none
Ложное срабатывание политики ограниченного запуска программ RRS feed

  • Вопрос

  • На терминальном сервере w2k8r2 только для группы GRP1 применяется политика POL1, в которой настроен раздел "ограниченное использование программ". Меня нет в группе GRP1, я имею на этом сервере права администратора, но у меня работают ограничения, которые прописаны в политике POL1.

    В результирующей политике видно, что ограничений у меня нет. В событиях результирующей политики видно, что POL1 фильтруется, т.к. меня нет в GRP1. Но, возможности запускать программы у меня нет.

    Где/что/как еще можно посмотреть, чтобы понять причину такого поведения?

    30 апреля 2013 г. 10:24

Ответы

  • Обошел проблему.
    Скопировал политику.
    Из оригинала полностью убрал кусок с ограничениями запуска программ
    В копии убрал все кроме политик ограничения запуска.
    Применил копию на ту-же OU с теми-же ограничениями про группам.
    Прошло несколько дне и несколько перезагрузок - работает так, как должно. Ограничения на запуск применяются только к тем группам, которые которые разрешены.
    • Помечено в качестве ответа miasik 17 мая 2013 г. 6:54

Все ответы

  • а ограничения заданы в computer или user configuration?

    30 апреля 2013 г. 10:49
    Модератор
  • В политике POL1 используются оба раздела, но ограничения программ есть только в части user.
    30 апреля 2013 г. 10:52
  • Неявно включается компьютерная политика, тем самым конфликтуя с User Configuration. Подозреваю, this is by design.

    Я бы рекомендовал начать с настройки Computer Configuration (тем более, чем это критически важный параметр безопасности, который обязательно следует включать на всех машинах, для всех пользователей); затем можете политику расширять для конкретной группы.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    • Помечено в качестве ответа Dmitriy RazbornovEditor 3 мая 2013 г. 15:49
    • Снята пометка об ответе miasik 3 мая 2013 г. 20:04
    Отвечающий
  • Неявно включается компьютерная политика, тем самым конфликтуя с User Configuration. Подозреваю, this is by design.

    Я бы рекомендовал начать с настройки Computer Configuration (тем более, чем это критически важный параметр безопасности, который обязательно следует включать на всех машинах, для всех пользователей); затем можете политику расширять для конкретной группы.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    В computer вообще нигде нет ограничений на запуск программ. Ни в POL1, ни в любой другой.
  • неявно. включается.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    Отвечающий
  • неявно. включается.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    Где-то можно почитать подробнее про "неявно"?

    Раньше работало так, как надо. POL1 применялась только к GRP1. Проблема возникла после какого-то обновления.

    • Изменено miasik 7 мая 2013 г. 8:37
  • Посмотрите тут  "Приоритеты объектов групповых политик и их наследование" возможно это поможет найти причину.

  • Возможно, дело в чем-то другом.

    Там, где срабатывают ограничения политики у других пользователей - появляются записи в журнале. У меня таких записей нет.

    У меня запускаются приложения, которых нет в списке разрешенных. Например - проводник, ie, диспетчер задач. Но, возникает отказ при запуске mmc и диспетчера задач с повышенными привилегиями.

  • Обошел проблему.
    Скопировал политику.
    Из оригинала полностью убрал кусок с ограничениями запуска программ
    В копии убрал все кроме политик ограничения запуска.
    Применил копию на ту-же OU с теми-же ограничениями про группам.
    Прошло несколько дне и несколько перезагрузок - работает так, как должно. Ограничения на запуск применяются только к тем группам, которые которые разрешены.
    • Помечено в качестве ответа miasik 17 мая 2013 г. 6:54