Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Неправильное применение групповой политики ограниченного использования программ (http://forum.oszone.net/showthread.php?t=234718)

zionkv 15-05-2012 20:17 1916547
Неправильное применение групповой политики ограниченного использования программ
 
Вложений: 1
Домен, клиенты Windows 7 и Windows XP. Решил запретить пользователям запускать лишние файлы, находящие вне %programfiles% и некоторых исключений. На некоторых машинах программы перестали запускаться с ярлыков рабочего стола с ошибкой запрещения(будто пытаюсь запустить программу из неразрешенной зоны). В отчете по применению политики существует сообщение: "Не удается найти Отображаемые имена для некоторых параметров. Чтобы решить эту проблему, нужно обновить ADM-файлы, используемые средством управления групповой политикой".
В приложении более подробный отчет.

leonty 15-05-2012 22:26 1916622
Цитата:
Цитата zionkv
На некоторых машинах программы перестали запускаться с ярлыков рабочего стола с ошибкой запрещения(будто пытаюсь запустить программу из неразрешенной зоны). »
Удалите из назначенные типы файлов значение lnk.
из отчета
Цитата:
При сборе информации для этого расширения произошла неизвестная ошибка. Подробности: Не удалось привести тип объекта "System.String[]" к типу "Microsoft.GroupPolicy.Reporting.Extensions.Registry.UnknownType".
тыц

t3mk4 16-05-2012 09:41 1916814
Вот тут есть все что нужно по теме SRP http://www.sysadmins.lv/CategoryView...curitySRP.aspx

zionkv 17-05-2012 18:16 1917796
Вложений: 1
Однако на Windows XP SP3 данные процедуры не помогают.
  • Client side extensions устанавил
  • КД на Windows 2008 R2, консоль открывалась с КД
  • Убрал lnk из запрещенных расширений
  • После установки http://support.microsoft.com/kb/981750/EN-US пропали проблемы в результирующей политике на сервере(прилагается)

Проблема осталась(журнал с клиента Windows XP SP3):

Тип события: Предупреждение
Источник события: Software Restriction Policies
Категория события: Отсутствует
Код события: 865
Дата: 17.05.2012
Время: 17:56:18
Пользователь: Н/Д
Компьютер: MANAGER1
Описание:
Доступ к C:\Documents and Settings\All Users\Рабочий стол\1C Enterprise.lnk был ограничен Администратором политикой ограниченного использования программ.

leonty 17-05-2012 19:30 1917841
Код:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
Уровень безопасности        Неограниченный
Описание       
Изменено        17.05.2012 7:45:58
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Уровень безопасности        Неограниченный
Описание       
Изменено        02.05.2012 4:24:37
и
Код:
C:\Program Files
Уровень безопасности        Неограниченный
Описание       
Изменено        17.05.2012 7:47:37
C:\Program Files (x86)
Уровень безопасности        Неограниченный
Описание       
Изменено        17.05.2012 7:47:49
одно и тоже. последнее уберите.

zionkv 17-05-2012 21:18 1917882
Убрал последние два пункта. Пока безрезультатно.

t3mk4 17-05-2012 22:43 1917914
А оно и не даст результат. Да и политика применяется на пользователей, так от машин тут мало чего зависит кроме того факта что машинка может не применять\обновлять политики по каким-то причинам. С КД сделайте на пользователя хм... забыл как называется, в общем в этой оснастке в самом низу есть возможность сделать rsop на пользователя и посмотреть что применилось или применится к нему.
Цитата:
Запретить использование командной строки Включено
Запретить также обработку сценариев в командной строке? Да
А зачем люди ЭТО делают я вообще никогда не понимал и не пойму :(

zionkv 17-05-2012 23:16 1917927
В качестве защиты от вирусов, чтобы cmd не юзали.
RSOP сделать c сервера? А смысл, если на поколении Windows 7 все работает как положено? RSOP не работает на XP, там GPRESULT, но опять же, ведь политика применяет нормально, исходя из того, что новые запреты появляются корректно.

gpresult c проблемной машины для проблемного пользователя от администратора:
читать дальше »

C:\Documents and Settings\administrator>gpresult /user vkivva

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 17.05.2012 в 23:26:54


RSOP-результаты для LOCAL\vkivva на MANAGER1 : Режим журналирования
--------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: LOCAL
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\vkivva
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=MANAGER1,OU=computers,OU=audxxx,OU=street,OU=Geo,DC=local,DC=local
Последнее применение групповой политики: 17.05.2012 at 23:17:50
Групповая политика была применена с: Server.local.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Удаленное управление
Настройки окружения
Установка Silverlight
Установка разных MSI
Установка Lync(PC)
Всегда ждать сеть
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
MANAGER1$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=имя,OU=Buhgalters,OU=firm,OU=Companies,DC=local,DC=l
ocal
Последнее применение групповой политики: 17.05.2012 at 23:22:42
Групповая политика была применена с: Server.local.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Запрет съемных устройств
Перенаправление папок
Ярлык и папка Консультант+
Принтеры
Список баз 1Сv8
Lync(user) шлюз
QoS
Монитрование шары
Запрет запуска ехе
Ярлык_и_список_баз_1cv77

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Default Domain Policy
Фильтрация: Не применяется (пусто)

Настройка пользователей
Фильтрация: Отключено (GPO)

Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
Пользователи удаленного рабочего стола
REMOTE INTERACTIVE LOGON
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
Buhgalters
firm
1cv77users

leonty 17-05-2012 23:50 1917950
Цитата:
Цитата zionkv
Пока безрезультатно. »
как уже сказали и не должно было :) просто указал на билиберду
Цитата:
Цитата zionkv
В качестве защиты от вирусов, чтобы cmd не юзали. »
гм. пояните?

