Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Настойка политик на Windows Server 2003


Рекомендуемые сообщения

Люди помогите!!!! :D

Проблема такая: Есть сервер Windows Server 2003, он же контролер домена. Нужно настроить политику по ограничению программного обеспечения. Весь инет перевернул, но нечего не помогло.

Сделал все как написано в мануале, но положительного результата не добился. В общем так: для эксперимента создал ОU в ней пользователь test, создал ГП, открыл User Configuration->Windows Settings->Software Restriction Policies. Установил уровень безопасности в режиме Disallowed и создал провала исключения по хешу.

При этом просто указал ехе-шник программы, которую можно запускать. Зайдя на комп под пользователем test не запускаются программы даже те, которые я разрешил т.е они открываются, но не через ярлык созданный на рабочем столе, а нужно заходить в папку где непосредственно лежит этот ехе-шник. А это не очень мне подходит, потому что некоторые программы лежат на сервере, а ярлык вытащен на рабочий стол клиентской машины.

Помогите, если кто сталкивался с такой проблемой.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 148
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

Изображения в теме

В вашем случае более правильным, имхо, будет использование правил пути а не хеша.

Это к тем программам которые лежат на сервере, а те программы которые устанавливаются на клиентских машинах, такие как ворд, эксель, ICQ, они все разрешенные, но не запускаются ни с пуска и из программ файла :D

Ссылка на комментарий
Поделиться на другие сайты

Пока можно только предположить что где-то "перезакрутил гайки". Надо смотреть в созданной gp. Сделайте экспорт этой политики средствами Group Policy Management Console и выложите ссылку на нее тут, покопаемся.

Ссылка на комментарий
Поделиться на другие сайты

Я наверно уже надаел, никогда простоне сталкивался с администрированием серверов, вобщем сделал экспорт и сформировалась папка ее всю выложить или какой-то конкретный файл.

И еще по ходу появилась необходимость проверить какими провами облодает сервер, не подскажите как это сделать?

Ссылка на комментарий
Поделиться на другие сайты

и сформировалась папка ее всю выложить или какой-то конкретный файл.

папка + файл xml по-моему-> все это добро в архив и сюда...

Ссылка на комментарий
Поделиться на другие сайты

Вы не можете прикрепить фаил сюда, со статусом новичек. Выложите на внешний файловый хостинг. К примеру на Rapidshare.com

Ссылка на комментарий
Поделиться на другие сайты

Ejik: посмотрел политики... в данной конфигурации вам понадобится добавить дополнительное правило пути для запуска ярлыков (прописать в поле Путь строку *.lnk и уровень безопасности - Неограниченный) После применения политики на клиенте запуск разрешенных программ будет возможен и с рабочего стола и из меню.

Что же касается того, что некоторые локально установленные программы могут не запускаться и после разрешения по хешу - то не забываем, что по-умолчанию права пользователей домена на локальных машинах урезаны по максимуму и возможно придется либо вводить их в группу "Опытные пользователи" (это более простой вариант), либо раздавать права на каталоги и реестр индивидуально.

Изменено пользователем Maikll
Ссылка на комментарий
Поделиться на другие сайты

Maikll С ярлыками вроде работает, а вот с программами, которые устонавливаются на клиентских машинах, не получается. Т.е например Ворд, Эксель они не запускаются ни через пуск ни из Программ Файлс. Тоже самое с ICQ, IE как сними быть. Пользователя на локальном компе ввел в группу "Опытные пользователи", но это не помогло.

Ссылка на комментарий
Поделиться на другие сайты

ОК, давайте об этом подробнее.

Исходя из того, что было прописано в политиках, присланных мне:

Во-первых, правила для запуска офиса нет. Есть правило пути для офисных приложений (C:\Program Files\Microsoft Office\*.exe) но оно не будет работать, поскольку подкаталоги не учитываются. Исполняемые же файлы программ находятся в подкаталоге Office11 (для 2003-го)

Есть правило по хешу для Excel-я но оно стоит на запрет (уровень безопасности - не разрешено). Поэтому нет ничего удивительного что офис не запускается.

Во-вторых, ICQ - аналогичная ситуация, есть правило по хешу, но на запрет :bye1:

по IE никаких правил не было на тот момент...

Если следовать рекомендациям M$, то решением будет использование правил хеша для локальных программ, например для запуска IE хеш имеет вид 1628da648e989fb9575ba9db0640f3fd:93184:32771

Делаем подобные правила для запуска всех тех программ, которые будут нужны и проверяем на клиенте.

Все должно работать.

З.Ы. для того, чтобы принудительно обновить политики на клиентской машине перед проверкой, следует выполнить команду gpupdate /force

Ссылка на комментарий
Поделиться на другие сайты

По поводу офиса я понял что не правильно указан путь и сразу поменял на C:\Program Files\Microsoft Office\Office11\*.exe и указал конкретные файлы, тоже самое с ICQ. Вобщем после вашего ответа я все настройки переправил, т.е. все приложения какие там были указаны я сделал разрешенными.

