none
software restriction policy на терминальном сервере RRS feed

  • Вопрос

  • Доброго дня,

    пытаюсь ограничить запуск программ для пользователей, у которых одна учетка и для терминальных сессий, и для локальной работы

    создал GPO, сделал security filtering -Пользователи удаленного рабочего стола и <сервер терминалов> , конфигурации компьютера указал режим замыкания на себя, Software Restriction policy в пользовательской части   - ограничение почему-то не работает.

     

    24 ноября 2010 г. 16:49

Ответы

  • Для контейнера с сервером терминалов создал и прикрепил GPO: настроил SRP в Конфигурации компьютера(внимание, в Enforcement: применять для всех, кроме локальных администраторов), включил loopback. Работает. Всем откликнувшимся спасибо!
    • Помечено в качестве ответа alex_ritm83-2 1 декабря 2010 г. 6:56
    1 декабря 2010 г. 6:56

Все ответы

  • 1. Примените политику в Computer Configuration. User Configuration не применяйте вообще либо применяйте только для расширения (дополнения) существующей политики в Computer Configuration.

    2. Никаких Security Filtering и Loopback не нужно. Пристыкуйте политику к контейнеру, в котором находится нужный сервер; но предварительно создайте базовую политику SRP в локальной политике самого сервера, иначе она неявно включится сама и будет интерферировать с доменной.

    3. Примерное руководство к действиям - http://office.optimalsolutions.lv/etoken/Windows%20NT%20Installation%20Protocol/Gubarevich%20Peter%20-%2009-Jun-2010%20-%20Preventing%20Virus%20Infection%20by%20using%20Software%20Restriction%20Policies%20(Russian).pdf

    По-хорошему, это следует применить ко всем машинам без исключения.


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    24 ноября 2010 г. 17:59
    Отвечающий
  • "<...> Никаких Security Filtering и Loopback не нужно. <...>"
    Возможно, автор темы использует режим "loopback" не только для перекрытия SRP.

    А почему в "security filtering" указали "Пользователи удаленного рабочего стола"?
    Ну и не забыввайте, что для ОГП с параметрами конфигурации пользователя, обрабатываемых в режиме "loopback", "security filtering" будет отрабатывать лишь для принципалов, представленных пользователями. И не совмещайте параметры компьютера и пользователя в одном ОГП, обрабатываемом в режиме "loopback".

    24 ноября 2010 г. 20:23
    Отвечающий
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    29 ноября 2010 г. 10:28
    Модератор
  • Прошу прощения за молчание. Как я понял проблема в совмещении в одном "GPO с лупбеком" настроек пользователя и компьютера. Сейчас попробую их разнести по разным объектам.
    29 ноября 2010 г. 12:20
  • Нет. Проблема в том, что SRP следует настраивать только в Computer Configuration над контейнером сервера, а loopback не нужен вообще.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 ноября 2010 г. 14:12
    Отвечающий
  • SRP хочу использовать для группы "Пользователи удаленного рабочего стола" на терминальном сервере. Следовательно SRP делать в конфигурации Пользователя. Но loopback делается только для конфигурации компьютера: http://support.microsoft.com/kb/231287. Если я помещу SRP в конфигурацию компьютера, она будет применяться для всех залогинившихся на нем пользователей. А мне надо только для пользователей терминальных сеансов.

    loopback нужен только для ограниченного использования программ для пользователей, заходящих через терминальный сервис.

    29 ноября 2010 г. 14:39
  • 1. SRP - важная технология безопасности и защиты от вирусов. По-хорошему, её следует применять везде, где только сможете.

    2. Включить пользовательскую политику, не включая компьютерную, не получится. Такова система XP/2003. Так есть, и это - данность, с которой следует считаться.

    3. Почитал тему с самого начала - а вы не указали, как и что именно настроили в политике. Без этой информации помочь не сможет никто.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 ноября 2010 г. 14:48
    Отвечающий
  • это этакий дополнительный барьер для вирусов
    29 ноября 2010 г. 15:00
  • Создал новый GPO, прилинковал его к контейнеру с терминальным сервером

    Edit - Конфигурация компьютера - Адм. шаблоны - Групповая политика - Режим обработки замыкания пользовательской групповой политики - Включить с замещением. Далее SRP настраивать тоже в Конфигурации компьютера?

    29 ноября 2010 г. 15:04
  • Давайте прочитаем сообщение глазами, я его скопирую ещё раз: "SRP следует настраивать только в Computer Configuration над контейнером сервера, а loopback не нужен вообще".
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 ноября 2010 г. 15:13
    Отвечающий
  • Давайте прочитаем сообщение глазами, я его скопирую ещё раз: "2. Никаких Security Filtering и Loopback не нужно."
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 ноября 2010 г. 15:19
    Отвечающий
  • тогда SRP применится ко всем пользователям, даже к тем, кто логинится через локальный терминал
    29 ноября 2010 г. 15:20
  • Давайте прочитаем сообщение глазами, я его скопирую ещё раз: "

    1. SRP - важная технология безопасности и защиты от вирусов. По-хорошему, её следует применять везде, где только сможете.

    2. Включить пользовательскую политику, не включая компьютерную, не получится. Такова система XP/2003. Так есть, и это - данность, с которой следует считаться."


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 ноября 2010 г. 15:23
    Отвечающий
  • содержательно, и как быть?
    29 ноября 2010 г. 15:27
  • даже локальные админы ограничиваются
    29 ноября 2010 г. 15:39
  • SRP - важная технология безопасности и защиты от пользователей.
    29 ноября 2010 г. 15:40
  •  настроить SRP в Конфигурации пользователя и настроить фильтрацию только для Пользователей удаленного рабочего стола

    не работает: пользователь не находится в контейнере с терминальным сервером.

    • Помечено в качестве ответа Vinokurov YuriyModerator 30 ноября 2010 г. 8:09
    • Снята пометка об ответе alex_ritm83-2 1 декабря 2010 г. 5:49
    29 ноября 2010 г. 15:48
  • Для контейнера с сервером терминалов создал и прикрепил GPO: настроил SRP в Конфигурации компьютера(внимание, в Enforcement: применять для всех, кроме локальных администраторов), включил loopback. Работает. Всем откликнувшимся спасибо!
    • Помечено в качестве ответа alex_ritm83-2 1 декабря 2010 г. 6:56
    1 декабря 2010 г. 6:56