Ejik Опубликовано 26 июня, 2008 Жалоба Поделиться Опубликовано 26 июня, 2008 Люди помогите!!!! :D Проблема такая: Есть сервер Windows Server 2003, он же контролер домена. Нужно настроить политику по ограничению программного обеспечения. Весь инет перевернул, но нечего не помогло. Сделал все как написано в мануале, но положительного результата не добился. В общем так: для эксперимента создал ОU в ней пользователь test, создал ГП, открыл User Configuration->Windows Settings->Software Restriction Policies. Установил уровень безопасности в режиме Disallowed и создал провала исключения по хешу. При этом просто указал ехе-шник программы, которую можно запускать. Зайдя на комп под пользователем test не запускаются программы даже те, которые я разрешил т.е они открываются, но не через ярлык созданный на рабочем столе, а нужно заходить в папку где непосредственно лежит этот ехе-шник. А это не очень мне подходит, потому что некоторые программы лежат на сервере, а ярлык вытащен на рабочий стол клиентской машины. Помогите, если кто сталкивался с такой проблемой. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 26 июня, 2008 Жалоба Поделиться Опубликовано 26 июня, 2008 В вашем случае более правильным, имхо, будет использование правил пути а не хеша. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 27 июня, 2008 Автор Жалоба Поделиться Опубликовано 27 июня, 2008 В вашем случае более правильным, имхо, будет использование правил пути а не хеша. Это к тем программам которые лежат на сервере, а те программы которые устанавливаются на клиентских машинах, такие как ворд, эксель, ICQ, они все разрешенные, но не запускаются ни с пуска и из программ файла :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 28 июня, 2008 Жалоба Поделиться Опубликовано 28 июня, 2008 Пока можно только предположить что где-то "перезакрутил гайки". Надо смотреть в созданной gp. Сделайте экспорт этой политики средствами Group Policy Management Console и выложите ссылку на нее тут, покопаемся. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 30 июня, 2008 Автор Жалоба Поделиться Опубликовано 30 июня, 2008 Все перековырял, ни как ни могу найти как сделать экспорт политики. :g: Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 30 июня, 2008 Жалоба Поделиться Опубликовано 30 июня, 2008 Group Policy Object - щелкаем крысой на нужном объекте - Back Up... Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 1 июля, 2008 Автор Жалоба Поделиться Опубликовано 1 июля, 2008 Я наверно уже надаел, никогда простоне сталкивался с администрированием серверов, вобщем сделал экспорт и сформировалась папка ее всю выложить или какой-то конкретный файл. И еще по ходу появилась необходимость проверить какими провами облодает сервер, не подскажите как это сделать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 1 июля, 2008 Автор Жалоба Поделиться Опубликовано 1 июля, 2008 Вторая часть вопроса отподает, нашел утелитку, называется dcdiag. :smiles20(8): Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 1 июля, 2008 Жалоба Поделиться Опубликовано 1 июля, 2008 и сформировалась папка ее всю выложить или какой-то конкретный файл. папка + файл xml по-моему-> все это добро в архив и сюда... Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 1 июля, 2008 Автор Жалоба Поделиться Опубликовано 1 июля, 2008 Неужеди я такой деревянный, немогу найти как прекрепить файл. Ссылка на комментарий Поделиться на другие сайты Поделиться
