Ограничения пользователей компьютера с помощью локальной групповой политики
Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.
Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.
Решение 1. Сбросьте настройки Internet Explorer
В большинстве случаев эту проблему решает простой сброс настроек Internet Explorer. Для этого вам необходимо:
Удерживая клавишу Windows , и нажмите R . Введите inetcpl.cpl и нажмите OK .
Перейдите к Advanced. Нажмите « Сброс»… в разделе « Сбросить настройки Internet Explorer». Отметьте Удалить личные настройки и нажмите Сброс .
Щелкните Закрыть. Теперь ДЕРЖАТЬ Windows Key и нажмите клавишу R. снова , тип ncpa.cpl и нажмите OK
Перейдите в « Программы» -> щелкните « Установить программы» в разделе « Интернет-программы». Щелкните Установить программы по умолчанию .
В списке программ найдите и щелкните Microsoft Outlook , а затем щелкните Установить эту программу по умолчанию . Прокрутите вверх, найдите и щелкните Internet Explorer , а затем щелкните Установить эту программу по умолчанию . Щелкните ОК . Закройте Internet Explorer и посмотрите, устранена ли проблема.
Эта операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к администратору
Я получаю сообщение об ошибке «Эта операция была отменена из-за ограничений, действующих на этом компьютере, обратитесь к администратору» в Excel 2010 (победа 7), когда пытаетесь открыть гиперссылку на файл pdf, расположенный на общем сетевом диске. Правильно указан путь к файлу гиперссылки. У кого-нибудь еще была такая же проблема и найти решение? Кажется, что все проблемы онлайн связаны с гиперссылкой на www.
Нашел решение. Я выполнил cmd как admin, а затем выполнил следующие команды:
REG ADD HKEY_CURRENT_USERSoftwareClasses.htm/ve/d htmlfile/f
REG ADD HKEY_CURRENT_USERSoftwareClasses.html/ve/d htmlfile/f
REG ADD HKEY_CURRENT_USERSoftwareClasses.shtml/ve/d htmlfile/f
REG ADD HKEY_CURRENT_USERSoftwareClasses.xht/ve/d htmlfile/f
REG ADD HKEY_CURRENT_USERSoftwareClasses.xhtml/ve/d htmlfile/f
У меня была такая же проблема в Excel 2010 в Windows 7. Метод 1 из Microsoft нашел здесь решение моей проблемы (автоматическим способом). Заголовок говорит Outlook, но он решил проблему Excel. HT для AJLink для указания на это решение.
Я сразу столкнулся с этой проблемой после установки/удаления Chrome. Это еще больше осложнило недавнее обновление от Firefox 32-bit до Firefox 64-bit v55.x. Результат: Win registry «забывает», как открыть гиперссылку. Вам нужно очистить реестр, чтобы напомнить ему, как это сделать.
Все вместе, это испортило мой реестр для открытия гиперссылок. Firefox был и остается моим предпочтительным браузером. Таким образом, любая инструкция, связанная с возвратом в IE, — это захват, а не решение.
Вам нужно понять, что реестр правильно очищает.
•.htm,.html,.shtml,.xht,.xhtml ключи были установлены с (по умолчанию) значением REG_SZ для «FirefoxHTML» (без кавычек)
• ключ FirefoxHTML, однако, не имел инструкции для открытия типа документа FirefoxHTML
• поэтому мне просто пришлось добавить эти ключи/значения реестра:
Это дало четкую открытую инструкцию.
Возможно, Firefox 64-бит добавил новый ключ класса «FirefoxHTML-308046B0AF4A39CB», который имел раздел «shellopen», который я использовал в качестве источника для записей reg, выше.
Однако, см. Первую марку, выше: расширения файлов по-прежнему указывали на «FirefoxHTML», а не на «FirefoxHTML-308046B0AF4A39CB», у которых была команда shellopen.
Поэтому потенциально допустимым альтернативным подходом было бы просто указать эти типы файлов на «FirefoxHTML-308046B0AF4A39CB», а не на «FirefoxHTML».
Придерживаясь моей политики минимального необходимого изменения реестра, просто добавление раздела FirefoxHTMLshellopen. было минимальным изменением, которое мне нужно было сделать.
