[Ъ] Применение политик ограниченного использования программ

GuseV · Отправлено: **17:52, 15-06-2007** | | #2 |

Есть вопрос. Допустим хочу чтоб пользователи не могли запускать файлы с расширением exe в прописаных мною папках.
В gpmc захожу - Конфигурация пользователя-->Параметры безопасности-->Политики ограниченного использования программ-->Дополнительные правила
Там создаю правило до пути: например c:\temp\*.exe По моему это значит, что пользователь не может запускать файл с расширением exe в этой папке и ВЛОЖЕННЫХ в нее папках. Но, на деле, создаешь папку,например c:\temp\1\, копируешь туда файл *.exe, и он прекрасно там работает. Делаю по другому c:\temp\*\*.exe, в папке c:\temp\1\ файл *.exe не работает, НО если создать c:\temp\1\2\, то там он прекрасно работает.
Вопрос: как правильно написать, чтоб файл *.exe не мог выполняться не только в папке temp, но и во все вложенных???

monkkey · Отправлено: **17:55, 15-06-2007** | | #3 |

Сделайте ограничение по хэшу программы. Либо дайте права использовать только разрешенные программы.

GuseV · Отправлено: **21:08, 15-06-2007** | | #4 |

А возможно ли сделать как хотел я?
Что написать вместо вот этого???
с:\temp\*.exe, с:\temp\*\*.exe, с:\temp\*\*\*.exe, с:\temp\*\*\*\*.exe, с:\temp\*\*\*\*\*.exe, есть ли подстановочный символ говорящий о вложенных папках?

GuseV · Отправлено: **12:04, 16-06-2007** | | #5 |

Сам нашел ответ на свой вопрос. Нужно писать не путь до конечного файла с расширением *.exe, а просто путь до папки (например c:\temp), тогда выполнение файлов с расширением *.exe будет действителен не только на указанную папку, но и на все вложенные...Всем спасибо.

merdzd · Отправлено: **19:11, 13-11-2007** | | #6 |

Уровень безопасности по умолчанию: Не разрешено (Disallowed)
содал правила path
%WINDIR% Неограниченный (Unrestricted)
%PROGRAMFILES% Неограниченный (Unrestricted)

програмы не запускаются из меню пуск или с помошью ярлыка
но запускаются напрямую из папок PROGRAMFILES WINDIR как и положенно по правилу
задача чтоб запускалось всё из PROGRAMFILES

подскажите
нужны еще правила ?

merdzd · Отправлено: **11:47, 14-11-2007** | | #7 |

скопировал

Проблема в том что в “Software Restriction Policy – Designated File Types” прописаны типы файлов на которые распространятся запрет на запуск. А в этом списке есть и файлы LNK. Это значит что пользователь не может запускать программы посредством ярлыков, потому что они обычно находится в папках %USERPROFILE%\Desktop\; %USERPROFILE%\Start Menu\; %ALLUSERSPROFILE%\Start Menu\ на которые распространятся запрет запуска по умолчанию. Решить это проблему можно удалив из списка Designated File Types файлы LNK. Это конечно ни есть хорошо, но все другие способа еще хуже.

Вообщем всем ОГРОМНОЕ спасибо, что помогали. Решил, все таки, этот бок - оказывается, надо было прописать разрешающее правило для *.lnk через GPO компа (почему?), через пользователя не хотело никак.