Блокировка определённых приложений обычному пользователю паролем администратора

@D1V3r · Регистрация: 21.02.2023

Студворк — интернет-сервис помощи студентам

Категорически всех приветствую!

Имеется задача: заблокировать определённые .exe файлы юзверю, а, например, cmd.exe открываться исключительно после ввода админского пароля. Снова в пример cmd.exe - даже если пользователь открывает командную строку без запроса прав администратора, то всё равно для запуска потребовался бы его пароль.

Уверен, что решить это можно групповой политикой и без лишних программ, но решение в интернете так и не нашёл. У кого-то была подобная ситуация, есть предложения?

@kumehtar · 26.10.2025, 18:42

D1V3r, Через "Локальную политику безопасности" (gpedit.msc)
Нажмите Win + R, введите gpedit.msc → Enter.

Перейдите:

Конфигурация пользователя → Административные шаблоны → Система

и там есть Не выполнять указанные приложения Windows
Включите параметр, нажмите Показать..., добавьте имена файлов

Добавлено через 43 секунды
Работает только для конкретного пользователя, если вы открыли gpedit из его учётки.

Добавлено через 2 минуты
еще способ: через "AppLocker"

Запустите secpol.msc → Политики управления приложениями → AppLocker.

Создайте правило для исполняемых файлов (Executable Rules) → Запретить нужные EXE → укажите пользователя.

@D1V3r · 26.10.2025, 19:09 **[ТС]**

kumehtar, Увы, но нет

1 способ с лёгкостью находится в интернете в одном из первых запросов. Задача состоит в том, чтобы не просто заблокировать открытие определённого .exe файла, а запросить у пользователя пароль администратора ПК за попытку открытия приложения

Может предложенный вами 2 способ так может? Следует изучить

@kumehtar · 27.10.2025, 23:15

Сообщение от D1V3r

Увы, но нет

Сообщение от D1V3r

Следует изучить

ну нет так нет, дело хозяйское

Добавлено через 4 минуты

Сообщение от D1V3r

а запросить у пользователя пароль администратора ПК за попытку открытия приложения

а если еще обратить внимание на то что пишут

Сообщение от kumehtar

Работает только для конкретного пользователя, если вы открыли gpedit из его учётки

то и вовсе классно будет

@D1V3r · 30.10.2025, 04:25 **[ТС]**

kumehtar, только что ещё раз проверил способ с ковырянием в gpedit.msc. Это вообще нерабочий видимо способ.

Я делал, как вы и предложили - зашёл в учётку пользователя (его профиль не админский), которого надо ограничить в правах, зашёл в gpedit.msc от имени администратора, ибо иначе отказ в доступе, а затем сделал пару правок (блокировка cmd, блокировка определённых .exe)

По итогу политика работает и на АДМИНСКУЮ учётку (и даже запуск той же cmd.exe от имени от администратора выдаёт ошибку)

На данный вопрос тоже есть ответ, или мои руки всё таки не такие прямые, как завещала матушка природа?

@kumehtar · 30.10.2025, 12:12

Сообщение от D1V3r

Это вообще нерабочий видимо способ.

Вопросы к майкрософту. способ широко описан в интернете
https://winitpro.ru/index.php/... -programm/

@Maks · 30.10.2025, 15:31

D1V3r, "secpol.msc->Политика ограничения использования программ".
Запретить пользователю открывать командную строку без прав администратора Вы все равно не сможете, открываться она будет, но ее действия будут ограничены пользовательской учеткой и пользователь всё равно не сможет сделать то, для чего нужны права администратора. А если Вы принудительно заблокируете CMD на уровне политики, или AppLocker, то перестанут выполняться сценарии в системе, необходимые для ее функционирования. Лучше опишите, что Вы хотите получить в итоге? От чего именно ограничить пользователя?

@D1V3r · 01.11.2025, 19:40 **[ТС]**

Maks,

Сообщение от Maks

лучше опишите, что Вы хотите получить в итоге?

Вообще идея заключается в использовании функционала UAC. Когда обычный юзверь с обычной учётки пытается запустить инсталлятор или любую другую программу от имени администратора, то требуется пароль учётной записи администратора данного ПК.

