Категории

Как ограничить пользователя: Только одна программа — всё остальное скрыто

2025-08-22 14:47:37 | Windows
Скрыть все кроме одной программы через AD windows групповые политики

Представьте: сотрудник должен работать только в одной программе — например, в 1С, CRM, биллинге или кассовом ПО. При этом он не должен видеть:

Цель — создать упрощённое рабочее место, где пользователь видит только ярлык нужной программы и больше ничего. Это называется киоск-режим (kiosk mode) или ограниченный интерфейс.

В этой статье — пошаговая настройка через Групповые политики (GPO) в Active Directory.

Шаг 1: Создайте группу пользователей

В Active Directory создайте группу, например:

Имя: Kiosk_Users
Группа: Security Group
Расположение: OU=Groups,DC=corp,DC=local

Добавьте в неё пользователей, которых хотите ограничить.

Шаг 2: Создайте OU и примените GPO

  1. Создайте OU, например: OU=Kiosk, DC=corp, DC=local.
  2. Переместите туда компьютеры или пользователей (лучше — компьютеры).
  3. Создайте новую GPO: Restrict to Single App.
  4. Привяжите её к OU Kiosk.

Шаг 3: Полная блокировка интерфейса Windows

Откройте редактор GPO и настройте следующие параметры.

🔹 1. Скрываем рабочий стол, панель задач и проводник

Путь: User Configuration → Administrative Templates → Start Menu and Taskbar

  • Remove Taskbar → Включить
  • Remove Windows Explorer from Start Menu → Включить
  • Remove Desktop icon from Start Menu → Включить
  • Remove Desktop from My Computer → Включить
  • Remove Run menu from Start Menu → Включить
  • Remove Help menu from Start Menu → Включить

🔹 2. Блокируем доступ к системным инструментам

Путь: User Configuration → Administrative Templates → System

  • Prevent access to Control Panel and PC settings → Включить
  • Prevent access to registry editing tools → Включить
  • Prevent access to command prompt → Включить
  • Don't run specified Windows applications → Включить и добавьте: explorer.exe, cmd.exe, msconfig.exe и др.

🔹 3. Скрываем сетевые ресурсы

Путь: User Configuration → Administrative Templates → Windows Components → File Explorer

  • Hide these specified drives in My Computer → Включить → Выберите: A, B, C, D, ... (или все)
  • Prevent access to drives from My Computer → Включить → Все диски
  • Do not display network in File Explorer → Включить
  • Do not display shared folders in File Explorer → Включить

Шаг 4: Запуск только одной программы (киоск-режим)

Теперь настроим, чтобы при входе пользователя автоматически запускалась нужная программа — и ничего больше.

🔹 Автозапуск программы и замена оболочки

Идея: заменить стандартный explorer.exe на вашу программу.

  1. Откройте GPO редактор.
  2. Перейдите: User Configuration → Windows Settings → Scripts (Logon/Logoff)
  3. Откройте Logon.
  4. Добавьте PowerShell-скрипт или .bat-файл:
@echo off
taskkill /f /im explorer.exe
start "" "C:\Program Files\MyApp\app.exe"

Или, если хотите использовать PowerShell:

Stop-Process -Name explorer -Force
Start-Process "C:\Program Files\MyApp\app.exe"

⚠️ Убедитесь, что путь к программе правильный и доступен для пользователя.

Важно: Если программа закроется — пользователь останется без интерфейса. Чтобы избежать этого, можно:
  • Настроить программу на автозапуск при сбое
  • Использовать Assigned Access (см. ниже)
  • Создать watchdog-скрипт, который следит за процессом

Альтернатива: Assigned Access (только Windows 10/11 Pro и Enterprise)

Если у вас современные ОС — используйте встроенный режим Assigned Access.

  1. Откройте: Settings → Accounts → Family & other users.
  2. В разделе Assigned Access выберите пользователя.
  3. Укажите приложение (например, Chrome, 1С, Edge, ваше приложение).

Пользователь при входе увидит только это приложение. Выход — только через Ctrl+Alt+Del или перезагрузку.

Через GPO это можно настроить по пути:

User Configuration → Administrative Templates → System → Logon → 
Assign a default user to automatically log on at logon screen

и использовать с AssignedAccess в XML-конфигурации (сложнее, но мощно).

Шаг 5: Тестирование

  1. Добавьте тестового пользователя в группу Kiosk_Users.
  2. Войдите под ним на компьютер из OU Kiosk.
  3. Проверьте:
    • Нет панели задач
    • Нет рабочего стола
    • Нет доступа к cmd, реестру, панели управления
    • Автоматически запустилась нужная программа
  4. Выполните gpupdate /force и перезагрузите, если что-то не сработало.
Совет: Для отката — подойдите к компьютеру под учётной записью администратора и отключите GPO или удалите пользователя из группы.

Заключение

Теперь вы можете:

Такой подход отлично подходит для:

Групповые политики — ваш главный инструмент контроля в домене. Используйте их с умом!

Теги: #windows server #active directory #group policy #gpo #управление пользователями #ограничение пользователя #киоск-режим #assigned access #блокировка интерфейса #скрыть рабочий стол #запрет панели задач #запуск одной программы #windows kiosk #безопасность рабочих станций #ограничение доступа

Комментарии

Пока нет комментариев. Будьте первым!

Оставить комментарий

← Назад к списку статей

Обратная связь

DISCLAIMER: Блог-эксперимент

Внимание: Cтатьи здесь сгенерированы нейросетью, пока не правил ошибки, только запустил его да и не до этого. Просто чтобы вы знали и не запускали ядерный реактор по моим статьям ))
НО!
Каждый кейс я реально делал минимум один раз. Серьёзно.
Сервера стоят, клиенты довольны, дата-центры не горят.
Это не просто копипаста — это опыт, выстраданный в бою, просто пересказанный через ИИ.
Если у вас есть вопросы, или Нашли неточность? пишите в коментах — вместе поправим и сделаем статью более качественной. Я лично объясню нюансы из практики.

Посетителей сегодня: 0

© Digital Specialist | Не являемся сотрудниками Google, Яндекса и NASA
Кто я | HSH | Контакты и регион