none
GPO запрещаем на компьютере, разрешаем на пользователя. RRS feed

  • Вопрос

  • Здравствуйте
    Имеется  домена на Win Server 2008 r2.
    На нем необходимо с помощью GPO создать группу КОМПЬЮТЕРОВ. Ограниченными правами на запуск приложений. Буквально 3-4 приложения.
    Реализовываю это через «Политики ограничения использования программ». Но нужно чтоб Администратор домена, на этом же компьютере, имел максимальные права. Сложность в том , что Запрещаем на уровне Компьютера, а разрешаем для конкретного пользователя. Подскажите как это можно сделать?   
    15 октября 2013 г. 10:23

Ответы

Все ответы

  • самое простое воспользоваться настройкой делающей исключения для локальных администраторов, а обычных пользователей в группе локальных админов быть не должно.

    либо использовать srp из ветки user configuration

    15 октября 2013 г. 14:56
    Модератор
  • Я не зря, капсом написал про КОМПЬЮТЕР. Запрет именно на компьютер надо дать, а не на пользователя. На счет исключения. Я думал об этом... но надеялся что есть более красивое решение. Например пробовал Сделать ГП для группы админов, через структурное подразделение ограничиваем действие этой политики и поднимаем у нее приоритет. Но ... как то странно такой вариант отрабатывает... Некоторые приложения дает запускать, а некоторые нет... какая закономерность не могу понять....

    15 октября 2013 г. 15:44
  • Если вы настраиваете Apploker, то как сказал Дмитрий, в политике вы можете установить галку исключений для администраторов - ограничения буду применяться ко всем пользователям на компьютере, кроме администраторов.

    Сазонов Илья http://isazonov.wordpress.com/

    16 октября 2013 г. 7:03
    Модератор
  • Илья , спасибо.  Ровно на одну папку не опустился. 

    я блокирую "Политиками ограниченного использования программ"

    а нужно "Политики управления приложения".

    Хоть вы и не это имели в виду но все  равно спасибо за идею куда копать.

    16 октября 2013 г. 13:14
  • у SRP такая же галка

    16 октября 2013 г. 13:48
    Модератор