Ограничение доступа к программам

По умолчанию пользователь может запускать любое приложение в Windows:

• Выбирая команду Выполнить меню Пуск.
• Выбирая приложение из подменю в меню Пуск.
• Выбирая двойным щелчком ярлыки, документы или приложения на рабочем столе или в окне папки.

Иногда, однако, необходимо ограничить доступ к группе выбранных приложений. Например, возможно, понадобится, чтобы менеджер офиса имел доступ только к приложениям Microsoft Word и Microsoft Excel, а системный администратор имел бы доступ ко всем приложениям, включая проводник Windows.

Установки ограничения доступа хранятся в реестре в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer. Если доступ к приложениям ограничен для текущего пользователя, то раздел содержит параметр RestrictRun, который имеет значение 0х00000001. Имена приложений, доступ к которым разрешен для данного пользователя, хранятся в подразделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\RestrictRun. Записи в этом подразделе пронумерованы, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Доступ для текущего пользователя разрешен только к тем приложениям, которые упоминаются в подразделе RestrictRun.

Для разрешения доступа удалите параметр RestrictRun из подраздела Explorer или установите его значение в 0х00000000.

Ограничение доступа к средствам редактирования реестра

Чтобы лишить опытного пользователя возможности изменения установок реестра вставте флаг DisableRegistryTools в ветвь HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System. Если этот флаг имеет значение 0х00000001, то пользователь не может запускать редактор реестра.

Может показаться более удачным удалить и редактор реестра с локального компьютера, но опытный пользователь попрежнему будет иметь возможность создать простой REG-файл и импортировать его в реестр, используя двойной щелчок. Удивительно, но пользователь может изменить таким образом многие записи реестра. Запись RestrictRun даёт возможность построить второй барьер против пользователей, пытающихся использовать REG-файл для изменения реестра. Если редактор реестра не включён в список доступных приложений, то пользователь не сможет импортировать REG-файл двойным щелчком. Единственная остающаяся возможность изменить реестр - это использование реестра в режиме DOS. Иногда это - единственная возможность, позволяющая востановить рестр, если администратор случайно запер сам себя. Более надёжный подход, всё же, - это востановление резервной копии реестра, которая - я надеюсь - была создана перед началом редактирования реестра.