Пара вопросов про GPO и SRP.
 

Имеется домен на Win2000Server и клиенты с WinXPPro
Настраивается "Software Restriction Policies", c политикой по умолчанию disallowed. При настройке их через User Configuration все работает. При настройке через Computer configuration, почему то применяются только явно заданные disallowed правила (например на regedit) глобальное disallowed правило не работает, можно запускать все что угодно. Почему?

Второй вопрос, если остановиться на User Configuration то при удалении файлов lnk из списка "Designated File Types" ветки "Software Restriction Policies" ярлыки лежащие, например, на рабочем столе отказываются запускать нужные программы, если запускать программу вручную из папки, для которой есть правило, все работает. Верное ли это поведение? И на что тогда влияет удаление/добавления файлов типа .lnk? И как может глобальное правило разрешающее запускать все файлы .lnk повлиять на безопасность?

Заранее благодарен.

Проблема решена.
1. При настройке через Computer Configuration мешала еще одна примененная к OU политика SRP у которой по умолчанию было правило Unrestricted.
2. Просто перенаправили рабочий стол в место недоступное обычным ползователям для записи и разрешили запускать все .lnk оттуда.