Цитата:
Цитата zionkv
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Default Domain Policy »
прикольно
Цитата:
Цитата zionkv
Примененные объекты групповой политики
---------------------------------------
Ярлык_и_список_баз_1cv77 »
таки где у Вас сам экзешник 1с находится?

t3mk4 17-05-2012 23:52 1917952
Цитата:
Цитата zionkv
В качестве защиты от вирусов, чтобы cmd не юзали. »
ох лол. Посмеялся, спасибо, пишите еще.

В той же оснастке в которой редактируете и просматриваете политики обратите свой взор в самый низ, там что-то про результативную политику для пользователя или компьютера есть. Точнее могу сказать завтра, если не будет лень.
Цитата:
Цитата zionkv
RSOP не работает на XP, там GPRESULT »
Блин, меня тут просили не выражаться на форуме :( Буду стараться...

cameron 18-05-2012 09:36 1918089
покажите скрин настроек SRP что ли.
Цитата:
Цитата t3mk4
там что-то про результативную политику для пользователя или компьютера есть »
да, мастер называется Result Policy
Цитата:
Цитата zionkv
RSOP не работает на XP »
rsop.msc

t3mk4 18-05-2012 09:41 1918091
Цитата:
Цитата cameron
покажите скрин настроек SRP что ли. »
Сами настройки уже есть в аттаче, мне больше интересно что применилось на пользователя и откуда правда берется ехешник 1с.

cameron 18-05-2012 09:46 1918092
мне одной кажется что используется путь %allusersprofile%\*.ink? =)

t3mk4 18-05-2012 09:53 1918096
Кажется, потому что это правило вообще ничего не делает, точнее делает, но в данном случае фигню :)

zionkv 18-05-2012 10:12 1918103
Цитата:
Цитата leonty
гм. пояните? »
Часто видел окно cmd во время работы вирусов, оттуда и мнение, плюс запрет vbs не помешает, так как вся затея исключительно ради борьбы с вредоносным ПО.

Цитата:
Цитата leonty
прикольно »
Что странного? У меня нет политики,которую я хочу применить ко всему домену, т.е. включительно к КД, все политики находятся глубже, одни географические, другие инфраструктурные по предприятию.

Цитата:
Цитата leonty
таки где у Вас сам экзешник 1с находится? »
C:\program files\1c\...чего-то там вроде common\1cтра-та-та.exe

Цитата:
Цитата t3mk4
Блин, меня тут просили не выражаться на форуме Буду стараться... »
и
Цитата:
Цитата cameron
rsop.msc »
Пардон.

Цитата:
Цитата cameron
мне одной кажется что используется путь %allusersprofile%\*.ink? »
А какая разница, если запрета в ГПО нет ни на то, ни на это. Я уже и разрешение ставил для *.ink, *.lnk.

t3mk4 18-05-2012 10:19 1918107
Цитата:
Цитата zionkv
Часто видел окно cmd во время работы вирусов, оттуда и мнение, плюс запрет vbs не помешает, так как вся затея исключительно ради борьбы с вредоносным ПО. »
вот она безопасность моей мечты!
Цитата:
Цитата zionkv
C:\program files\1c\...чего-то там вроде common\1cтра-та-та.exe »
Ну тогда сделайте что-нибудь там где-то пам пам пам и заработает, да.

И когда будет отчет
Цитата:
Цитата cameron
Цитата:
Цитата t3mk4
там что-то про результативную политику для пользователя или компьютера есть »
да, мастер называется Result Policy »

zionkv 18-05-2012 10:25 1918111
Вложений: 3
Скрины:

Цитата:
Цитата t3mk4
Ну тогда сделайте что-нибудь там где-то пам пам пам и заработает, да. »
Суть ведь передал? C:\program files\...

Цитата:
Цитата t3mk4
И когда будет отчет »
Теперь только в шесть часов, временно пришлось отключить всю политику.

t3mk4 18-05-2012 10:37 1918117
Хм, оригинально... А тестовую ОУ сделать и тестовым пользователем?

zionkv 18-05-2012 10:39 1918119
На win7,win2008r2 все работает адекватно, Hyper-V не используется, VirtualBox поставить нельзя - упадет сеть до перезагрузки сервера.(С этим сегодня же вечером разберусь, но пока так)

local.local не я придумал, так уж вышло =((

t3mk4 18-05-2012 10:53 1918128
Ехешник самой 1с запустите из папки 1с (НЕ через ярлык, а сам ехешник), выдает ошибку SRP?

zionkv 18-05-2012 11:16 1918145
С самого начала exe запускались согласно политике, то бишь абсолютно адекватно.

cameron 18-05-2012 11:30 1918155
c:\*.lnk
это ярлыки из корня С:, а не рекурсивно.

zionkv 18-05-2012 11:39 1918166
Цитата:
Цитата cameron
c:\*.lnk
это ярлыки из корня С:, а не рекурсивно. »
Не верю, в руководстве по SRP для Program Files указано C:\Program Files\*.exe, аналогично этому и c:\*.lnk.

Вечером буду проверять и запуск lnk из корня и остальные советы.

zionkv 18-05-2012 17:01 1918396
Столкнувшимся с проблемой, советую читать

http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/

и, если таки не помогло:

http://social.technet.microsoft.com/...a-fda3c5038b42


Время: 14:25.

Время: 14:25.
© OSzone.net 2001-