none
Applocker блокирует то, что не должен RRS feed

  • Вопрос

  • Включил службу отвечающую за работу Applocker и перезагрузил сервер. Создал правила по умолчанию, они стандартные - разрешения для всех на запуск программ из директории Program Files и Windows, а так же правило для администраторов о запуске любых программ отовсюду. В добавлении к этим правилам создал правило для пользователей с запретом запуска любой программы кроме Adobe Acrobat, Internet Explorer, Chrome и Media Player. Так вот, после создания этого правила от администратора отказался запускаться Chrome - вылезает стандартное окошко о том, что эта программа заблокирована системным администратором. Это как? Сервер чистый, кроме перечисленных манипуляция с Applocker на нем еще ничего не производилось. Удаление правила для пользователей (для тех, кто числится в группе пользователи, если кто не знал) возвращает администратору возможность запускать Chrome. Что это за бред??? К слову администратор, это встроенная учетка администратора. В группах "Пользователи" или какой-то другой кроме группы "Администраторы" не числится, блокировка запуска программ через другой тулс не включалась, в нем выбрано "Неограниченный". Как так????
    14 августа 2014 г. 11:33

Ответы

  • У Администратора - косвенное членство в группе Пользователи: по умолчанию в группу Пользователи входят специальные группы ИНТЕРАКТИВНЫЕ (пользователи, залогинившиеся на консоли сервера)и Прошедшие проверку (любые прошедшие проверку пользователи, кроме анонимных). Администратор в эти группы с очевидностью попадает, а потому и попадает в группу Пользователи (можете проверить командой whoami /groups). Потому на него и действует запрещающее правило Applocker.

    Рекомендую назначать запрет не на Пользователей, а на другую группу, в которую включите всех нужных пользователей. Разумный кандидат на такую группу - Пользователи удаленного рабочего стола (членство в ней требуется для доступа по терминалу для обычных пользователей, но не администраторов).


    Слава России!

    • Помечено в качестве ответа Saoblikwgowisknovceg 14 августа 2014 г. 13:03
    14 августа 2014 г. 12:44