Скрыть все кроме одной программы через AD windows групповые политики

Представьте: сотрудник должен работать только в одной программе — например, в 1С, CRM, биллинге или кассовом ПО. При этом он не должен видеть:

Рабочий стол
Панель задач
Проводник
Панель управления
Сеть, принтеры, командную строку

Цель — создать упрощённое рабочее место, где пользователь видит только ярлык нужной программы и больше ничего. Это называется киоск-режим (kiosk mode) или ограниченный интерфейс.

В этой статье — пошаговая настройка через Групповые политики (GPO) в Active Directory.

Шаг 1: Создайте группу пользователей

В Active Directory создайте группу, например:

Имя: Kiosk_Users
Группа: Security Group
Расположение: OU=Groups,DC=corp,DC=local

Добавьте в неё пользователей, которых хотите ограничить.

Шаг 2: Создайте OU и примените GPO

Создайте OU, например: OU=Kiosk, DC=corp, DC=local.
Переместите туда компьютеры или пользователей (лучше — компьютеры).
Создайте новую GPO: Restrict to Single App.
Привяжите её к OU Kiosk.

Шаг 3: Полная блокировка интерфейса Windows

Откройте редактор GPO и настройте следующие параметры.

🔹 1. Скрываем рабочий стол, панель задач и проводник

Путь: User Configuration → Administrative Templates → Start Menu and Taskbar

Remove Taskbar → Включить
Remove Windows Explorer from Start Menu → Включить
Remove Desktop icon from Start Menu → Включить
Remove Desktop from My Computer → Включить
Remove Run menu from Start Menu → Включить
Remove Help menu from Start Menu → Включить

🔹 2. Блокируем доступ к системным инструментам

Путь: User Configuration → Administrative Templates → System

Prevent access to Control Panel and PC settings → Включить
Prevent access to registry editing tools → Включить
Prevent access to command prompt → Включить
Don't run specified Windows applications → Включить и добавьте: explorer.exe, cmd.exe, msconfig.exe и др.

🔹 3. Скрываем сетевые ресурсы

Путь: User Configuration → Administrative Templates → Windows Components → File Explorer

Hide these specified drives in My Computer → Включить → Выберите: A, B, C, D, ... (или все)
Prevent access to drives from My Computer → Включить → Все диски
Do not display network in File Explorer → Включить
Do not display shared folders in File Explorer → Включить

Шаг 4: Запуск только одной программы (киоск-режим)

Теперь настроим, чтобы при входе пользователя автоматически запускалась нужная программа — и ничего больше.

🔹 Автозапуск программы и замена оболочки

Идея: заменить стандартный explorer.exe на вашу программу.

Откройте GPO редактор.
Перейдите: User Configuration → Windows Settings → Scripts (Logon/Logoff)
Откройте Logon.
Добавьте PowerShell-скрипт или .bat-файл:

@echo off
taskkill /f /im explorer.exe
start "" "C:\Program Files\MyApp\app.exe"

Или, если хотите использовать PowerShell:

Stop-Process -Name explorer -Force
Start-Process "C:\Program Files\MyApp\app.exe"

⚠️ Убедитесь, что путь к программе правильный и доступен для пользователя.

Важно: Если программа закроется — пользователь останется без интерфейса. Чтобы избежать этого, можно:

Настроить программу на автозапуск при сбое
Использовать Assigned Access (см. ниже)
Создать watchdog-скрипт, который следит за процессом

Альтернатива: Assigned Access (только Windows 10/11 Pro и Enterprise)

Если у вас современные ОС — используйте встроенный режим Assigned Access.

Откройте: Settings → Accounts → Family & other users.
В разделе Assigned Access выберите пользователя.
Укажите приложение (например, Chrome, 1С, Edge, ваше приложение).

Пользователь при входе увидит только это приложение. Выход — только через Ctrl+Alt+Del или перезагрузку.

Через GPO это можно настроить по пути:

User Configuration → Administrative Templates → System → Logon → 
Assign a default user to automatically log on at logon screen

и использовать с AssignedAccess в XML-конфигурации (сложнее, но мощно).

Шаг 5: Тестирование

Добавьте тестового пользователя в группу Kiosk_Users.
Войдите под ним на компьютер из OU Kiosk.
Проверьте:
- Нет панели задач
- Нет рабочего стола
- Нет доступа к cmd, реестру, панели управления
- Автоматически запустилась нужная программа
Выполните gpupdate /force и перезагрузите, если что-то не сработало.

Совет: Для отката — подойдите к компьютеру под учётной записью администратора и отключите GPO или удалите пользователя из группы.

Заключение

Теперь вы можете:

Ограничить пользователей одной программой
Скрыть весь интерфейс Windows
Обеспечить безопасность и фокус на задаче
Масштабировать это на сотни компьютеров через GPO

Такой подход отлично подходит для:

Call-центров
Кассовых мест
Обучающих стендов
Автоматизированных рабочих мест

Групповые политики — ваш главный инструмент контроля в домене. Используйте их с умом!

Категории

Как ограничить пользователя: Только одна программа — всё остальное скрыто

Шаг 1: Создайте группу пользователей

Шаг 2: Создайте OU и примените GPO

Шаг 3: Полная блокировка интерфейса Windows

🔹 1. Скрываем рабочий стол, панель задач и проводник

🔹 2. Блокируем доступ к системным инструментам

🔹 3. Скрываем сетевые ресурсы

Шаг 4: Запуск только одной программы (киоск-режим)

🔹 Автозапуск программы и замена оболочки

Альтернатива: Assigned Access (только Windows 10/11 Pro и Enterprise)

Шаг 5: Тестирование

Заключение

Комментарии

Оставить комментарий

Категории

Как ограничить пользователя: Только одна программа — всё остальное скрыто

Шаг 1: Создайте группу пользователей

Шаг 2: Создайте OU и примените GPO

Шаг 3: Полная блокировка интерфейса Windows

🔹 1. Скрываем рабочий стол, панель задач и проводник

🔹 2. Блокируем доступ к системным инструментам

🔹 3. Скрываем сетевые ресурсы

Шаг 4: Запуск только одной программы (киоск-режим)

🔹 Автозапуск программы и замена оболочки

Альтернатива: Assigned Access (только Windows 10/11 Pro и Enterprise)

Шаг 5: Тестирование

Заключение

Комментарии

Оставить комментарий

Обратная связь