Групповая политика "Выполнять только указанные приложения" не работает с RemoteApp
 

Народ столкнулся с такой проблемой на Terminal Server: когда в групповых политиках устанавливаю "Выполнять только указанные приложения" (1cv7.exe), то через обычное (RDP) подключение запускаю 1cv7.exe и всё работает на ура! Но когда я подключаюсь с помощью RemoteApp, то начинается в ход в систему и через секунду сессия завершается.

Возможный диагноз: Через RemoteApp подключение, запускается приложение которое противоречит групповой политике (Выполнять только указанные приложения) естественно приложение закрывается после чего закрывается сессия.

Если кто стыкался с проблемой данного рода подскажите пожалуйста, как её можно решить, или куда копать...


P.S. Для чего нужна эта групповая политика? Ведь можно юзать только RemoteApp для ограничения прав пользователя! Но сервер юзают клиенты не только с Windows но и Linux, это раз. Два, это то, что пользователь может зайти через обычную сессию не используя RemoteApp. Три - пользователи для сохранения некой информации используют подключённый диск своей машины, а что мешает запустить гадость с этого диска. Четыре - справка Windows позволяет запускать разные приложения.

а в логах есь записи от Software Restriction Policy? =)

Не, там другая политика, унаследованная с NT. Ничего толкового из себя не представляет.

Даже намёка нету!!!

Всё что есть это от User Profile Service

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
2 user registry handles leaked from \Registry\User\S-1-5-21-938539541-1345070337-4094978820-1250:
Process 2292 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-938539541-1345070337-4094978820-1250
Process 580 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-938539541-1345070337-4094978820-1250

Не знаю на сколько правильно решил эту проблему, но:
1) Запустил RemoteApp без вышеуказанной политики.
2) Через диспетчер задач визуально сравнил процессы запущенные у обычного RDP и RemoteApp.
3) В политику "Выполнять только указанные приложения" внес эти приложения :Rdpinit.exe, Rdpshell.exe ну и на всякий случай добавил 1cv7.exe

Ну что господа?! Запустилось однако. Могу сказать только одно, что возможно какое то приложение лишнее в этом списке, но сегодня экспериментировать уже времени нету.

Всем спасибо за помощь!!!

P.S вот ссылка на статью которая описывает особенности RemoteApp:

http://rudykh.blogspot.com/2010/02/ts-remoteapp.html

Ну если вдруг статья пропадёт из прерий Интернета!

За корректное отображение удаленных приложений отвечают следующие серверные компоненты:

Rdpinit.exe,
Rdpshell.exe,
Rdpdll.dll.

Rdpinit.exe - это аналог Userinit.exe. С его помощью запускаются логон-скрипты и создается оболочка пользователя. Rdpinit.exe отвечает за запуск Rdpshell.exe и обновление значков в панели уведомлений на стороне клиента через Rdpdd.dll. Кроме того, Rdpinit.exe управляет процессом завершения сеанса.

Rdpshell.exe на сервере отслеживает изменения, происходящие в окне приложения (например, открытие или закрытие) и передает их клиенту. Также, Rdpshell.exe обнаруживает соединение\отключение\переподключение терминальной сессии и соответственно закрывает или открывает окно приложения на стороне клиента.

Rdpdd.dll получает от Rdpinit.exe и Rdpshell.exe значки из панели уведомлений и обновляет их отображение на клиенте. Кроме того, Rdpdd.dll отслеживает изменения на стороне клиента и передает их приложению, запущенному на сервере.

простите, что?...