none
2003 R2, zásady omezení softwaru

    Dotaz

  • Zdravím všchny,

    řesím problém se zapnutím Movie Makeru ve WinXP(SP3). Při pokusu o jeho zapnutí se zobrazí :

    "V systému Windows nelze tento program otevřit, protože byly uplatněny zásady pro omezení softwaru. Chcete-li získat další informace, otevřete prohlížeč událostí nebo se obraťte na správce systému."

    Problém je v tom, že tento program není v zásadách zakázaný. Dokonce i když se dá na Movie Maker přímo povolit tak to vrací stejnou chybu. V prohlížeči událostí samozřejmě navzdory této hlášce žádná chyba není uvedena. Co jsem našel tak na odkazu http://support.microsoft.com/kb/873419/cs se dá stáhnout hotfix pro Server 2003 ale instalovat to na Domain Controller když není jisté že to pomůže a podle informací je tento hotfix součástí automatických aktualizací... Ještě pro upřesnění - Movie Maker nejde spustit opravdu ve chvíli, kdy se počítač připojí do domény.

    Nemáte někdo podobnous/stejnou zkušenost? Budu rád za každou radu

    pondělí 20. prosince 2010 7:55

Odpovědi

  • No tak se proste podivej do registru zda jsou nejake SW restriction policies aplikovany a pokud ano tak az pak res odkud se berou!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers  .... atd

    MP

    pondělí 20. prosince 2010 8:07
    Vlastník
  • 1. Enforcement je v GP o uroven vyse nez additional rules (je tam Enforcement, Designated file types, Trusted Publishers)
    2. myslim, ze nejsi ve stavu kdy hledame ELEGANTNI reseni. Zatim jeste nevime kde je problem. Pokud jsi cetl pozorne doporucoval jsem Enforcement zkusit na jedne nemoznosti instalace postizene stanici

    MP

    úterý 21. prosince 2010 10:22
    Vlastník

Všechny reakce

  • A jak máš nastavené zásady omezení softwaru? Spíš tam bych hledal chybu...

    pondělí 20. prosince 2010 7:58
  • No tak se proste podivej do registru zda jsou nejake SW restriction policies aplikovany a pokud ano tak az pak res odkud se berou!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers  .... atd

    MP

    pondělí 20. prosince 2010 8:07
    Vlastník
  • Nevím jak přesně mám na tohle odpovědět ale např. v "Additional Rules" což by mělo vypsat podle mě vše co je zákázáno nebo změněno z defaultu je vše v pořádku - tedy vyjímky tam jsou ale nic co by mělo ovlivňovat Movie Maker. Navíc i když jsem zkoušel tyto vyjímky dát zpátky na default v duchu "co kdyby" tak se to chová stále stejně.
    pondělí 20. prosince 2010 8:13
  • ... "Additional Rules" což by mělo vypsat podle mě vše co je zákázáno nebo změněno z defaultu je vše v pořádku

    Jeste jednou: GPos je jen jeden zpusob jak nastavovat SW Restriction policies. Takze se prosim nejprve podivej do registru zda tam je odpovidajici restrikce a pak teprv zjistuj jak/proc se tam ten ci onen zaznam dostal (scriptem, programem SetSafer a pod).

    MP

    pondělí 20. prosince 2010 8:48
    Vlastník
  • V registrech se na dané (a přibližné) cestě nějaké pravidla nacházejí, respektive v tuto chvíli nepodstatné věci jako automatické aktualizace apod. Vylučovací metodou mě tam zbylo pod "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\safer\codeidentifiers\0\Hashes" 5 záznamů, které jsou pod všemi Server 2003(i pod těmi nedoménovými controlery) takže to taky nebude ono. Zajímavé je, že jsem tam ani nenašel Hashe na soubory, které jsou úmyslně zakázány(to funguje dobře).

    pondělí 20. prosince 2010 10:03
  • pozor, pres domenove GPos se da nastavit  USER policies - tam nic?

    MP

    pondělí 20. prosince 2010 12:26
    Vlastník
  • Tím myslíš Group Policy Object Editor? Tímto nástrojem právě byly nastavovány politiky - přes User Configuration a tam "nic není". Donkonce i když jsem nastavil přímo na spuštění Movie Makeru "Unrestricted" tak se situace nezměnila. Začínám mít takový pocit, že v této doméně již nepůjde Movie Maker nikdy a budeme čekat až postupně všichni přejdou na Win7 kde žádný MM není :-) Nicméně samozřejmě přijímám další rady...
    pondělí 20. prosince 2010 13:06
  • Ne, opet myslim aby ses podival nejprve do user policies v REGISTRU postizeneho stroje

    MP

    P.S. take se da nastavit (ENFORCEMENT) ze se SW Restriction policies neuplatnuji na local Administrators, zkus to na jednom stroji "obejit" takto!

     

    pondělí 20. prosince 2010 13:29
    Vlastník
  • Hodnota "Enforcement" tam není (alespoň ne v této verzi 2003 server), opravdu tam jsou jen ty dvě hodnoty(Disallowed, Unrestricted). Co se týče Local Administrators tak tam se tedy tyto politiky uplatňují také(MM nejde). Jediný co pomůže je zkušební PC vyhodit z domény. Jinak jsem i zkusil na postiženém PC vymazat z registru z uvedené cesty všemožné podezřelé hodnoty a stejně jsem si nepomohl. Začínám mít ten pocit, že se tyto politiky buď zapisují ještě jinam(což by bylo i logické) a nebo je to v tomto případě špatná cesta v registrech.

    úterý 21. prosince 2010 7:47
  • Co se týče Local Administrators tak tam se tedy tyto politiky uplatňují také(MM nejde).

    No a dal jsi na ne vyjimku v enforcementu jak jsem radil?

    MP

    úterý 21. prosince 2010 9:21
    Vlastník
  • Psal jsem že možnost nastavit hodnotu enforcement tady nemám (nebo alespoň nevím kde). Na serveru k danému programu/hashi nastavím dvě již zmíněné a na stanici mi nepřijde logické že by to bylo možné nastavit. Kdyžtak prosím poraď kde to nastavit. Stejně i kdyby to fungovalo na stanicích pod Local Administrators tak to není úplně elegantní řešení, nemluvě o tom, že pro někoho jsou i oprávnění Users dost vysoká. :-)
    úterý 21. prosince 2010 10:07
  • 1. Enforcement je v GP o uroven vyse nez additional rules (je tam Enforcement, Designated file types, Trusted Publishers)
    2. myslim, ze nejsi ve stavu kdy hledame ELEGANTNI reseni. Zatim jeste nevime kde je problem. Pokud jsi cetl pozorne doporucoval jsem Enforcement zkusit na jedne nemoznosti instalace postizene stanici

    MP

    úterý 21. prosince 2010 10:22
    Vlastník
  • Zdravím,

    omlouvám se za delší časovou prodlevu.

    1.Opravdu když v Enforcement nastavím "All users except local administrators" tak MM pod lokálním adminem opravdu funguje.

    2.Souhlasím

    Tedy opravdu je to někde v těch softwarových restrikcích ale kde? Jak by jsi radil postupovat dál?

    čtvrtek 6. ledna 2011 10:31