Eu preciso bloquear um PC do Windows Vista Business. Um dos requisitos é que o acesso a C: \ Windows \ System32 \ regedit.exe seja restrito a apenas administradores (locais). Este é um PC autônomo que não está conectado ao ActiveDirectory ou qualquer coisa assim.
As permissões padrão da ACL neste PC para o regedit são:
regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI
Eu tentei alterar o proprietário para Administradores e desmarcar a permissão "Ler e Executar" para o grupo Usuários. Eu acho que meu usuário ainda está no grupo Administradores local e eles têm permissões de "Leitura" e "Leitura e Execução" para regedit.exe. No entanto, quando tento abrir o arquivo conectado como um usuário administrador, não consigo mais abrir o regedit.exe, mesmo quando clico com o botão direito do mouse em "Executar como administrador". Eu recebo um erro:
Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
O que estou entendendo mal sobre o acesso a arquivos do Windows Vista? Quais configurações permitirão que um usuário do grupo Administradores abra o regedit.exe, mas nenhum outro usuário?
Bem ... a menos que você bloqueie a máquina inteira, qualquer coisa assim simplesmente não funcionará.
Existem centenas de ferramentas de terceiros que permitem a edição do registro.
Se, no entanto, você quiser apenas desativar o acesso básico à proteção do regedit, abra o Editor do Registro e navegue até HKEY_CURRENT_USER \ Software \ Microsoft \ CurrentVersion \ Policies e crie uma Dword com o nome DisableRegistryTools e valor de 1 .
E pronto!
Infelizmente, você não pode fazer isso para o registro inteiro em si, mas colocar todos os usuários que você não deseja ter acesso a um novo grupo, então dê a esse grupo a permissão "negar" ao programa regedit.exe e qualquer coisa senão você não quer que eles toquem. Negar anulará quaisquer outras permissões que você definiu anteriormente. Você pode restringi-los demais, em algumas pastas, e "quebrar" alguns programas, então teste-os se você fizer isso.
Como herdará as permissões, você precisará ir para o avançado e desmarcar isso e, quando solicitado, clicar em copiar. Isso copia as permissões herdadas, mas faz com que elas se originem lá.
Como apontado, isso não interromperá um usuário experiente, mas interromperá a maioria.
Se você realmente precisa bloquear um computador para um usuário específico, recomendo esse programa (na verdade, é realmente incrível):