Mislim (prvi utisci, ali provervam i dalje) da nije rpoblem u tebi. Jednostavno, problem je u tvorcima programa, neki za instalaciju svojih programa zahtevaju administratorska prava, drugi ne.

Za dalju pricu, evo sta jos moze pomoci

Start->Run->gpedit.msc

Usr Configuration -> Administrative Templates -> Windows Components -> Microsoft Management Console-> Restricted/Permitted snap-ins-> Group Policy -> Software Installation (Users) dvoklik, pa izaberes "disabled" opciju, Apply i OK i to bi trebalo da je to.

Pozdrav

Tesko...
mogao bi da u group policy zabranis startovanje programa INSTALL.EXE i SETUP.EXE iako to nije potpuno resenje za programe ciji instalacioni fajl ima drugi naziv.

Afrocuban, ovo što si ti predložio za rezultat ima zabranu korišćenja tog MMC snapin-a, a ne zabranu instalacije. (Kao što joj samo ime govori: ... Windows Components -> Microsoft Management console->Restricted/Permitted snap-ins->...)




- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Nemoj da postaviš problem "kako da im zabranim instalaciju" već "kako da im zabranim sve, a onda da im dozvolim samo ono neophodno". Ta se akcija sastoji iz dva dela: polisa i NTFS dozvola. Najbolje bi bilo da napišeš tačno šta oni mogu da rade, pa da vidimo kako im to omogućiti.

Napravio sam obicnog usera. stavio mu ovu zabranu i isprobao instalaciju najmanje 15 razlicitih programa pre nego sto sam objavio svoj prethodni post. Prilikom instalacije javljao mi je gresku ciji sadrzaj cu objaviti sutradan, ako budem mogao...

Pozdrav,

Mihailo je u pravu.Uglavnom se radi tako da mu dozvolis sta da radi a sve ostalo da mu bude zabranjeno.

Mihailo je u pravu, ali treba voditi racuna o onome sto se zove less administrative effort. A za ovo nije uvek resenje ono Mihailovo. Zar ne Mihailo?

Dakle, ako bismo terali mak na konac, najoptimalnije resenje bi bilo napraviti grupu pod nazivom npr. "Disabled software installation", ovoj grupi zabranili instalaciju softvera, napravili najobicnijeg user-a i "uclanili" ga u ovu grupu. Zasto? Zato sto cemo sutra opet imati drugog usera kome cemo oduzeti pravo instalacije softvera...

Da može jednostavnije, sigurno da može. Ali znaš šta, na kraju prečica uvek ispadne najduži put. Ako znaš šta radiš, onda možeš da koristiš brza rešenja, ali za to treba imati dosta prakse, koja se svodi na spora rešenja. Kao i u svakom drugom poslu.

Obichno vakvi stvari se reshavaat so roaming&mandatory profiles i GPO na domain nivo (No Override obavezno, inache kje igra secedit :)), nema zashto so local group policy da se zaebavash, ako vishe odish na namalen administrative overhead, najdobro e da pocnesh so policy koja kje ja linkuvash na domain nivo.

U pitanju nedostaju informacije da li zabrana treba da bude na nivou lokalne masine ili domena/OU. Anyway, mozes kroz grupne polise u aktivnim direktorijumima da zabranis korisnicima da instaliraju programe. Takodje filozofija zabrani sve pa onda pusti sta treba u Windowsu 2000 ne pije vodu. Sve sto je explicitno zabranjeno, ni na koji drugi nacin ne moze biti dozvoljeno. TJ, ako zabranis sve, pa dozvolis instalaciju programa npr. zabrana svega je na snazi, te niko nece moci nista da radi. Postoji jos jedan termin koji stoji izmedju, a to je nije dozvoljeno, a razlikuje se od zabranjeno. U svakom slucaju, osim definisanja restrected groups, pokusaj da pregledas GPO, naci ces jos mnogo stvari koje ce ti biti korisne (naravno pricam o domenskoj strukturi).

Zabrana svega je na snazi??? Kakva je to glupost? Ja sam hteo da kažem, da korisnicima treba zabraniti sve ono što im je po default-u dozvoljeno, pa im onda omogućiti da koriste one servise i aplikacije koji su im potrebni za rad. To je jedini način da se dobije kakva-takva sigurnost Windows mreža, i svaki drugi pristup je rizik. Naravno da treba koristiti GP (množina; GPO je jedan objekat) ali samo pregledanjem ne može se mnogo postići, već se to detaljno planira na nivou domena i upravo tu se vraćamo na početak : predefinsane polise su Not Configured (a mogu biti još Enabled / Disabled). Dakle, nema između "nije dozvoljeno", ni tu a ni bilo gde drugde. Uostalnom, šta to može biti da "nije dozvoljeno" a da nije zabranjeno? Nešto si pobrkao, možda si mislio da nije eksplicitno zabranjeno? BTW, u Windowsima je ipak najbolje sve što nije neophodno eksplicitno zabraniti.

P.S. ne postoje aktivni direktorijumi, već uvek postoji jedan AD na nivou domena. U toj njegovoj jednini je suština.

W2K je napravljen da obicnim juzerima dozvoli instalacije programa koji se instaliraju samo u njihov profil, a zabrani sve sto se upisuje u sistemske fajlove ili negde drugde u registry osim hkey_current_user.
Najefikasniji nacin zabrane instaliranja bilo cega je demontiranje CD i floppy drajvova. To naravno ne znaci da je nemoguce zabraniti instalaciju kroz polise, koje nisu nista drugo nego lepsi GUI za registry.
Restricted groups nemaju nikakve veze sa instalacijom icega. One definisu (betoniraju) clanstvo u zeljenim grupama i periodicno iz njih brisu novonastale clanove koji se ne uklapaju u inicijalno definisano clanstvo te restricted grupe. Na taj nacin admin ne mora previse da brine da li je iz npr. administrators grupe izbisao nekoga kome je dao temp clanstvo u toj grupi. Sistem je pametan ;)

samo si zaboravio da kazes .. da to clanstvo u restricted grupama traje dok se ne izvrsi refresh polise na dc-u .. koje se normalno desava na definisani vremenski period .. zato ne vidim svrhu ... ubacivanja novog korisnika u grupu koja je restricted .. primer dc refreshuje polisu na svakih 10 min .. taj korisnik koji je u admin grupi ima samo 10 min vremena da uradi sta mu je admin rekao dozvolio ... heheheh ...

pozdrav
fangio

Jednostavno DENY WRITE na %systemroot%winnt/system i system32!
Bar sam ja tako resio problem kod mene na mrezi.Ima grupnih polisa koje zabranjuju instalaciju sa CD-a i Flopy-ja ali ne i kada se program instalira sa harda.

ovako ako je WINdows 2000 SERVER ADVANCED sERVER ili DATA CENTAR
ili nesto slicno tome konfigurisango kao Active Direcotry odnosno PDC
primary domain controller i na njega se logujes sa win2k profesional onda je to manje vise lako kada ides na Active Directory Users and Computers snap-in pa onda properties na group polices e onda u user settings dodas novu policu as in new , i nako toga edit policy i u user configuration udjes u administrative templates pa u system pa ces tu videti run oly allowed windows aplications i tu nabrojis sve sto sme da se pokrene

uglavnom skontaces vec

e
ako
koristis samo win2k proffesional onda ti je najlakse da odredjeno0g korisnika stavis u restricted user group na svakoj radnoj stanici