Как запретить доступ к панели управления и приложению Параметры Windows в редакторе локальных групповых политик (gpedit.msc)
Данный способ подойдёт для пользователей Windows редакции профессиональная или корпоративная.
Откройте редактор локальных групповых политик, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.
В открывшемся окне редактора локальной групповой политики последовательно разверните следующие элементы списка:
Конфигурация пользователя ➯ Административные шаблоны ➯ Панель управления
Далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием
Запретить доступ к панели управления и параметрам компьютера
В окне Запретить доступ к панели управления и параметрам компьютера, установите переключатель из положения Не задано в положение Включено и нажмите кнопку OK .
Чтобы изменения вступили в силу перезагрузите компьютер. Чтобы обойтись без перезагрузки компьютера, в командной строке открытой от имени администратора выполните команду:
Теперь при попытке запустить классическую панель управления, вы увидите окно с сообщением:
Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.
При попытке открыть приложение Параметры Windows, оно просто не запустится и никаких сообщений вы при этом не увидите.
Описанный выше способ запрещает доступ к панели управления и приложению Параметры Windows только для текущей учетной записи. Если вы хотите запретить доступ к панели управления и приложению Параметры Windows для других пользователей, оставляя включенным доступ для своей учетной записи и не выходя из нее, то прочитав статью Как настроить параметры локальных групповых политик для отдельных пользователей вы узнаете как это сделать.
Блокировка запуска программ через реестр Windows.
Постановка задачи: необходимо сделать так, чтоб пользователь в своей учетной записи мог запускать только разрешенный перечень программ.
-через групповые политики;
Способ через реестр.
Внимание! Некорректные действия в реестре могут привести к неработоспособности ОС Windows и как следствие ее переустановка.
Входим в реестр Windows:
-нажимаем сочетание клавиш Win+R;
-в строке «Выполнить» вводим: regedit;
-нажимаем ОК или кнопку «Ввод».
В реестре переходим по пути:
КомпьютерHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer (настройки текущего пользователя).
Создаем параметр DWORD (32 бита) правой кнопкой мыши.
Название параметра: RestrictRun (запретить запуск приложений, кроме указанных)
Значение:1
Теперь укажем, какие приложения можно запускать. Создаем раздел с таким же названием RestrictRun.
В этом разделе создаем строковые параметры с номерами по порядку.
В значении каждого строкового параметра указываем приложение, которое разрешено запускать.
Начать желательно с regedit.exe, чтоб не заблокировать самого себя.
На этом все. Перезагружаем ПК, чтоб настройки применились.
В итоге этого примера на компьютере оказались разрешенными к запуску только 5 указанных программ: regedit.exe – реестр, calc.exe – калькулятор, mspaint.exe – пэйнт, avpui.exe – антивирус, winword.exe – ворд.
При запуске других программ появляется сообщение – Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.
Если необходимо обратное действие — разрешены все программы, кроме указанных в списке, необходимо использовать DWORD с названием DisallowRun и так же создать папку с перечнем запрещенных программ.
Для отмены блокировки необходимо удалить в реестре все созданное ранее и перезагрузить ПК.
Если по случайности заблокировался доступ в реестр, то необходимо выполнить загрузку с установочной флэшки Windows и удалить созданные параметры. Путь к файлам нужно искать в ветке HKEY_USERSимя вашей учетной записи SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Продвинутые пользователи могут догадаться о причине блокировки, зайти в реестр и удалить ее. Чтоб устранить эту проблему нужно ограничить доступ к диску с папкой файлов реестра.
Reg-файл.
Теперь немного автоматизируем процесс.
Создадим reg-файл с параметрами настроек, который можно применять на других ПК и каждый раз не заходить в реестр. Такой метод называется tweak reg (твик реестра).
Создаем текстовый файл с расширением .txt
Меняем расширение на .reg
Чтоб менять расширение файлов в Windows10 нужно на вкладке «Вид» верхней панели папки установить галочку «Расширения имен файлов».
Получился reg-файл в который мы внесем настройки реестра.
Другой способ получить reg-файл – экспортировать настройки из реестра.
Экспортируем в удобное место и называем любым именем.
Открываем экспортированный файл с помощью блокнота Notepad++ (или другого удобного текстового редактора). Если просто кликнуть по файлу 2 раза мышкой, то он внесет изменения в реестр.