Я читал вариант блокировки приложений через Gpedit.msc, но в описании параметра политики "Не запускать указанные приложения Windows" написано, что приложения по прежнему будут запускаться, если вызывать .exe через командную строку.

Итого появилась задумка и вопрос: запрещённые exe файлы для юзверя заблокировать запуск, а запуск командной строки разрешить ТОЛЬКО под учёткой админа. Но тогда каким же образом, так сказать, переопределить функционал UAC так, чтобы он требовал пароль админа не только от приложений администрирования, но и в целом любого указанного админом .exe файла.

@Maks · 01.11.2025, 21:34

Сообщение от D1V3r

Я читал вариант блокировки приложений через Gpedit.msc, но в описании параметра политики "Не запускать указанные приложения Windows" написано, что приложения по прежнему будут запускаться, если вызывать .exe через командную строку.

Если пользователь запустит CMD не от имени администратора с соответствующим вводом пароля от оного (если он установлен), то инсталляции софта не произойдет ровно, как и попытка обойти SRP.
Вы сами то сперва проверьте прежде, чем доверять тому, что написано, или Вы не админ?

П.С.: Лично я всегда(!) проверяю какую угодно информацию в тестовой среде, чего и Вам настоятельно рекомендую взять за правило.

@iNNOKENTIY21 · 02.11.2025, 07:24

Сообщение от D1V3r

Имеется задача: заблокировать определённые .exe файлы юзверю

А если просто изменить запуск для всех в режиме совместимости:
Выбрать exe → ПКМ → Свойства → Изменить параметры для всех пользователей → Запускать эту программу от имени администратора

@Maks · 02.11.2025, 10:00

Сообщение от iNNOKENTIY21

А если просто изменить запуск для всех в режиме совместимости:
Выбрать exe → ПКМ → Свойства →Изменить параметры для всех пользователей → Запускать эту программу от имени администратора

В этом случае юзер будет запускать программы от имени администратора, далее через интерфейс программы "Файл->Открыть" попадет в проводник(среду) от имени администратора, запустит CMD(она тоже откроется от имени администратора) и сможет обойти какие угодно ограничения своей учетной записи на уровне ОС. Такое себе мероприятие, не находите?

@iNNOKENTIY21 · 02.11.2025, 18:43

Maks
Если у юзера есть права администратора, то, что Вы расписали он и так сделает на раз!
И зачем тогда эта тема?…

@Maks · 02.11.2025, 20:09

iNNOKENTIY21, Вы тему не внимательно прочитали.
ТС требуется, чтобы пользователь не мог запускать определенные приложения в системе без ввода пароля администратора, в частности командную строку.

Сообщение от D1V3r

например, cmd.exe открываться исключительно после ввода админского пароля. Снова в пример cmd.exe - даже если пользователь открывает командную строку без запроса прав администратора, то всё равно для запуска потребовался бы его пароль.

@iNNOKENTIY21 · 02.11.2025, 23:09

Maks, Сидя под пользователем разве не спросит пароль, при запуске программы настроенной с «Изменить параметры для всех пользователей»?
Я под админом у меня просто UAC срабатывает, у пользователя должно пароль попросить, но это не точно, ибо не проверял за отсутствием учётки пользователя

Добавлено через 2 минуты
И, да, я не догоняю зачем это надо, при наличии пароля админа у пользователя.

@Maks · 02.11.2025, 23:25

iNNOKENTIY21, как я понял, ТС в принципе хочет запретить запуск CMD, она запустится под пользователем без прав администратора, но ТС считает, что CMD запущенная даже от имени обычного пользователя снимает ограничения на установку софта. Само собой это не так, однако юзер может запустить софт portable, но это можно пресечь SRP.

@D1V3r · 04.11.2025, 13:57 **[ТС]**

Господа!

Накануне изучил функционал Applocker, ибо
а) В нём имеется функция импорта/экспорта настроек
б) SRP считается ныне устаревшим

Всё действительно завелось как надо, что даже cmd не даёт запуск заблокированных .exe файлов. Единственное, что мне пришлось сделать: выставить во всех пунктах настройки по умолчанию (см. скрин) (ибо иначе, у меня на админе почему-то не открывался пуск (。_。))

Также я проверил метод, который подразумевает поставить на запуск любого .exe файла права админа, чтобы принудительно вызывать окно UAC. Всё работает как надо.

