![]() |
как через групповые политики запретить запуск программы
Как управлять стандартными прогами в WIn, не проблема, а если эти проги других производителей.
|
|
А как можно запретить запуск portable программ?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB. И еще, непонятен один момент отсюда, а именно Цитата:
![]() |
"принудительный" находится не в свойствах объекта. Грубо говоря, установи курсор на Политики ограниченного использования программ и в поле Тип объекта появится Принудительный
|
C "Принудительным" разобрался. Теперь вопрос такой: каким образом указать приложение запрещенное для запуска пользователем если на контроллере домена это приложение не установлено (ввиду того, что оно исключительно пользовательское)? Ведь при создании правило по хешу нужно указать приложение.
И еще, если не трудно, просьба объяснить, как же все таки создать правило для только разрешенных приложений, так, чтобы пользователь не мог ничего запустить кроме разрешенных приложений. |
Попробовал в GPO сделать так:
1) В уровне безопасности выбрал по умолчанию "Не разрешено" 2) В типе объекта принудительный выбрал: "Ко всем файлам программ" и "Для всех пользователей кроме локальных администраторов". 3) Никаких правил для разрешения не создал. В итоге при попытке пользователя входа в систему происходит вход в систему и моментальный выход из нее. Что нужно разрешить, чтобы пользователь хотя бы в систему мог войти? |
sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.
|
А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB. |
Цитата:
Цитата:
Цитата:
|
Цитата:
(При том, что я все запретил и ничего не разрешил). Цитата:
Почитал еще раз вот здесь. Очень помогло. А сделал, следующее: 1) В уровне безопасности выбрал по умолчанию "Не разрешено" 2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный" В итоге, запускаются только программы из этих директорий и никакие другие. При этом обычный пользователь естественно не может ничего в эти директории скопировать. |
Цитата:
sacredboy, ну а теперь то все работает? (: |
Цитата:
А так вроде все работает. |
Код:
A: Вариант 1: |
|
WindowsNT, Этот вариант рассматривается. Ситуация такая, что необходимо этот процесс автоматизировать. Конечно, вы скажите: "Поднимай AD - проблема исчезнет", и будете правы. Но этот вариант не подойдет, по определенным причинам. Когда в групповых политиках создаешь запрет на запуск определенной программы, в реестре появляется раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{0806a8ff-29fe-4f89-9592-0aa656523480}. Выделенный жирным шрифтом раздел каждый раз меняется, если к примеру пересоздать правило. И соответственно данную запись через reg или cmd внесенную в реестр на другом компе, работать не будет. |
SRP управляет этими ключами, да. Но идентификатор, насколько я помню, не имеет значения, ключ будет работать на любой машине.
Другое дело, что "чёрными списками" я не занимаюсь. Запрещаю вообще всё, затем добавляю разрешённые для запуска исключения по "белому списку" (codeidentifiers\262144) |
Цитата:
|
А что мешает вариант с реестром запихнуть в cmd и ярлык на него в автозагрузку закинуть?
|
James Marsh, нашел более интересный вариант. Если есть мысли по оптимизации и коррекции, буду раз выслушать.
Код:
@Echo off |
Это всё будет неуправляемым и трудноподдерживаемым мероприятием. Либо конфигурируйте локальные политики вручную, либо копируйте всю папку System32\GroupPolicy со всеми чудесами.
Кста, а вот правила AppLocker экспортировать-импортировать можно отдельно. |
Время: 10:08. |
Время: 10:08.
© OSzone.net 2001-