Причем гуйного софта и с поддержкой всего зоопарка начиная с Windows 2k/XP.

Суть решить основную траблу виндовс когда любой софт может легко испоганить систему или другой софт.
Нечто вроде песочниц для каждой отдельной устанавливаемой проги, но если между ними зависимости то как то это разрешало.
Понимаю что хочу нереального но реально достало изредка заниматься нетрадиционным с какой то прогой/компом.

просто не работай в винде под админом.. даже если ты единственный пользователь...

А чем типовой вирт пс не устраивает?

(1) Проблема что я фикси+фри и к сожалению кроме проблем с 1С просят решить проблемы с чем угодно ("тыжпрограммист").

Понятно где могу административно то никаких проблем больше нету, не считая шаловливых ручек которые обошли запреты.

А вот разные мелкие и не очень клиенты со своими зоопарками, да можно посылать искать админа/эникея, но если готовы платить за решение по ставке программиста?
Посылать нелогично, хотя в такую падлу иногда ковыряться в этих загаженных программно компах.

Вот вдруг есть нечто чтобы минимизировать траблы путем установки 1 раз "некой системы"...

(3) проблемы надуманные.
просто блокируешь админа и все мелкие проблемы решаешь удаленно через тимвьювер

чем меньше админ сидит в пользовательском режиме и типа "работает" - тем дольше проживет винда

собственно все эти линупсы и прочие макоси - они почему такие "стабильные" и "хаккерозащищенные" - в том числе и потому что работа под рутом там не приветствуется.. все работают в пользовательском режиме.. а когда надо что то эдакое - вот тогда уже можно и пароль суперюзера ввести или там еще как то права повысить..

(5) ну да, все верно. Кстати, начиная с windows 8 майкрософт стандартного "админа" в правах понизила и некоторые вещи без дополнительных телодвижений ему делать не дает. Считаю, правильное решение.

(4) Насчет "блокируешь админа" это такая шутка? На чужих то компах с кучей софта все на одной машинке.

Понимаю что трабла банально в отсутствии админов (и даже эникеев) у этих мелких конторок или даже домашних бухгалтеров (аутсорсеров).

Вот хочется чтобы комп "железный", как телевизор или другая бытовая техника, но при этом умудрялся выполнять весь софт накопленный под Виндовс.

В принципе устроит некая мультизагрузка с предварительным созданием скрытого образа системы.
И при желании всегда можно сделать очередную копию системы с чистого образа и в нее поставить нужный софт.

(7) имеется  в виду что некий пользователь "Бухгалтер Марья Петровна" работает на своем компе не под админскими правами а под правами простого (не продвинутого) пользователя...

вот и все

а админский пароль не знает, вернее он у нее на бумажке записан но в нем 24 знака и всякие точки, запяточки  и прочие скобки - чтобы она просто так его чисто физически не могла часто набирать...

тогде ее браузеры и почта не сразу комп убьют..


на практике же получается что сидит себе такая тетя маша - получает в аутлук письмо из сбербанка, открывает "детализацию" и далее звонит вам с просьбой расшифровать все файлы на жестком диске ибо платить 40 000 рублей она очень не хочет из своего кармана..

(0) Контейнеры в каком-то виде обещали в какой-то из следующих подверсий win10. Правда, не во всех версиях будет их поддержка.

"Песочница" уже сейчас есть в Авасте. Я пробовал, работает, но всерьез не использовал.

(0) "когда любой софт может легко испоганить систему или другой софт" Не совсем понятно как любой софт может это сделать?

(0) виртуалбокс + снэпшоты не катит?

(12) ему нужен аналог sudo в винде

(13) это не sudo, это docker run

(13) Да не sudo нуна, оно как раз (8) реализуемо.
А чтобы установка/удаление/обновление одного софта не влияло на работу другого.

Вот банальный пример, есть 5 клиент-банков... и каждый ставит свой софт/плагин и прочее, логично что другие с некоторой вероятностью перестают работать.
А так как у этих клиент-банков в базе один BSS-Client то траблы интересные наблюдаются периодически.

(15)+ Еще из недавнего с долб.. ЕГАИС, когда чтобы заработал "рабочий" УТМ нужно обязательно снести с компа "тестовый"...

(15) даже, если МС изобретет сабж, банки его начнут использовать только после того, как эта технология надежно устареет

+(17) так что вместо того, чтобы пытаться подогнать мир под себя, прими уже наконец то, что есть и живи с этим

(17) Мне на банки и используемые ими технологии глубоко...

Суть чтобы каждый клиент банка и прочая прога думала и считала что она одна на компе и все для нее. Причем не имела доступа к другим не нужным ей прогам.

Но без тяжелой полной виртуализации, по сути отдельный реестр виндовс и переназначение в отдельные каталоги на диске.

Брат родителям на ПК давным давно поставил Sandboxie... ХР вроде не переустанавливают года 3-4 уже

(19) Наконец-то стало понятно, что требуется.
В FreeBSD есть jail, для Win нашел вот это http://www.winquota.com/wj/

(0) Объясни для чего?

(21) Да кроме (20) нашел еще разные http://www.ixbt.com/soft/sandboxes.shtml и https://xakep.ru/2014/01/03/apps-virtualisation-tools/

Но оно не совсем то что нуна.
Хочется нечто вроде подготавливаешь софт в виде единого инсталлера (нечто вроде контейнера докер) и можно легко его разворачивать/переносить.
На любую систему без предварительной подготовки этой системы.

(22) Легкость установки/разворачивания/переноса софта.
Образ чистой системы поднимается, контейнеры нужные разворачиваем и система готова.

Если нужно ось сменить аналогично, контейнеры в бэкапы, ось ставим и контейнеры назад.

(24)+ Думаю всем приходилось ось переставлять с кучей софта? Сколько времени это тыкание далее-далее занимает?
Да некоторый софт можно через силент инсталл но не весь и не всегда.

(25)+ Ну и главный + чтобы в готовый контейнер не мог влезти чужой софт да те же вирусня и прочие. Вирусня в отдельном контейнере-песочнице запустится и пусть себе резвится ))

https://ru.wikipedia.org/wiki/Sandboxie

Sandboxie позволяет запускать приложения в изолированной виртуальной среде и полностью контролировать запущенные процессы.

Программа, работающая в «песочнице», не сможет записать какие-либо данные в системный реестр, получить доступ к системным файлам или внести изменения в систему и повлиять на её работоспособность.

(7) Такие вещи проще решать регулярным резервным копированием.
Штатными виндовыми инструментами.
В случае проблем откатываем либо систему на нужную дату, либо разворачиваем из бэкапа.
Т.е в первом случае данные пользователя не изменяются, во втором полный откат.

(26)+ Т.е. запускаемая прога по дефолту может читать все файловую систему.
Но когда пытается писать она пишет не в реальную систему или другие контейнеры а в свой виртуальный диск и далее читает из него.
Причем автоматически эти виртуальные диск (разные файлы разных песочниц) совмещаются для пользователя и других прог.

(24) Контейнеры это прокладка, требующая ресурсов, у мелких клиентов не те машины, где можно разбрасываться ресурсами в обмен на удобства.

(28) Ага откатываем систему и всего нового софта нету как и данных ))
И начинается возня с совмещением бэкапов.

(30) Вот на виртуалки у них точно нету ресурсов, а контейнеры это же не виртуализация полная, жрать меньше будет.
Расход в основном только дискового пространства но это сейчас не такая проблема с HDD.

(31) Ставишь софт раз в неделю - делай снимок системы раз в неделю.
Откат системы пользовательские данные и документы не трогает.

Ставишь софт раз в день - делай снимок раз в день.

(32) Sandboxie  чем не подходит?
см (27)

(34) Потестю ее, может и устроит.

(32) Контейнеры это ничто иное как удобная система управления виртуализацией.
Т.е те же накладные расходы на виртуализацию, в угоду удобству.

(36) Виртуализация бывает разная...

(37)+ Ваш КЭП.

и все потом упрется в бухгалтершу машу, которая скажет.. Хачу, чтобы никаких дурацких ваших менюшек и виртуалбоксов(ну это она похуже обзовет), а хачу все как было и чтобы все работало.

Особенно в ларьках и всякой этой мелкотне. Автор идеалист хренов.

(34) а как работать программам, которым надо записать что-то в реестр?

934) "Программа, работающая в «песочнице», не сможет записать какие-либо данные в системный реестр" - те же клюшки пишут в реестр кучу всего - и базы, добавляемые в стратер, и опции страниц и прорчее - как оно будет?

(25) Переставлять ОС + весь софт долго, а поднять из бекапа быстро. Гораздо быстрее, чем ковырять всякие контейнеры.

И поясниет плиз - если в песочнице работает Ворд - файло (документы) - будут лежать вне песочницы? то есть впесочнице исполняется только программный код?

(43) Ну, есть промежуточный диск, на котором всем программам всё доступно. Просто с этого диска потом можно переписать в постоянное хранилище или положить на временный диск то, что нужно программе.

(44) ой, блин.. тут пипл путается в том что есть, если добавить еще одного передаста - будет капец

Не, ну в iOS как-то приложения живут каждое в своем "гнезде"?
С файлами, я думаю, надо так: у каждой софтины есть 4 файловых "раздела":
1) Система — сюда приложение писать не может, только читать. Это для всяких библиотек, системных настроек и прочего доступа к ОС.
2.1) Бинарники приложения. Сюда приложение тоже писать не может.
2.2) Данные приложения — конфиги, данные, короче — вся персистентность. Сюда можем писать и читать.
3) Временные данные - существуют только во время работы приложения. Чтение и запись.
4.1) Обмен исходящий. Если кто-то запросил у приложения что-то из-вне, то это пишется сюда. Приложение может сюда только писать.
4.2) Обмен входящий. Если приложение запросило что-то снаружи, то оно будет тут. Только чтение.

Вот, как-то так.

2.2 будет жуткая избыточнгость если разным приложениям нужны одинаковые ресурсы, типа msvcrt

(41)Они будут писать в реестр, но реестр у них будет свой, персональный.
Т.е песочница эмулирует перед приложением работу реестра, а сам реестр остается неизменным.

(37) Разумеется, там десятки видов можно назвать.
Только общее у них всех одно - накладные расходы.

(23)  Под эти требования неплохо подходит стартер portableapps. Правда подготовка приложения нифига не автомат, да и не песочница

(46) Так поддержка всего этого в приложениях должна быть, а сейчас кривые приложения даже с UAC-работать не могут, права администратора требуют. И всем старым  программам не светит новая ОС, МС гордилось тем, что в новых виндовс сохраняется обратная совместимость.