AppLocker и 2008(не R2) AD
 

появились задачи внедрения AppLocker, на контроллере домена под 2008 не нашел в GPO этой вкладки, зато в пакете удалённого администрирования на рабочей машине под Win7 она есть, вот только беда - не применяются эти правила в итоге к конечным машинкам (win7 корпоративная) :( что аплокер можно внедрить только c R2? или в чем то другом трабла?

Все верно, applocker поддерживается только windows 7 (редакции Enterprise и ultimate) и WS 2008 R2
http://technet.microsoft.com/en-us/l...hichOSeditions
Так что пользуйтесь пока Software Restriction Policies

enterprise = корпоративная версия... т.е. клиенты у меня аплокер поддерживают.... пускай 2008 простой не поддерживает, да, но значит ли это что и политику он распространять как DC не будет? Если да то вопрос следующий - достаточно ли будет ввести еще один DC под управлением 2008R2 чтобы он обновил версию базы ad чтобы она стала поддерживать распространение политики аплокера по всем контроллерам домена? Или это всё как то по другому работает?

дочитал по ссылке...

Do I need to upgrade my domain controllers to use AppLocker rules?
No, you do not need to update your domain controllers. You can use existing domain controllers running Windows Server 2003 or Windows Server 2008 to host the AppLocker policy. However, you cannot use computers running Windows Server 2003 or Windows Server 2008 to create AppLocker rules.


следовательно ни чего обновлять не нужно, возвращаемся к вопросу как выяснить почему политика аплокера не распространяется по gpo на компьютеры.

Что вы для этого настраивали?

на системе под win7 professional с помощью adminpack под правами администратора домена создал подразделение для теста, добавил туда тестовую машинку под win7 corp и создал для подразделения политику с стандартными настройками applocker, на тестовой машине естественно gpudate /force перезагрузка, но в локальную политику политики applocker так и не добавились. Журнал чист.

да, и столкнулся с еще одной проблемой, пока решил организовать всё на политиках ограничения использования программ, создал правило для компьютера, настроил в применение для всех кроме локальных администраторов.... всё бы хорошо, правило работает, а вот исключение как то криво... т.е. если зайти под учеткой локального администратора то приложения запускаются, а вот если зайти под доменным пользователем входящим в группу локальных администраторов то ни чего не работает... т.е. у пользователя админские права, правь в системе всё что угодно, а вот софт не запускается :(

Nado ewo slujbu application identity vkluchit.

В локальной политике ничего и должно было добавиться, это доменная политика. Она суммируется с локальной, а не исправляет её. Но из вашего вопроса неясно, заработало ли, началась ли блокировка приложений.

Насчёт SRP пока не скажу, такой режим не пробовал, надо проверить. На мой взгляд, администратор — опаснейший пользователь в системе, его нужно защищать в первую очередь. Все правила SRP ставлю исключительно в режиме "защищать всех пользователей".