locked
Win7 Group Policy: esegui solo applicazioni windows specificate RRS feed

  • Domanda

  • Ciao a tutti, 

    sono il responsabile informatico di una piccola scuola e ho cercato un modo per permettere agli utenti di eseguire solo alcune applicazioni windows installate (es.: excel, word, autocad ecc.);

    La mia scuola ha un server 2003 e i client a dominio sono windows 7 quindi non ho potuto impostare le policy dal server ma ho agito direttamente sulle policy dei client standalone quindi ho seguito una guida che mi diceva di :

    Selezionare "Editor oggetti di criteri di gruppo" e fare click su Aggiungi e creare una policy .......
    \Configurazione utente\Modelli amministrativi\Sistema\Esegui solo applicazioni ...ecc.

    Insomma, ho aggiunto una serie di applicazioni .exe e la cosa sembra funzionare, l'unica cosa è che avrei bisogno anche di far partire un batch all'accesso che mi connetta delle unità di rete ma chiaramente la cosa non funziona perché viene bloccata e nonostante le abbia provate un po' tutte per cercare di risolvere non ci sono riuscito.

    c'è qualcuno che mi può aiutare .. anche proponendomi altri modi per bloccare le applicazioni?

    domenica 28 febbraio 2016 15:53

Risposte

  • per quanto riguarda RSAT sinceramente non l'ho provato e non ho capito come funziona (installo sul client ma poi a livello server se non cambio niente come trovo lo stesso tipo di policy che non c'era?) ma devo sicuramente guardarci e mi sembra interessante.

    Praticamente il problema di Windows Server 2003 è che non è in grado di visualizzare i template ADMX, quindi i nuovi criteri validi per Windows 7 non sono visibili. Utilizzando RSAT su un client Windows 7 per gestire le GPO di dominio si può superare il problema, anche se ovviamente non sarà comunque possibile gestirle direttamente dal server ma solo dal client con RSAT. Qui trovi qualche spunto (nota: in Windows 7 non è necessario installare le estensioni, l'articolo si riferisce a Windows Vista):

    http://blogs.technet.com/b/danstolts/archive/2009/01/21/installing-and-managing-group-policy-preferences-on-a-windows-server-2003-domain.aspx

    A quel punto potresti anche provare ad utilizzare le nuove preferenze dei criteri di gruppo per creare le unità di rete, ma sinceramente non ho mai provato utilizzando un DC Windows Server 2003...

    • Contrassegnato come risposta Gigi27173 lunedì 29 febbraio 2016 17:44
    lunedì 29 febbraio 2016 10:37
    Moderatore

Tutte le risposte

  • Hai provato semplicemente ad aggiungere cmd.exe alla lista delle applicazioni consentite? Inoltre le unità di rete non sono l'unico modo per gestire le condivisioni: assicurati che tu abbia realmente bisogno di assegnare una lettera di unità.

    In realtà, se installi RSAT su un client Windows 7 puoi gestire le policy di dominio per Windows 7 anche se il DC è Windows Server 2003, in questo modo ti eviti di configurare ogni volta tutti i client a mano.

    Con l'occasione ti ricordo che Windows Server 2003 è fuori supporto, quindi non riceverà più aggiornamenti per la sicurezza. Se possibile, ti consiglio quindi di eseguire un upgrade così potrai gestire i client Windows 7 senza workaround, avrai delle funzioni aggiuntive e il server sarà conforme agli standard di sicurezza moderni.



    domenica 28 febbraio 2016 17:46
    Moderatore
  • Innanzitutto ringrazio per la risposta così celere, 

    per quanto riguarda il fatto di avere consentito cmd.exe dovrei averlo già fatto ma con tutte le prove che ho fatto non ne sono più sicuro e lo proverò sicuramente; per quanto riguarda RSAT sinceramente non l'ho provato e non ho capito come funziona (installo sul client ma poi a livello server se non cambio niente come trovo lo stesso tipo di policy che non c'era?) ma devo sicuramente guardarci e mi sembra interessante.

    Per ultimo il discorso a 2003 chiaramente lo conosco ma purtroppo lavorando in una scuola non me lo posso permettere un upgrade al server ma se non altro cerco di proteggerlo il più possibile impedendo qualsiasi apertura verso l'esterno.

    Cercherò di provare il prima possibile e nel caso disturberò ancora per chiedere aiuto.

    Grazie 1000.

    domenica 28 febbraio 2016 20:15
  • Ma hai modificato singolarmente ogni ingolo pc?

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    domenica 28 febbraio 2016 20:18
    Moderatore
  • per quanto riguarda RSAT sinceramente non l'ho provato e non ho capito come funziona (installo sul client ma poi a livello server se non cambio niente come trovo lo stesso tipo di policy che non c'era?) ma devo sicuramente guardarci e mi sembra interessante.

    Praticamente il problema di Windows Server 2003 è che non è in grado di visualizzare i template ADMX, quindi i nuovi criteri validi per Windows 7 non sono visibili. Utilizzando RSAT su un client Windows 7 per gestire le GPO di dominio si può superare il problema, anche se ovviamente non sarà comunque possibile gestirle direttamente dal server ma solo dal client con RSAT. Qui trovi qualche spunto (nota: in Windows 7 non è necessario installare le estensioni, l'articolo si riferisce a Windows Vista):

    http://blogs.technet.com/b/danstolts/archive/2009/01/21/installing-and-managing-group-policy-preferences-on-a-windows-server-2003-domain.aspx

    A quel punto potresti anche provare ad utilizzare le nuove preferenze dei criteri di gruppo per creare le unità di rete, ma sinceramente non ho mai provato utilizzando un DC Windows Server 2003...

    • Contrassegnato come risposta Gigi27173 lunedì 29 febbraio 2016 17:44
    lunedì 29 febbraio 2016 10:37
    Moderatore
  • Proverò a farlo il prima possibile, per ora ringrazio infinitamente per la disponibilità.
    lunedì 29 febbraio 2016 17:46