gibts es unter windows einen vernünftigen weg, normalen benutzern zu erlauben, nur programme im "programme"-order auszuführen?

ich hab jetzt unter xp 3 sachen ausprobiert, von denen alle mehr oder weniger gescheitert sind.

1. secpol.msc

die pfadregeln, die sich dort definieren lassen, gelten offenbar auch für verknüpfungen, das heißt, die müssten alle einzeln manuell wieder freigegeben werden

2. windows rechteverwaltung

der besitzer eines ordners hat immer vollen zugriff auf die rechteverwaltung dieses ordners, d.h. auch wenn das ganze home-verzeichnis einem admin gehören würde und ausführen gesperrt wäre, könnte er einen neuen ordner anlegen und dort wieder ausführrechte eintragen

3. registry

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\RestrictRun]
"1"="regedit.exe"

erlaubt allerdings keinen festen pfad, wodurch ich eine beliebige exe nach einer ausnahme benennen und ausführen könnte. (regedit muss zur weiteren bearbeitung dabei sein)

Hey,

Theoretisch könntest du mal schauen, ob du einen Hook auf CreateProcess() setzen kannst und dann den Pfad der Exe abfragst. Wenn er im C:\Programme -Ordner ist => Okay, ansonsten, ausführung verhindern.
Dieses Hook-Programm müsste dann wohl als Administrator gestartet sein und nicht vom Taskmanager abschießbar ;-)


MfG

danke für die anwort,
es gibt schon programme die für sowas taugen Faronics Anti-Executable (http://www.faronics.com/de/Products/AntiExecutable/AntiExecutableCorporate.aspx), nur ging es mir in erster linie darum, das ganze mit boardmitteln zu realisieren.
Es kann doch nicht wahr sein, dass man extra progs braucht um normale benutzer davon abzuhalten, beliebigen mist auf dem system auszuführen.

gpedit.msc

wie soll das mit gpedit.msc gehen?