Урезать права менеджерам win server 2003|win xp

[Genk0]

Есть win server 2003 c 1Cкой.
Есть 7 пользовательских машин на win XP
Все манагеры сидят через терминальный доступ RDP к серверу для работы с 1С, почтой ну и по мелочи.
Требуется урезать права на пользовательских машинах, чтобы не качали всякие торренты, не играли в сапера ну и т.п.
Я понимаю что легче безвинтовые машины поставить и грузиться сразу на сервер, но не вариант.

На сервере урезать доступ к жесткому диску, оставить папку с которой он может работать (у каждого своя).
БД 1Ски файловая, посему порезать доступ к дискам, чтобы не лазили где не надо (я понимаю что до БД доберутся, но все же как то ограничить).

Также ограничить возможность установки любого софта (под гостем некоторый софт ставится без проблем, поэтому надо как то избежать этого), драйверов (на 3G модемы и прочее) и т.д.)

Грубо говоря: манагеры все уроды, лезут куда не надо, но уволить их не вариант)

 

[efs]

win+R->secpol.msc->Политики ограниченного использования программ->Уровни безопасности->Запрещено - теперь будет действовать правило, запрещено все, что не было явно разрешено.
Далее в "Дополнительные правила" указываются все приложения, которые пользователи смогут запускать. По умолчанию там указаны системная директория, тоесть сама винда и папка program files. Добавляешь правила для приложений, которые находятся вне этих каталогов (нюанс, если софт находится скажем на диске D, а запускают его с ярлыка с рабочего стола, то нужно добавлять разрешающее правило как для каталога с программой, так и для ярлыка на рабочем столе)
после того как все почикаешь, сотри вообще файл secpol.msc, носи его на флешке, понадобится что-то изменить, скинешь в системную директорию, поправишь и снова удаляй.

чтобы не играли в системные игрушки или удаляешь их через "установка/удаление программ->компоненты windos" или прямо указываешь запрет на запуск этих приложений в политиках безопасности.

для флешек, дисков и прочей съемной фигни, опять же в политиках безопасности, указываешь запрет на корень этого диска. т.е. F: - запрещено, G: - запрещено и т.д.. таким образом они никакую гадость не приволокут на своих носителях, даже если она портабле.

 

[obli]

Ну можно попробовать поместить тех кого хочеш ограничить в группу guest или убрать их из группы users , а потом сделать ярлычки с runas которые им будут доступны и прописать там программулки доступные для них, но это так один из пособов чере политики как описал тов. efs имхо правильней.