Спасибо всем за советы, вопрос считаю закрытым!

Новые блоги и статьи Все статьи Все блоги /
Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .	PowerShell и онлайн сервисы. Валюта (floatrates.com руб.) iNNOKENTIY21 11.11.2025 PowerShell функция floatrates-rub Примеры вызова: # Указанная валюта 'EUR' floatrates-rub -Code 'EUR' # Список имеющихся кодов валют floatrates-rub -Available function floatrates-rub {	PowerShell и онлайн сервисы. Погода (RP5.ru) iNNOKENTIY21 11.11.2025 PowerShell функция Get-WeatherRP5rss для получения погоды с сервиса RP5 Примеры вызова Get-WeatherRP5rss с указанием id 5484 — Москва (восток, Измайлово) и переносом строки:. . .	PowerShell и онлайн сервисы. Погода (wttr) iNNOKENTIY21 11.11.2025 PowerShell Функция для получения погоды с сервиса wttr Примеры вызова: Погода в городе Омск с прогнозом на день, можно изменить прогноз на более дней, для этого надо поменять запрос:. . .
PowerShell и онлайн сервисы. Валюта (ЦБР) iNNOKENTIY21 11.11.2025 # Получение курса валют function cbr (] $Valutes = @('USD', 'EUR', 'CNY')) { $url = 'https:/ / www. cbr-xml-daily. ru/ daily_json. js' $data = Invoke-RestMethod -Uri $url $esc = 27 . . .	И решил я переделать этот ноут в машину для распределенных вычислений Programma_Boinc 09.11.2025 И решил я переделать этот ноут в машину для распределенных вычислений Всем привет. А вот мой компьютер, переделанный из ноутбука. Был у меня ноут асус 2011 года. Со временем корпус превратился. . .	Мысли в слух kumehtar 07.11.2025 Заметил среди людей, что по-настоящему верная дружба бывает между теми, с кем нечего делить.	Новая зверюга volvo 07.11.2025 Подарок на Хеллоуин, и теперь у нас кроме Tuxedo Cat есть еще и щенок далматинца: Хочу еще Симбу взять, очень нравится. . .	Инференс ML моделей в Java: TensorFlow, DL4J и DJL Javaican 05.11.2025 Python захватил мир машинного обучения - это факт. Но когда дело доходит до продакшена, ситуация не так однозначна. Помню проект в крупном банке три года назад: команда data science натренировала. . .

@D1V3r 0 / 0 / 1 Регистрация: 21.02.2023 Сообщений: 8

	Блокировка определённых приложений обычному пользователю паролем администратора 25.10.2025, 21:07. Показов 1104. Ответов 15 Метки uac, групповая политика, контроль учетных записей, политика безопасности (Все метки) Категорически всех приветствую! Имеется задача: заблокировать определённые .exe файлы юзверю, а, например, cmd.exe открываться исключительно после ввода админского пароля. Снова в пример cmd.exe - даже если пользователь открывает командную строку без запроса прав администратора, то всё равно для запуска потребовался бы его пароль. Уверен, что решить это можно групповой политикой и без лишних программ, но решение в интернете так и не нашёл. У кого-то была подобная ситуация, есть предложения? 0

@kumehtar Супер-модератор 31833 / 15944 / 2654 Регистрация: 23.11.2016 Сообщений: 79,603 Записей в блоге: 57
	26.10.2025, 18:42
	D1V3r, Через "Локальную политику безопасности" (gpedit.msc) Нажмите Win + R, введите gpedit.msc → Enter. Перейдите: Конфигурация пользователя → Административные шаблоны → Система и там есть Не выполнять указанные приложения Windows Включите параметр, нажмите Показать..., добавьте имена файлов Добавлено через 43 секунды Работает только для конкретного пользователя, если вы открыли gpedit из его учётки. Добавлено через 2 минуты еще способ: через "AppLocker" Запустите secpol.msc → Политики управления приложениями → AppLocker. Создайте правило для исполняемых файлов (Executable Rules) → Запретить нужные EXE → укажите пользователя. 0

