или NoDispCPL

NoDispSettingsPage
Удаляет вкладку "Настройка" из окна свойств экрана.Эта политика запрещает использование панели управления для изменения параметров экрана.
Для большей надёжности. В принципе достаточно ключа NoDesktop и NoViewContextMenu или NoDispCPL

DisableTaskMgr
Запрещает пользователям запускать диспетчер задач (TASKMGR.EXE). Если эта политика включена, а пользователь попытается запустить диспетчер задач, будет выдано сообщение о том, что политика запрещает выполнение этого действия. Диспетчер задач позволяет пользователям запускать или останавливать программы, наблюдать за производительностью их компьютера, следить за всеми выполняемыми программами, включая системные службы, узнавать названия исполняемых файлов программ, изменять приоритет процессов для выполняемых программ.

DisableLockWorkstation
Запрещает пользователям блокировать систему. Когда система блокирована, рабочий стол скрыт и система не может использоваться. Только тот пользователь, который заблокировал систему, или системный администратор может отменить блокировку. Совет: чтобы блокировать компьютер, не используя эту политику, нажмите сочетание клавиш Ctrl+Alt+Delete, а затем нажмите кнопку "Блокировка".

DisableChangePassword
Запрещает пользователям изменять свой пароль по собственному желанию. Эта политика отключает кнопку "Смена пароля" в диалоговом окне "Безопасность Windows" (которое появляется при нажатии сочетания клавиш Ctrl+Alt+Del). Однако, пользователи могут изменить свой пароль по запросу системы. Система запрашивает изменение пароля по требованию администратора или когда истекает срок действия пароля.

Добавьте в меню "Автозагрузка" нужную программу.
Внимание! Если в программе есть выход на файловую систему (Типа меню "Открыть Файл" в Worde) - вся эта галиматья не поможет - надо сидеть и вручную запрещать все файлы и папки.
После всего этого завершите сеанс и войдите под именем другого администратора и перенесите юзера из группы Администраторы в группу VeryStupidUsers.
Всё! Слава Африке! Африка хороший - тоже бедный, как Россия... Россия и Африка - друзья!

Crazy user
26-04-2001, 13:17
Ух ты, понаписал-то сколько. http://forum.windowsfaq.ru/images/smilies/wink.gif
У меня встречное предложение - а может стоит этим юзерам в качестве шелла назначить вместо проводника эту самую прогу?

k_p
26-04-2001, 13:21
пока пытался прочесть этот талмуд
Crazy user меня опередил, но я полностью к нему присоединяюсь

Pups
26-04-2001, 13:31
Может я чего не понял а разве прога POLEDIT.EXE не это же делает?? Дык накой хрен в реестре сидеть?

Vyacheslav
26-04-2001, 13:35
А не проще было этой группе присвоить или отнять права, запустив Локальные права безопасности. Далее <Локальные политики> /<Начзначение прав пользователей> Далее открываешь нужную политику и добавляешь-удаляешь пользователя или группу.Я не прав?

Друг Шамана Мганги
26-04-2001, 14:25
2ШамануМганге
зашибись

ШаманМганга
26-04-2001, 15:12
О слава Великому Мумбе!
Ну где ж вы раньше были, дорогие белокожие братья, когда бедный глупый негр мурыжился с реестром?

Попытаюсь по порядку.
1. По поводу Shell'а - мысль здравая и остроумная (всё гениальное просто) - ещё не пробовал, но обязательно попробую. Однако есть две заковыки - а) если потребуется что-то изменить в настройках юзера, обратного входа не будет, так как не будет и доступа к реестру. б) И если потом потребуется глупым юзерам запускать не одну программу, а, насколько я понимаю, несколько Shell'ов не запустишь.
2. Про poledit.exe. На моём (официальном) W2K Prof не было poledit'a. Я припёр его с Win2k Server. Насколько я понял, в Win2K Serv его просто засунули из NT4. Нету там политики для целой группы, только "Компьютер" и "Пользователь" (текущий). В принципе, итог такой же, как и с ручным ковырянием в реестре (разве что чуть полегче). Однако там нет нескольких важных ключиков (не помню уже каких), которые я указал в сообщении и которые есть в групповых политиках (gpedit.msc).
3. В локальных политиках безопасности нет управления рабочим столом. Вот список того, что у меня указано в <Локальные политики> /<Назначение прав пользователей>

Архивирование файлов и каталогов
Восстановление файлов и каталогов
Вход в качестве пакетного задания
Вход в качестве службы
Добавление рабочих станций к домену
Доступ к компьютеру из сети
Завершение работы системы
Загрузка и выгрузка драйверов устройств
Закрепление страниц в памяти
Замена маркера уровня процесса
Извлечение компьютера из стыковочного узла
Изменение параметров среды оборудования
Изменение системного времени
Локальный вход в систему
Обход перекрестной проверки
Овладение файлами или иными объектами
Отказ в доступе к компьютеру из сети
Отказ во входе в качестве пакетного задания
Отказать во входе в качестве службы
Отклонить локальный вход
Отладка программ
Принудительное удаленное завершение
Профилирование загруженности системы
Профилирование одного процесса
Работа в режиме операционной системы
Разрешение доверия к учетным записям при делегировании
Синхронизация данных службы каталогов
Создание журналов безопасности
Создание маркерного объекта
Создание постоянных объектов совместного использования
Создание страничного файла
Увеличение квот
Увеличение приоритета диспетчирования
Управление аудитом и журналом безопасности

Извините, но глупый негр не нашёл здесь ничего о рабочем столе и кнопке Пуск. Может быть стоило сначала присвоить группе VeryStupidUsers все разрешения администраторов, а потом настраивать групповую политику. Так тут не обойдёшься только <Локальные политики> /<Назначение прав пользователей> - до фига менять и назначать придётся. Кстати а можно ли при создании новой группы использовать шаблон уже существующей, например Администраторы? Глупая негра этого тоже не нашёл...

А по поводу того, что понаписал много - это просто куски из файла system.adm - одного из шаблонов групповой политики...

Спасибо, дорогие товарищи! Благословение Мабуты, Мбонги, Твакла и Ндоме да пребудет с Вами! Однако проблема присваивания группам групповых политик для одиночного компьютера остаётся. Я встречал на этом форуме сообщения (а так же в Windows'ком Help'е и в книжках), что она работает в домене с Active Directory - это точно...

Nightmare
20-03-2002, 03:33
А че..хорошо реестр ковырнул..узнал много нового..