Pandasama
14-12-2011, 13:57
Пытаюсь через GPO запретить запуск некоторых (или запуск всех кроме указанных) программ пользователям.
Сервер Win2003
Рабочая станция Win2k prog sp4 + rollup
и компьютер, и пользователь - в одном OU
в этом OU делаю политику (других политик в OU нет), создаю в разделе пользователя "политику ограниченного использования программ"
пытаюсь, к примеру, запретить запуск всего: ставлю уровень безопасности "не разрешено", удаляю из разрешенных программ все (в том числе пути прописанные там по умолчанию)
включаю рабочую станцию, логинюсь под юзером - логин проходит нормально (хотя по идее, если запрещено все - то и зайти нормально в систему дать не должно), любые приложения запускаются
юзаю gpresult /u:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999
Created on 14 декабря 2011 г. at 15:16:44
Operating System Information:
Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported
###############################################################
User Group Policy results for:
CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local
Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming profile: (None)
Local profile: C:\Documents and Settings\tz
The user is a member of the following security groups:
BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ
###############################################################
Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local
===============================================================
The user received "Registry" settings from these GPOs:
proverka
юзаю grpresult /u /v:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999
Created on 14 декабря 2011 г. at 15:16:52
Operating System Information:
Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported
###############################################################
User Group Policy results for:
CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local
Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming profile: (None)
Local profile: C:\Documents and Settings\tz
The user is a member of the following security groups:
BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ
The user has the following security privileges:
Обход перекрестной проверки
Завершение работы системы
Извлечение компьютера из стыковочного узла
###############################################################
Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local
===============================================================
The user received "Registry" settings from these GPOs:
proverka
Revision Number: 10
Unique Name: {0620F402-3B59-4949-BE7D-FE75451BB74A}
Domain Name: barnaul.muh.local
Linked to: Organizational Unit (OU=proverka,DC=barnaul,DC=muh,DC=local)
The following settings were applied from: proverka
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer
ValueName: AuthenticodeFlags
ValueType: REG_DWORD
Value: 0x00000002
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: DefaultLevel
ValueType: REG_DWORD
Value: 0x00000000
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: TransparentEnabled
ValueType: REG_DWORD
Value: 0x00000001
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: PolicyScope
ValueType: REG_DWORD
Value: 0x00000000
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: ExecutableTypes
ValueType: REG_MULTI_SZ
Value:
ADE
ADP
BAS
BAT
CHM
CMD
COM
CPL
CRT
EXE
HLP
HTA
INF
INS
ISP
LNK
MDB
MDE
MSC
MSI
MSP
MST
OCX
PCD
PIF
REG
SCR
SHS
URL
VB
WSC
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values
то есть политика применилась и в реестр записалась инфа
пытался делать наоборот - ставить уровень безопасности обычный и запрещать отдельное приложение - например, calc.exe по пути - та же фигня, никакой реакции, приложение свободно запускается
различные другие параметры политики, если я их задаю, выполняются нормально
в чем проблема?
на вин2к это не работает? помнится что когда-то видел настроенную на вин2к через ГПО запретительную политику
подозреваю, что какую-то очевидную вещь упустил, но какую?
Сервер Win2003
Рабочая станция Win2k prog sp4 + rollup
и компьютер, и пользователь - в одном OU
в этом OU делаю политику (других политик в OU нет), создаю в разделе пользователя "политику ограниченного использования программ"
пытаюсь, к примеру, запретить запуск всего: ставлю уровень безопасности "не разрешено", удаляю из разрешенных программ все (в том числе пути прописанные там по умолчанию)
включаю рабочую станцию, логинюсь под юзером - логин проходит нормально (хотя по идее, если запрещено все - то и зайти нормально в систему дать не должно), любые приложения запускаются
юзаю gpresult /u:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999
Created on 14 декабря 2011 г. at 15:16:44
Operating System Information:
Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported
###############################################################
User Group Policy results for:
CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local
Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming profile: (None)
Local profile: C:\Documents and Settings\tz
The user is a member of the following security groups:
BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ
###############################################################
Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local
===============================================================
The user received "Registry" settings from these GPOs:
proverka
юзаю grpresult /u /v:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999
Created on 14 декабря 2011 г. at 15:16:52
Operating System Information:
Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported
###############################################################
User Group Policy results for:
CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local
Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming profile: (None)
Local profile: C:\Documents and Settings\tz
The user is a member of the following security groups:
BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ
The user has the following security privileges:
Обход перекрестной проверки
Завершение работы системы
Извлечение компьютера из стыковочного узла
###############################################################
Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local
===============================================================
The user received "Registry" settings from these GPOs:
proverka
Revision Number: 10
Unique Name: {0620F402-3B59-4949-BE7D-FE75451BB74A}
Domain Name: barnaul.muh.local
Linked to: Organizational Unit (OU=proverka,DC=barnaul,DC=muh,DC=local)
The following settings were applied from: proverka
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer
ValueName: AuthenticodeFlags
ValueType: REG_DWORD
Value: 0x00000002
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: DefaultLevel
ValueType: REG_DWORD
Value: 0x00000000
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: TransparentEnabled
ValueType: REG_DWORD
Value: 0x00000001
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: PolicyScope
ValueType: REG_DWORD
Value: 0x00000000
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: ExecutableTypes
ValueType: REG_MULTI_SZ
Value:
ADE
ADP
BAS
BAT
CHM
CMD
COM
CPL
CRT
EXE
HLP
HTA
INF
INS
ISP
LNK
MDB
MDE
MSC
MSI
MSP
MST
OCX
PCD
PIF
REG
SCR
SHS
URL
VB
WSC
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values
KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values
то есть политика применилась и в реестр записалась инфа
пытался делать наоборот - ставить уровень безопасности обычный и запрещать отдельное приложение - например, calc.exe по пути - та же фигня, никакой реакции, приложение свободно запускается
различные другие параметры политики, если я их задаю, выполняются нормально
в чем проблема?
на вин2к это не работает? помнится что когда-то видел настроенную на вин2к через ГПО запретительную политику
подозреваю, что какую-то очевидную вещь упустил, но какую?