none
Почему google chrome устанавливается под огр. правами пользователя??!! RRS feed

  • Вопрос

  • Почему google chrome устанавливается под огр. правами пользователя??!!  На любое действие будь то настройки,установка чего либо запрашивает админские права (как и задумано)+настроено Software Restriction Policies. (т.е. дАже под админскими права ее нужно отдельно отключать чтобы чтотоустановить ). А chrome как у себя дома скачался и установился. Как он ставится игнорируя ограничение AD?! Как это исправить?
    18 января 2012 г. 6:11

Ответы

Все ответы

  • Некорректно настроены SRP, раз установка программа запускается вообще.
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    18 января 2012 г. 6:43
  • Остальные все работает !

    Где то читал ---Устанавливается фактически Chrome и работает внутри окна IE вместо, собственно, IE.


    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro
    18 января 2012 г. 6:58
  • Да,это понятно что чтото в SRP не так настроено , НО установка\запуск других exe файлов не происходит и требует права администратора.

    вот все настройки:

    18 января 2012 г. 8:25
  • Настраивали по вашей статье. А еще в панели управление его(chrome) удалить можно работая под правами пользователя с этими настройками srp...

    18 января 2012 г. 8:43
  • политика применяется к компьютеру ?
    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro
    18 января 2012 г. 9:25
  • Спасибо за подсказку.

    SRP настроено правильно.но вот ГП применялись некоррректно.Компьютер пользователя был включен в ГП а его группа куда включена учетная запись нет.После добавление группы пользователя в ГП - все сработало.

    18 января 2012 г. 9:45
  • > SRP настроено правильно

    чёрта-с-два оно настроено правильно. Что это за груда исключений для файлов LNK? Вам их следует удалить совсем, и в File Types просто выпилить расширение LNK из списка.

    Почему вы используете системные переменные? Их нельзя использовать, потому что их содержимое можно подменить и тогда можно будет запускать всё, что хочется. Далее, для контроллеров сделайте просто 2 правила: %logonserver%\netlogon и %logonserver%\sysvol и вы сможете выкинуть ещё 4 правила.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    12 февраля 2012 г. 10:00
  • > SRP настроено правильно

    чёрта-с-два оно настроено правильно. Что это за груда исключений для файлов LNK? Вам их следует удалить совсем, и в File Types просто выпилить расширение LNK из списка.

    Почему вы используете системные переменные? Их нельзя использовать, потому что их содержимое можно подменить и тогда можно будет запускать всё, что хочется. Далее, для контроллеров сделайте просто 2 правила: %logonserver%\netlogon и %logonserver%\sysvol и вы сможете выкинуть ещё 4 правила.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Ваши же рекомендации

    Чтобы администраторам дать хорошую отправную точку, я решил поделиться стандартным набором разрешений, который будет отвечать следующим требованиям:

    • пользователи могут запускать исполняемые файлы из системной папки Windows и Program Files
    • пользователи могут запускать ярлыки из своего пользовательского Start Menu
    • пользователи могут запускать ярлыки из Start Menu общего профиля, который известен как AllUsersProfile
    • пользователи могут запускать ярлыки со своего и AllUsers рабочего стола
    • пользователи могут запускать ярлыки из своего меню быстрого запуска (Quick Launch)
    • пользователи не могут запускать исполняемые файлы из папки спулера и системного Temp.

    И вот такой список исключений нам потребуется:

    Unrestricted - %systemroot%
    Unrestricted - %programfiles%
    Unrestricted - %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\*.lnk – (Windows XP/2003 only)
    Unrestricted - %HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData%/Microsoft/Internet Explorer/Quick Launch/*.lnk – (Windows Vista/2008 или выше)
    Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop%*.lnk
    Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*.lnk
    Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*.lnk
    Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*/*.lnk
    Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Administrative Tools%*.lnk
    Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop%*.lnk
    Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*.lnk
    Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*.lnk
    Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*/*.lnk
    Dissalowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers%
    Dissalowed - %systemroot%\Temp


    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro

    12 февраля 2012 г. 10:41
  • Да, всё так. Поэтому я написал ещё несколько постов, которые раскрывают ошибочность моих первых суждений (всем свойственно ошибаться). Например: http://www.sysadmins.lv/PermaLink,guid,9bee60f3-72dd-4a4f-88b4-649c41949dc6.aspx


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    • Помечено в качестве ответа admin bob 1 октября 2012 г. 2:30
    12 февраля 2012 г. 10:53