@D1V3r 0 / 0 / 1 Регистрация: 21.02.2023 Сообщений: 8
	26.10.2025, 19:09 [ТС]
	kumehtar, Увы, но нет 1 способ с лёгкостью находится в интернете в одном из первых запросов. Задача состоит в том, чтобы не просто заблокировать открытие определённого .exe файла, а запросить у пользователя пароль администратора ПК за попытку открытия приложения Может предложенный вами 2 способ так может? Следует изучить 0

@D1V3r 0 / 0 / 1 Регистрация: 21.02.2023 Сообщений: 8
	30.10.2025, 04:25 [ТС]
	kumehtar, только что ещё раз проверил способ с ковырянием в gpedit.msc. Это вообще нерабочий видимо способ. Я делал, как вы и предложили - зашёл в учётку пользователя (его профиль не админский), которого надо ограничить в правах, зашёл в gpedit.msc от имени администратора, ибо иначе отказ в доступе, а затем сделал пару правок (блокировка cmd, блокировка определённых .exe) По итогу политика работает и на АДМИНСКУЮ учётку (и даже запуск той же cmd.exe от имени от администратора выдаёт ошибку) На данный вопрос тоже есть ответ, или мои руки всё таки не такие прямые, как завещала матушка природа? Миниатюры 0

@Maks Супер-модератор 9241 / 5001 / 603 Регистрация: 13.03.2013 Сообщений: 17,661 Записей в блоге: 17
	30.10.2025, 15:31
	D1V3r, "secpol.msc->Политика ограничения использования программ". Запретить пользователю открывать командную строку без прав администратора Вы все равно не сможете, открываться она будет, но ее действия будут ограничены пользовательской учеткой и пользователь всё равно не сможет сделать то, для чего нужны права администратора. А если Вы принудительно заблокируете CMD на уровне политики, или AppLocker, то перестанут выполняться сценарии в системе, необходимые для ее функционирования. Лучше опишите, что Вы хотите получить в итоге? От чего именно ограничить пользователя? 0

@iNNOKENTIY21 2793 / 492 / 119 Регистрация: 26.09.2020 Сообщений: 919 Записей в блоге: 5
	02.11.2025, 18:43
	Maks Если у юзера есть права администратора, то, что Вы расписали он и так сделает на раз! И зачем тогда эта тема?… 0

@iNNOKENTIY21 2793 / 492 / 119 Регистрация: 26.09.2020 Сообщений: 919 Записей в блоге: 5
	02.11.2025, 23:09
	Maks, Сидя под пользователем разве не спросит пароль, при запуске программы настроенной с «Изменить параметры для всех пользователей»? Я под админом у меня просто UAC срабатывает, у пользователя должно пароль попросить, но это не точно, ибо не проверял за отсутствием учётки пользователя Добавлено через 2 минуты И, да, я не догоняю зачем это надо, при наличии пароля админа у пользователя. 0

@Maks Супер-модератор 9241 / 5001 / 603 Регистрация: 13.03.2013 Сообщений: 17,661 Записей в блоге: 17
	02.11.2025, 23:25
	iNNOKENTIY21, как я понял, ТС в принципе хочет запретить запуск CMD, она запустится под пользователем без прав администратора, но ТС считает, что CMD запущенная даже от имени обычного пользователя снимает ограничения на установку софта. Само собой это не так, однако юзер может запустить софт portable, но это можно пресечь SRP. 1

@D1V3r 0 / 0 / 1 Регистрация: 21.02.2023 Сообщений: 8
	04.11.2025, 13:57 [ТС]
	Сообщение было отмечено Maks как решение Решение Господа! Накануне изучил функционал Applocker, ибо а) В нём имеется функция импорта/экспорта настроек б) SRP считается ныне устаревшим Всё действительно завелось как надо, что даже cmd не даёт запуск заблокированных .exe файлов. Единственное, что мне пришлось сделать: выставить во всех пунктах настройки по умолчанию (см. скрин) (ибо иначе, у меня на админе почему-то не открывался пуск (。_。)) Также я проверил метод, который подразумевает поставить на запуск любого .exe файла права админа, чтобы принудительно вызывать окно UAC. Всё работает как надо. Спасибо всем за советы, вопрос считаю закрытым! Миниатюры 0

Опции темы

Блокировка определённых приложений обычному пользователю паролем администратора

Решение