Restringir el acceso a un programa en Windows Vista

3

Necesito bloquear una PC con Windows Vista Business. Uno de los requisitos es que el acceso a C: \ Windows \ System32 \ regedit.exe debe restringirse solo a los administradores (locales). Esta es una PC independiente que no está conectada a ActiveDirectory ni nada de eso.

Los permisos de ACL predeterminados en esta PC para regedit son:

regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI

Intenté cambiar el propietario a Administradores y desmarcar el permiso "Leer y ejecutar" para el grupo Usuarios. Me imagino que mi usuario todavía está en el grupo de administradores locales y que tiene permisos de "Leer" y "Leer y ejecutar" para regedit.exe. Sin embargo, cuando intento abrir el archivo conectado como usuario administrador, ya no puedo abrir regedit.exe, incluso cuando hago clic con el botón derecho en "Ejecutar como administrador". Me sale un error:

Windows no puede acceder al dispositivo, ruta o archivo especificado. Es posible que no tenga los permisos adecuados para acceder al elemento.

¿Qué estoy entendiendo mal sobre el acceso a archivos de Windows Vista? ¿Qué configuración permitirá que un usuario del grupo Administradores abra regedit.exe pero no otros usuarios?

windows-vista file-permissions BennyMcBenBen
fuente

Respuestas:

2

Bueno ... a menos que bloquee toda la máquina, algo así simplemente no funcionará.

Existen cientos de herramientas de terceros que permiten editar el registro.

Sin embargo, si solo desea el acceso básico de desactivación a la protección regedit, abra el Editor del Registro y navegue hasta HKEY_CURRENT_USER\ Software\ Microsoft\ CurrentVersion\ Policiesy cree una Dword con nombre DisableRegistryToolsy valor de 1.

¡Y hecho!

William Hilsum
fuente
0

Desafortunadamente, no puede hacer esto para todo el registro en sí, pero coloque a todos los usuarios a los que no desea tener acceso en un nuevo grupo, luego otorgue a ese grupo el permiso "denegar" para ese programa regedit.exe y cualquier otra cosa que no tenga No quiero que se toquen. Denegar anulará cualquier otro permiso que haya establecido previamente. Puede restringirlos demasiado si lo hace en ciertas carpetas y "romper" algunos programas, así que pruébelo si lo hace.

Como heredará los permisos, deberá ir a avanzado y desmarcar eso, luego, cuando se le solicite, haga clic en copiar. Esto copia los permisos heredados, pero hace que se originen allí.

Como se señaló, esto no detendrá a un usuario conocedor, pero detendrá a la mayoría.

Si realmente necesita bloquear una computadora para un usuario específico, le recomiendo este programa (es realmente sorprendente):

http://www.fortresgrand.com/products/f101/f101.htm

KCotreau
fuente