Spooner
26-11-2008, 08:52
Требуется
Блокировка всем пользователям, кроме избранных, запуска определенных приложений путем применения Software Restriction Policies. Именно "блокировка всем, кроме избранных", а не "блокировка избранным". Иначе бы вопрос не ставился :)
Дано
1. Windows 2003, домен example.local
2. OU вида example.local\users\dep_restricted_soft
Что делал
1. Стандартной оснасткой этого сделать не удалось, потребовалась консоль GPMC.
2. В консоли GPMC на одном уровне OU создано две политики:
- Allow_Soft
- Deny_Soft
Две политики созданы исходя из того, что применяется последняя. То есть изначально для всех пользователей запрещен перечень ПО, кроме тех, кто добавлен через GPMC в политику Allow_Soft.
3. В политику Deny_Soft добавляем Authenticated Users. В политику Allow_Soft добавляю пользователя Spooner. То есть по идее Spooner может запускать заблокированное ПО.
4. Делаю gpupdate /force
5. Запускаю анализатор результирующей политики RSoP. Смотрю в список запрещенного/разрешенного ПО, и вижу две строчки: quake.exe - Disallowed и quake.exe - Unrestricted.
6. Проверяю работу GPO на клиентской машине. Разумеется, отрабатывает политика запрета, quake.exe запустить нельзя. Несмотря на то, что пользователь Spooner добавлен в политику Allow_Soft. Отрабатывает имеющая более высокий приоритет запрещающая политика.
Вопрос
Как реализовать пункт "Требуется"?
Блокировка всем пользователям, кроме избранных, запуска определенных приложений путем применения Software Restriction Policies. Именно "блокировка всем, кроме избранных", а не "блокировка избранным". Иначе бы вопрос не ставился :)
Дано
1. Windows 2003, домен example.local
2. OU вида example.local\users\dep_restricted_soft
Что делал
1. Стандартной оснасткой этого сделать не удалось, потребовалась консоль GPMC.
2. В консоли GPMC на одном уровне OU создано две политики:
- Allow_Soft
- Deny_Soft
Две политики созданы исходя из того, что применяется последняя. То есть изначально для всех пользователей запрещен перечень ПО, кроме тех, кто добавлен через GPMC в политику Allow_Soft.
3. В политику Deny_Soft добавляем Authenticated Users. В политику Allow_Soft добавляю пользователя Spooner. То есть по идее Spooner может запускать заблокированное ПО.
4. Делаю gpupdate /force
5. Запускаю анализатор результирующей политики RSoP. Смотрю в список запрещенного/разрешенного ПО, и вижу две строчки: quake.exe - Disallowed и quake.exe - Unrestricted.
6. Проверяю работу GPO на клиентской машине. Разумеется, отрабатывает политика запрета, quake.exe запустить нельзя. Несмотря на то, что пользователь Spooner добавлен в политику Allow_Soft. Отрабатывает имеющая более высокий приоритет запрещающая политика.
Вопрос
Как реализовать пункт "Требуется"?