Membatasi akses ke program di Windows Vista

Saya perlu mengunci PC Windows Vista Business. Salah satu persyaratan adalah bahwa akses ke C: \ Windows \ System32 \ regedit.exe harus dibatasi hanya untuk Administrator (lokal). Ini adalah PC mandiri yang tidak terhubung ke ActiveDirectory atau semacamnya.

Izin ACL default pada PC ini untuk regedit adalah:

regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI

Saya mencoba mengubah pemilik menjadi Administrator dan menghapus centang "Baca dan Jalankan" izin untuk grup Pengguna. Saya pikir pengguna saya masih dalam grup Administrator lokal dan mereka memiliki izin "Baca" dan "Baca dan Jalankan" untuk regedit.exe. Namun, ketika saya mencoba untuk membuka file yang masuk sebagai pengguna admin, saya tidak bisa lagi membuka regedit.exe, bahkan ketika saya klik kanan buka "Run as administrator". Saya mendapatkan kesalahan:

Windows tidak dapat mengakses perangkat, jalur, atau file yang ditentukan. Anda mungkin tidak memiliki izin yang sesuai untuk mengakses item.

Apa yang saya salah pahami tentang akses file Windows Vista? Pengaturan apa yang akan memungkinkan pengguna dalam grup Administrator untuk membuka regedit.exe tetapi tidak ada pengguna lain?

Yah ... kecuali Anda mengunci seluruh mesin, hal seperti ini tidak akan berfungsi.

Ada ratusan alat pihak ketiga di luar sana yang memungkinkan pengeditan registri.

Namun jika Anda hanya ingin akses menonaktifkan dasar untuk perlindungan regedit, buka Registry Editor dan arahkan ke HKEY_CURRENT_USER\ Software\ Microsoft\ CurrentVersion\ Policiesdan buat Dword dengan nama DisableRegistryToolsdan nilai 1.

Dan dilakukan!

Sayangnya, Anda tidak dapat melakukan ini untuk seluruh registri itu sendiri, tetapi letakkan semua pengguna yang Anda tidak ingin memiliki akses ke grup baru, kemudian berikan grup itu izin "tolak" untuk program regedit.exe itu, dan apa pun yang Anda don ingin mereka menyentuh. Tolak akan mengesampingkan izin lainnya yang telah Anda tetapkan sebelumnya. Anda dapat membatasi mereka terlalu banyak jika Anda melakukannya pada folder tertentu, dan "memecah" beberapa program, jadi cobalah jika Anda melakukannya.

Karena itu akan mewarisi izin, Anda harus pergi ke lanjut dan hapus centang itu, lalu ketika diminta, klik salin. Ini menyalin izin yang diwarisi, tetapi membuatnya berasal di sana.

Seperti yang ditunjukkan, ini tidak akan menghentikan pengguna yang berpengetahuan, tetapi akan berhenti paling.

Jika Anda benar-benar perlu mengunci komputer untuk pengguna tertentu, saya merekomendasikan program ini (Ini sungguh sangat menakjubkan):

http://www.fortresgrand.com/products/f101/f101.htm