и еще вопрос: для одного файла можно указывать несколько правил, например правила по хешу и правило пути?

И еще раз прошу прощения за назойливость, просто не могу догнаться с этими политиками.

Ссылка на комментарий
Поделиться на другие сайты

Оффтоп
Пустое, форум как раз и создан для обсуждения и решения проблем. Притом лучше десять раз перестросить, чем один раз непонять

Указывать можно и несколько правил, перекрывающих друг друга но применятся будет в работе одно по порядку, в соответствии со схемой:

• Правило для хеша

• Правило для сертификата

• Правило для пути

• Правило для зоны Интернета

• Правило по умолчанию (задается выбранным уровнем безопасности)

Чтобы было понятнее разберем на примере. Как я понял сейчас есть разрешающие правила как по хешу для того же Word например, так и правило пути (C:\Program Files\Microsoft Office\Office11\*.exe) Правильно?

В этом случае когда пользователь на клиентской машине запускает word, то срабатывает правило хеша и программа запускается, второе правило отбрасывается. Но если например положить в каталог офиса исполняемый файл другой программы, произвольный и попытаться запустить то сработает правило пути, опять же на разрешение запуска. Это, кстати, брешь в системе безопасности. :) Таким образом, правило пути возможно даже лишнее.

Более подробно можно почитать в переведенной статье по этой ссылке.

+ если есть желание разобраться если и не во всех тонкостях администрирования AD, то во многих - рекомендую найти или купить книгу питерского издательства "bhv" автор А. Чекмарев "Windows 2000 и windows 2003. Администрирование серверов и доменов", 2006 г.

Ссылка на комментарий
Поделиться на другие сайты

Вот в том то и проблема, что сейчас правило пути (C:\Program Files\Microsoft Office\Office11\*.exe) не работает проверяю на запуск ворд и все остальные ехе-шники ни один не запускется. :)

Ну все не буду больше докучать, спасибо за ссылку, обязательно сейчас почитаю и поэксперементирую, а книгу обязательно нужно купить.

Ссылка на комментарий
Поделиться на другие сайты

Ejik: сделайте снова экспорт политики и пришлите для анализа. Тогда возможно скажу определеннее, в чем трабл. :)

Добавлено:

А трабл определенно есть, поскольку в специально смоделированной виртуальной среде запуск того же 2003 офиса происходит без каких-либо проблем даже под учеткой с правами доменного пользователя одним правилом пути (C:\Program Files\Microsoft Office\Office11\*.exe)

Возможно, не успела/смогла обновится групповая политика - попробуйте перезагрузить клиентский компьютер

Изменено пользователем Maikll
Ссылка на комментарий
Поделиться на другие сайты

Возможно, не успела/смогла обновится групповая политика - попробуйте перезагрузить клиентский компьютер

Я и перегружал и принудительно обновлял не помогает :D

Ссылка на комментарий
Поделиться на другие сайты

Ну собственно и не поможет...

В GPO отсутствует правило для линков и как следствие - не запускаются ярлыки даже на разрешенные программы. Я же писал уже

в данной конфигурации вам понадобится добавить дополнительное правило пути для запуска ярлыков (прописать в поле Путь строку *.lnk и уровень безопасности - Неограниченный) После применения политики на клиенте запуск разрешенных программ будет возможен и с рабочего стола и из меню.

Не знаю, какого ... система считает ярлыки исполняемыми файлами при их отсутствии в исполняемых типах файлов но факт налицо - для запуска требуется специальное правило для разрешения. :sm(113):

в правиле для icq C:\Program Files\ICQCorp\ICQCorp.exe не хватает двоеточия.

В остальном все нормально, единственно что, в правилах пути использовать явные имена файлов - моветон, имхо. Кроме того это брешь в безопасности - переименовав любой файл под разрешенный я смогу его выполнить. Хеш в этом случае удобней и проще.

Попробуйте - все должно работать.

Изменено пользователем Maikll
Ссылка на комментарий
Поделиться на другие сайты

Что то, совсе нечего не получается, по поводу *.lnk так и не пойму куда это прописать, а провило пути добавить или в назначение исполняемых типов файлов?

Вобшем мне нужно почетать мануал и по экеперементировать.

Ссылка на комментарий
Поделиться на другие сайты

Ejik:

Оффтоп
неужели я так непонятно обьясняю?

создаем новое правило пути, в поле Путь вручную пишем *.lnk, уровень безопасности - неограниченный. Все, никакие доп экперименты не нужны.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 месяца спустя...

Maikll

И сного я с вопросом, все перепробовал, все перерыл в инете, но политики, цуко так и не работают.

Сделал вывод - глюк системы. Может такое быть? Т.е у меня не лицензионная ос, а копия и без SP, пробывал поставить SP1, но он ругается на product key.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу



×
×
  • Создать...