DoctorG Опубликовано 1 июля, 2008 Жалоба Поделиться Опубликовано 1 июля, 2008 Вы не можете прикрепить фаил сюда, со статусом новичек. Выложите на внешний файловый хостинг. К примеру на Rapidshare.com Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 2 июля, 2008 Автор Жалоба Поделиться Опубликовано 2 июля, 2008 DoctorG Спасибо! Maikll Может я вам на мыло скину? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 2 июля, 2008 Жалоба Поделиться Опубликовано 2 июля, 2008 (изменено) Ejik: посмотрел политики... в данной конфигурации вам понадобится добавить дополнительное правило пути для запуска ярлыков (прописать в поле Путь строку *.lnk и уровень безопасности - Неограниченный) После применения политики на клиенте запуск разрешенных программ будет возможен и с рабочего стола и из меню. Что же касается того, что некоторые локально установленные программы могут не запускаться и после разрешения по хешу - то не забываем, что по-умолчанию права пользователей домена на локальных машинах урезаны по максимуму и возможно придется либо вводить их в группу "Опытные пользователи" (это более простой вариант), либо раздавать права на каталоги и реестр индивидуально. Изменено 2 июля, 2008 пользователем Maikll Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 3 июля, 2008 Автор Жалоба Поделиться Опубликовано 3 июля, 2008 Maikll большое спасибо, попробую. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 3 июля, 2008 Автор Жалоба Поделиться Опубликовано 3 июля, 2008 Maikll С ярлыками вроде работает, а вот с программами, которые устонавливаются на клиентских машинах, не получается. Т.е например Ворд, Эксель они не запускаются ни через пуск ни из Программ Файлс. Тоже самое с ICQ, IE как сними быть. Пользователя на локальном компе ввел в группу "Опытные пользователи", но это не помогло. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 3 июля, 2008 Жалоба Поделиться Опубликовано 3 июля, 2008 ОК, давайте об этом подробнее. Исходя из того, что было прописано в политиках, присланных мне: Во-первых, правила для запуска офиса нет. Есть правило пути для офисных приложений (C:\Program Files\Microsoft Office\*.exe) но оно не будет работать, поскольку подкаталоги не учитываются. Исполняемые же файлы программ находятся в подкаталоге Office11 (для 2003-го) Есть правило по хешу для Excel-я но оно стоит на запрет (уровень безопасности - не разрешено). Поэтому нет ничего удивительного что офис не запускается. Во-вторых, ICQ - аналогичная ситуация, есть правило по хешу, но на запрет :bye1: по IE никаких правил не было на тот момент... Если следовать рекомендациям M$, то решением будет использование правил хеша для локальных программ, например для запуска IE хеш имеет вид 1628da648e989fb9575ba9db0640f3fd:93184:32771 Делаем подобные правила для запуска всех тех программ, которые будут нужны и проверяем на клиенте. Все должно работать. З.Ы. для того, чтобы принудительно обновить политики на клиентской машине перед проверкой, следует выполнить команду gpupdate /force Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 4 июля, 2008 Автор Жалоба Поделиться Опубликовано 4 июля, 2008 По поводу офиса я понял что не правильно указан путь и сразу поменял на C:\Program Files\Microsoft Office\Office11\*.exe и указал конкретные файлы, тоже самое с ICQ. Вобщем после вашего ответа я все настройки переправил, т.е. все приложения какие там были указаны я сделал разрешенными. и еще вопрос: для одного файла можно указывать несколько правил, например правила по хешу и правило пути? И еще раз прошу прощения за назойливость, просто не могу догнаться с этими политиками. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 4 июля, 2008 Жалоба Поделиться Опубликовано 4 июля, 2008 Оффтоп Пустое, форум как раз и создан для обсуждения и решения проблем. Притом лучше десять раз перестросить, чем один раз непонять Указывать можно и несколько правил, перекрывающих друг друга но применятся будет в работе одно по порядку, в соответствии со схемой: • Правило для хеша • Правило для сертификата • Правило для пути • Правило для зоны Интернета • Правило по умолчанию (задается выбранным уровнем безопасности) Чтобы было понятнее разберем на примере. Как я понял сейчас есть разрешающие правила как по хешу для того же Word например, так и правило пути (C:\Program Files\Microsoft Office\Office11\*.exe) Правильно? В этом случае когда пользователь на клиентской машине запускает word, то срабатывает правило хеша и программа запускается, второе правило отбрасывается. Но если например положить в каталог офиса исполняемый файл другой программы, произвольный и попытаться запустить то сработает правило пути, опять же на разрешение запуска. Это, кстати, брешь в системе безопасности. :) Таким образом, правило пути возможно даже лишнее. Более подробно можно почитать в переведенной статье по этой ссылке. + если есть желание разобраться если и не во всех тонкостях администрирования AD, то во многих - рекомендую найти или купить книгу питерского издательства "bhv" автор А. Чекмарев "Windows 2000 и windows 2003. Администрирование серверов и доменов", 2006 г. