Буду очень благодарен за полезные ответы.

Предисловие
Задача стоит передо мной такая: быстро создать на компе политики по ограничению запуска исполняемых файлов на заданных дисках. Например, на запрет на запуск исполняемых файлов на дисках с h:\ по z:\. Задачу желательно делать в одно, два действия.

Так я начал выполнять задачу
Я предполагал создать .reg файл, который бы это все делал. Но не понял как формируются разделы ключи в реестре. Чтобы это понять я создавал нужную политику ручками и отслеживал изменения прогой Procces Monitor (бывший Regmon).




Скриншот дерева http://yfrog.com/0368782572j

Еще создаются ключи, значения (т.е. value) которых покрыто мраком. Например, такой ключ:
LastModified REG_QWORD 0x1cb8f99cbf42c48

Вопросы
Не понятно как формируются названия разделов в фигурных скобках? Каждый раз названия разные. Можно ли их формировать правильно самому?
Как узнать способ формирования значений ключей?

Является ли описанный способ оптимальным или куда нужно копать? Может есть другие решения?
Есть ли ссылки по этому вопросу? Поиск в инете не дал результатов.

Я похоже не ясно выразился, потому что ваши ответы мне не понятны. Они как будто на другой вопрос.

Другими словами, что я хотел сказать :)
Нужно, чтобы пользователи не могли запускать .exe`шники и прочие исполняемые файлы на дисках начиная с h:\ и кончая диском z:\. Т.е. вставили в комп три флешки и появилось три диска h:\, g:\ и i:\, а у нас уже до диска z:\ правила праписаны на запрет. Удобно, сколько не подключай устройств, вирусы не полезут с них.
Запрет такой выставляется в политиках,ручками прописывается каждый путь. А я не хочу ручками, а хочу в одно действие это делать. Т.е. запустил файл и он мне все пропишет сразу политики на диски начиная с h:\ и кончая диском z:\.
И тут всплывают вопросы, которые я описал в разделе Так я начал выполнять задачу . Как мне все это дело прописать правильно?

Anatoly PodgoretskyДа не ясно, в новой постановке понятно, тогда ты должен изменить определеные ветки реестра, какие не знаю, но их легко определить, составив всего одно правило. И я не помню, но вроде можно использовать маску.

Но и сейчас тоже не ясно, для одного это копмьютера или для нескольких.

Компьютеров будет много и они могут быть не связаны друг с другом вообще никак или могут быть в локальной сети.

Что это за правило? И где его составить?

Anatoly PodgoretskyТогда создать политику ограничений, затем экспорт реестра, на других только импорт. Если конечно речь не стоит о глобальных политиках.

Делаю так:
Открываю Локальные параметры безопасности - Политика ограниченного использования программ - Дополнительные правила - Создать правило для пути. Уровень безопасности для пути H:\ выставляю Не разрешено. Т.е. я создал правило на запрет. Исполняемые файлы с диска перестают запускаться.

Далее экспортирую ветку реестра, в которой создались ключи для этого правила: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
Они создались в Group Policy Objects.

Теперь я хочу проверить, будет ли работать правило, если я импортирую созданный reg файл.
Удаляю из политики свое правило на запрет.
Проверяю, что соответствующий ключ в реестре удален.
Импортирую reg файл.
В итоге ветки в реестре появились, а вот правила в Политике ограниченного использования программ не создались и соответственно не работают.

UfenВ итоге ветки в реестре появились, а вот правила в Политике ограниченного использования программ не создались и соответственно не работают.
Точнее правило появляется, если импортировать файл не перезагружая комп. После перезагрузки, правило не появится. Но в любом случае правило не работает.

Комп не в домене. Правила у него свои собственные.

Как оказалось, действительно изменения происходят не только в реестре. Есть еще такой файл Registry.pol в C:\WINDOWS\system32\GroupPolicy\Machine.

авторДанный файл содержит в себе перечень всех групповых политик, которые были изменены с помощью раздела Конфигурация компьютера\Административные шаблоны оснастки Редактор локальной групповой политики (gpedit.msc).

Интересно, что содержимое именно этого файла используется оснасткой gpedit.msc для определения того, какие групповые политики включены, а какие нет. То есть, если вы просто измените параметр групповой политики непосредственно через реестр, в оснастке gpedit.msc по-прежнему будет указано, что соответствующая групповая политика не задана.

Вот с этим я столкнулся, когда не понимал почему же политика не работает, хотя в реестре все стоит. Но не тут-то было, после того как я, предварительно сохранив Registry.pol с рабочими настройками, удалил политику и потом снова попытался включить ее, заменив Registry.pol на рабочий и добавив ветки реестра reg файлом, политика не заработала, хотя правило в Политике ограниченного использования программ создалось.