Здравствуйте, Сергей Бендер!
Вы спрашивали : "
кто-то как-то всё равно сумел поменять фон. Я хочу понять, как это сделано? Как сумели обойти запрет политики gpedit.msc?" - редактор групповой политики не есть антивирус (кот-й непрерывно проверяет каждое действие пользователя и этим замедляет производительность системы). Редактор политики лишь принимает от пользователя настройки политик, хранит их и даёт читать эти настройки ядру системы. А уже ядро выполняет все действия, сопоставляя команды пользователя с настройками, хранимыми в Редакторе политик и в системном реестре Windows.
В Вашей интересной ситуации заморочка возникла изза двойного назначения фонового рисунка Рабочего стола. Теперь при входе в систему ядро загружает Ваш рисунок, заданный в Групповой политике, и ещё второй рисунок, прописанный в системном реестре в параметре HKCU\Control Panel\Desktop\Wallpaper .
Значение параметра Wallpaper имеет примерно такой синтаксис: C:\Documents and Settings\VA\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (это в случае, когда фон-рисунок задан из окна СвойстваРабочегоСтола \ вкладка РабочийСтол \ абзац ФоновыйРисунок ).
Если фон-рисунок задан из окна браузера Firefox, то значение параметра Wallpaper чуть другое : C:\Documents and Settings\VA\Application Data\Mozilla\Firefox\Фон рабочего стола.bmp
В обоих случаях ссылки указывают не на тот картин-файл, что Вы заказали, а на его копию, авто-сконвертированную в распакованный (неужатый) .bmp-тип . (Исходник Вы можете удалить, а фон-рисунок копии останется).
Вы писали "
Потом я тупо открыл Firefox, взял первую встречную картинку в Интернете, нажал ПКМ \ "Сделать фоновым рисунком рабочего стола" и вуаля! Она стала фоном!" - это неоправданный риск, лучше не кликать мышкой на чужих инет-страницах, дабы не запустить обманный скрипт со шпионом. Я перестал кликать, так мне теперь и антивирус не нужен уже 10 лет. Если хотите экспериментировать, то облюбуйте безопасную локальную картинку, затем из её контекста выберите команду ОткрытьСПомощью \ Firefox . И затем проверяйте надёжность своей защиты от чужих назначений фон-картинок.
Как уместно заметил эксперт Виктор (у Виктора всегда меткие добавки!) : "
любой просмотрщик графических файлов умеет менять фон рабочего стола…" . Верно! Мой просмотрщик FastStone Image Viewer сумел изменить фон-картинку, но только когда ГрупПолитика не запрещала это изменение. Viewer изменил значение параметра Wallpaper на C:\Documents and Settings\VA\Application Data\FastStone\FSIV\FSViewerWallPaper.bmp
Firefox имеет бОльшие возможности. Примерно в 1 случае из 4х ему удавалось изменить фон-картинку вопреки запрету ГрупПолитики.
Какой же вывод? Система с 2мя назначениями фоновой картинки выполняет вывод фон-рисунка на экран НЕстабильно. Чьё назначение будет исполнено позже, та картинка и останенется поверх Рабочего стола в текущем сеансе учётки. Если Вы будете внимательно следить за выходом из учётки, то заметите, как на экране после исчезновения верхней фон-картинки мелькает вторая, ниже-подавленная картинка.
Политика "Конфигурация пользователя \ Административные шаблоны \ Панель управления \ "Запретить изменение фонового рисунка" блокирует замену рисунка только из окна Свойства Рабочего стола. Firefox и FastStone Image Viewer легко меняют рисунок вписыванием его в сис-реестр.
Поскольку Ваше назначение от редактора ГрупПолитики НЕ прописывается в реестровый параметр HKCU\Control Panel\Desktop\Wallpaper , то я предлагаю надёжно заблокировать родительский раздел HKCU\Control Panel\Desktop\ от изменений в нём сторонними программами.
Для этого загрузите окно Редактора реестра (Пуск \ Выполнить \ RegEdit ). Раскройте раздел HKCU\Control Panel\Desktop . Убедитесь в том, что состояние фонового рисунка соответствует желаемому. Если это не так, поправьте рисунок любым способом из выше-описанных.
После каждой правки жмите клавишу F5 (обновить экранное отображение с диска) в активном окне Редактора реестра, дабы его "замороженное" (устаревшее) отображаемое значение не вводило Ваш разум в заблуждение. Жмите также клавишу F5 в активном окне Рабочего стола (он активируется нажатием клав-сочетания Windows+D - свернуть все окна) чтоб обновить фон (зачитать обновлённый фон с диска) после каждого пере-назначения! Иначе Вы увидите изменение значительно позже, после пере-входа в учётку.
Затем из контекстного меню раздела HKCU\Control Panel\Desktop\ выберите команду "Разрешения".
В открывшемся окне "Разрешения для Desktop" жмите кнопу Дополнительно.
В открывшемся окне "Дополнительные параметры безопасности для Desktop" в абзаце "Элементы разрешений" выберите псевдоним текущей учётки (для которой будете запрещать), жмите кнопку "Изменить" (скриншот прилагаю).
В открывшемся окне "Элемент разрешения для Desktop" взведите флажки "Задание значения", "Создание подраздела", "Удаление", "Смена владельца". Жмите ОК закрыть окно с применением изменений.
В родительском окне Вы увидите новую строку "Запретить". Взведите флажок "Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам". Жмите ОК.
Вы увидите 2 грозных предупреждения. "
Это приведет к удалению явно заданных разрешений для всех дочерних объектов и переносу наследуeмых разрешений на эти дочерние объекты. Будут действовать только наследуемые разрешения, перенесенные от Desktop. Подтверждаете выполнение?" - жмите Да.
"
Вы задали элемент запрета разрешений. Элементы запрета имеют более высокий приоритет, чем элементы разрешения. Это означает, что пользователь, являющийся членом двух групп, одна из которых имеет разрешение, а другой это разрешение запрещено, не будет иметь этого разрешения. Продолжить выполнение операции?" - тоже Да.
Каждый раз завидев эти разрешения, я вспоминаю весёлого студента-сотрудника в хабаровской академии, кот-й любил испытывать недокументированные возможности и экспериментировать с ними. Этот весельчак однажды перестарался и задал запрет на чтение. Его ОперСистема, лишённая возможности читать реестр, перестала загружаться. Будьте внимательны!
В пра-родительском окне "Разрешения для Desktop" тоже жмите кнопу ОК. Лазейка для сторонних приложений захлопнулась. В Свойствах Рабочего стола на вкладке РабочийСтол абзац ФоновыйРисунок стал НЕактивным.
Теперь, чтобы изменить фоновый рисунок, Вам придётся снова загрузить RegEdit и снять выше-заданные ограничения.
Чтоб Ваши пользователи не смогли использовать Редактор реестра, Вы можете запретить его в GpEdit.msc \ КонфиПользователя \ АдминШаблоны\ Система. Включите политику "Сделать недоступными средства редактирования реестра". Почитайте пояснение-подсказку на соседней вкладке этого же окна. =Удачи!