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 4 июля, 2008 Автор Жалоба Поделиться Опубликовано 4 июля, 2008 Вот в том то и проблема, что сейчас правило пути (C:\Program Files\Microsoft Office\Office11\*.exe) не работает проверяю на запуск ворд и все остальные ехе-шники ни один не запускется. :) Ну все не буду больше докучать, спасибо за ссылку, обязательно сейчас почитаю и поэксперементирую, а книгу обязательно нужно купить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 4 июля, 2008 Жалоба Поделиться Опубликовано 4 июля, 2008 (изменено) Ejik: сделайте снова экспорт политики и пришлите для анализа. Тогда возможно скажу определеннее, в чем трабл. :) Добавлено: А трабл определенно есть, поскольку в специально смоделированной виртуальной среде запуск того же 2003 офиса происходит без каких-либо проблем даже под учеткой с правами доменного пользователя одним правилом пути (C:\Program Files\Microsoft Office\Office11\*.exe) Возможно, не успела/смогла обновится групповая политика - попробуйте перезагрузить клиентский компьютер Изменено 4 июля, 2008 пользователем Maikll Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 8 июля, 2008 Автор Жалоба Поделиться Опубликовано 8 июля, 2008 Возможно, не успела/смогла обновится групповая политика - попробуйте перезагрузить клиентский компьютер Я и перегружал и принудительно обновлял не помогает :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 9 июля, 2008 Жалоба Поделиться Опубликовано 9 июля, 2008 (изменено) Ну собственно и не поможет... В GPO отсутствует правило для линков и как следствие - не запускаются ярлыки даже на разрешенные программы. Я же писал уже в данной конфигурации вам понадобится добавить дополнительное правило пути для запуска ярлыков (прописать в поле Путь строку *.lnk и уровень безопасности - Неограниченный) После применения политики на клиенте запуск разрешенных программ будет возможен и с рабочего стола и из меню. Не знаю, какого ... система считает ярлыки исполняемыми файлами при их отсутствии в исполняемых типах файлов но факт налицо - для запуска требуется специальное правило для разрешения. :sm(113): в правиле для icq C:\Program Files\ICQCorp\ICQCorp.exe не хватает двоеточия. В остальном все нормально, единственно что, в правилах пути использовать явные имена файлов - моветон, имхо. Кроме того это брешь в безопасности - переименовав любой файл под разрешенный я смогу его выполнить. Хеш в этом случае удобней и проще. Попробуйте - все должно работать. Изменено 9 июля, 2008 пользователем Maikll Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 10 июля, 2008 Автор Жалоба Поделиться Опубликовано 10 июля, 2008 Что то, совсе нечего не получается, по поводу *.lnk так и не пойму куда это прописать, а провило пути добавить или в назначение исполняемых типов файлов? Вобшем мне нужно почетать мануал и по экеперементировать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 10 июля, 2008 Жалоба Поделиться Опубликовано 10 июля, 2008 Ejik: Оффтоп неужели я так непонятно обьясняю? создаем новое правило пути, в поле Путь вручную пишем *.lnk, уровень безопасности - неограниченный. Все, никакие доп экперименты не нужны. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 11 сентября, 2008 Автор Жалоба Поделиться Опубликовано 11 сентября, 2008 Maikll И сного я с вопросом, все перепробовал, все перерыл в инете, но политики, цуко так и не работают. Сделал вывод - глюк системы. Может такое быть? Т.е у меня не лицензионная ос, а копия и без SP, пробывал поставить SP1, но он ругается на product key. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения