Полигон-2

полностью с вами соглашусь, но с нашим директором говорить бесполезно, он сам такой ))
собственно, как и с сотрудниками. неоднократно уже проводил "ликбез" - безрезультатно.
так что единственный выход - запретить на программном уровне.

Константин написал:

[q]

Дано: локальная сеть предприятия, в которой около 30 машин. под управлением win XP и линукса (к счастью, для него это не страшно)
в сети имеется маршрутизатор dlink dir-615.
необходимо: одним махом, по сети, или отдельной настройкой на каждом компе, запретить установку приложений, браузеров, тубларов и прочей мути, распространяемой незабвенными майл.ру и яндексом.
(достало уже чистить компы от этой гадости). при этом, желательно, не запрещая доступа к их почтовым сервисам (а то вою-то будеет! хотя, будь моя воля - вообще бы закрыл доступ ко всем их IP)
так же, не плохо бы запретить установку всяких загрузчиков типа медиаджет скаймонк.

[/q]

Кай написал:

[q]

Долбите как дятел в одну точку. Это единственный способ. Сегодня скаймонк, завтра ещё что-нибудь, Вы задолбаетесь искать сигнатуры разнообразной пакости. Упирайте на дисциплину.

[/q]

Неплохой способ, но не всегда действенный. Гораздо быстрее - взять процесс установки ВСЕГО ПО под свой контроль. Эт к вам ещё маски-шоу не забегали, на предмет лицензионности софта. 30 машин - эт уже домен, в ём есть политики (создать ручками):
- запрещающие установку всего и вся
- автоматической установки ПО из "лицензионного портфеля" предприятия, с кастомизацией рабочих мест согласно штатного расписания.

Приблизительный диалог:
- "Админ, я хочу потоштоп поставить, а комп мне не даёт..."
- "А лицензия на потоштоп у тебя есть? Если нет - $xxxx на бочку - и будет тебе потоштоп. А до тех пор рисуй в пейнте".
Разве-что разыщешь бесплатные аналоги прог, не "в портативной упаковке", а лицензионно-бесплатные, такие как Free Commander, например.

PS. Заодно сервак появится, общую файлопомойку там разведёшь, с квотами и правами доступа... (нехрен манагеру зрить в зарплатную ведомость, а дизайнеру висеть над душой техника печати, и т.п.). Там, глядишь, и до гипервизора дорастёшь, с тремя серваками(минимум, догадайся какими) под ним в виртуалках.

Может скажу глупость и банальщину, но почему нельзя ограничить юзеров в правах?
Пусть заходят в систему как гости, тогда и не установят что попало.

потому что большинству из них нужны права админа для работы, а вторая половина и так как гости, но там всё равно устанавливаются всякие гадости (пишет не в program files, а в папку пользователя - читал про этот феномен в нете)
нет ли способа для ХР аналогично как для 7 ? вот на подобие этого)

Константин написал:

[q]

нет ли способа для ХР аналогично как для 7 ? вот на подобие этого)

[/q]

Собсна, в хр можно сделать то-ж самое, токма будет немного дырявее защита.
Константин написал:

[q]

потому что большинству из них нужны права админа для работы,

[/q]

Чаво? Эт с какого перепою?
Все проги "требующие права админа" лечатся единственным способом: устанавливаются изначально не в "програм филез" (терпеть ненавижу эту папку, рассадник сифилиса), а в папочку "CompUtils" на системном разделе, в подпапки - аббревиатуры названий программ.
Опосля сего шагу, переводишь юзера из админов в "power user" и редактируешь свойства безопасности папки CompUtils, давая конкретному юзеру полный доступ именно к этой папке и её подпапкам-файлам. Всё, теперь установка прог юзером будет блокирована недостаточными правами на исполнение/запись в т.ч. и в "програм-филе", а "капризным до админства" прогам будет открыта дорога в их домашнюю папку.
Токма сперва надо настроить те проги работать с данными/хранить инфу на другом разделе диска, из-под паверюзверя этого не сделать. (Для системного раздела ХР достаточно 18 гиг, с учётом всех тяжёлых потоштопов, с учётом прилёта всех 100500 обновок и безвременного складирования этого мусора).

Ещё хинт: в форточках, все дочернии процессы наследуют права безопасности и уровень привилегий процесса-родителя. Иными словами, объедини компы в сеть, на всех компах включи доступ по RDP (или доступ "удалённым помощником", смотря что тебе удобнее) и поставь прогу Free Commander. При возникновении потребности в "админстве", подключаешься со своего ноута по RDP/помощнику к компу юзверя, от имени админа запускаешь командира и далее рулишь всем компом, порождая все процессы именно от "командира": и панель управления. и консоль свойств компа, и дефрагменташка, и ... Юзверь-ж тем временем, пароля админского и не видит, и не знает.

PS. В твоём (офигенно запущенном) случае придётся посидеть выходные напролёт, пересобрать все компы (заодно провести им ТО, почистить). Поделить все винчи на 2 раздела и сделать образа полностью настроенных системных разделов на внешний винч (для ношения с собой). Так выглядит настоящая админская работа. Начального уровня, ессно.