Как отключить системные комбинации клавиш в терминале Windows 2012?

Question

[Артем]

Здравствуйте!

Подскажите, как можно отключить системные комбинации клавиш в терминале Windows 2012?
Я сделал вход в терминал с запуском конкретной программы, но пользователи (особенно альтернативных клиентов типа 2X) имеют возможность нажать Win-R или Ctrl-Shift-Esc и получить доступ туда, куда получать доступ не должны.
Active Directory не развернут - пользователи локальные. Хотелось бы эти комбинации отключить.

Спасибо.

Answer 1

[АртемЪ]

А при чем тут AD?
Доступ куда не нужно ограничивают назначением прав.

Comments

[Сергей]

типа АД не для выдачи прав пользователю?

[Артем]

А можно конкретнее? Какие конкретно права и где необходимо выставить для решения задачи?

[АртемЪ]

devspec: Снять права на чтение ненужной информации у требуемых пользователей.
Какая именно информация является в вашем случае ненужной и для каких пользователей я не знаю.

[АртемЪ]

Сергей: Нет конечно. Вообще никаким боком.
AD это механизм для централизованного управления пользователями и компьютерами

[Артем]

Я объяснил в вопросе, какая информация является ненужной. Вопрос как раз и состоит в том, какие флажки и где отключить или включить. Вы баллы тут набираете что ли бессмысленными ответами? Лень вчитаться - лучше не отвечайте тогда.

[АртемЪ]

devspec: Я в упор не вижу в вопросе объяснения какая информация является ненужной.
Ответ имеет смысл, вы просто не желаете его видеть.
Просто идете в gpedit.msc топаете в административные шаблоны, выбираете меню пуск и панель задач и в ней находите пункт удалить команду выполнить из меню пуск Вуаля.
Но вообще правильней и эффективней запретить конкретному пользователю доступ куда не нужно.
Например запустить запуск программ отовсюду кроме как из папки ProgrammFiles.
И отобрать права на запись и чтения не предназначенных для глаз пользователя каталогов.
Т.е банальное разграничение прав, как я уже сказал выше.
А разграничение прав в системе Windows осуществляется с помощью gpedit.msc

По поводу баллов не совсем понял? Тут что баллы дают? На деньги обменять можно? Какой курс?
Вообще то я тут отвечаю на вопросы, когда есть свободное время, и нечем заняться.
Иногда вопросы интересные попадаются.

[Артем]

Ну вы тоже не очень-то вчитываетесь в вопрос. В вопросе я указал, что "Я сделал вход в терминал с запуском конкретной программы". Это означает, что пользователь не видит меню "Пуск", рабочий стол и прочие элементы операционной системы - он видит только программу, которая запускается при старте сеанса. Однако, пользователь может нажать Win-R, к примеру, и запустить какую-то несанкционированную программу (даже если она находится в Program Files). Также пользователь может нажать Ctrl-Shift-Esc - и попадает в Диспетчер задач, где видит список всех залогинненных пользователей (уж не знаю почему - у него нет прав администратора, только права "Пользователи" и "Пользователи удаленного рабочего стола"). Так вот, повторю вопрос - как запретить группе "Пользователи" пользоваться этими горячими клавишами? В административных шаблонах подобных пунктов не обнаружил.

[АртемЪ]

devspec: Запретить пользоваться горячими клавишами нельзя. Т.е теоретически можно, но это не делается штатными средствами, очень сложно и проблематично, в общем костыль.

Но можно сделать бессмысленным использование этих самых горячих клавиш для конкретного пользователя.
Например запретить пользователю использовать диспетчер задач.
gpedit.msc - административные шаблоны - система - варианты действий по CTRL-ALT-DEL - запретить диспетчер задач.
В результате горячая клавиша сработает - но вместо диспетчера задач пользователь увидит сообщение - диспетчер задач отключен администратором.

Там же вы можете включить параметр - выполнять только указанные приложения и настроить список этих приложений.

[АртемЪ]

В общем еще раз повторю то что указано в ответе - ограничивайте права пользователя.
Где это делать я тоже упомянул неоднократно.

[Артем]

Спасибо за Ваши старания, но они мне мало помогли. К сожалению, отключение диспетчера задач указанным Вами способом отключает его так же и у администратора, а у администратора он мне необходим. Так же как и выполнение "только указанных приложений" - администратор должен иметь возможность выполнят любые необходимые приложения.

[АртемЪ]

Вот от чем я собственно вам с самого начала и говорю.
Правильнее ограничивать права на каталоги и программы для пользователя.
И если вы просто отберете у пользователя права на файлы ненужные файлы (например на программу taskmgr) и на запуск программ, то он банально не сможет ни увидеть файл диспетчера задач, ни запустить его. И будет действовать это ограничение только для указанного вами пользователя.

[Артем]

Спасибо

[DevMan]

АртемЪ: железные у тебя нервы, я бы уже забил.

Answer 2

[Сергей Ковалёв]

Проблема - боян 100 летней давности.
Все лечится корректировкой прав для C:\Windows\System32\taskmgr.exe
Запрещаете определенной группе или пользователям доступ к данному файлу и все становится хорошо.

Comments

[Артем]

Вы сами пробовали то, что предлагаете? В Windows 2012 r2 отключена возможность менять доступы к этому файлу.

[АртемЪ]

devspec: Вы шутите? Во всех известных мне версиях Windows возможность менять права на файлы это базовая возможность. Тем более в серверных версиях.
Поскольку я в основном работаю с Windows 2012 r2 последнее время, могу вас уверить - никто ее там не отключал (ну кроме системного администратора)

[АртемЪ]

Если вы про то что, вы не можете поменять права на вкладке "Безопасность" так это из за того что файл системный, владельцем является система, и только она может менять права доступа.
Это специально сделано, чтобы не очень опытный народ не запретил себе то что ненужно.
Поменяйте владельца на администратора, и сможете изменить права.

Т.е у администратора в виндовс по умолчанию далеко не полные права, они ограничены.
Но администратор тем и отличается от пользователя что он может менять права и становиться владельцем.
Я например на всех своих серверах отбираю у всех администраторов права на диск, где хранятся архивы.
Поэтому никто из админов не сможет случайно удалить резервную копию, и вирус с правами администратора тоже не сможет ничего сделать.

[Артем]

Спасибо