Не срабатывает блокировка запуска приложений по сертификату в Active Directory, в чём проблема?

Question

[Antilles7227]

Имеется тестовый домен, в нём подразделение "Бухгалтеры" с десятью пользователями.
Вешаю на подразделение групповую политику блокировки запуска приложений по сертификату, для примера взял сертификат Valve из установщика Steam и два сертификата от Mail.ru (Амиго и Агент). Обновляю политику, логинюсь на клиентской машине под одного из этих юзеров. Стим блокируется, Агент и Амиго на политику плевали с высокой колокольни и спокойно запускаются.
Моделирование результирующей политики на контроллере говорит, что политика должна применяться (собственно, стим-то блокируется).
"gpresult /r" тоже. А rsop из-под пользователя заблокированные сертификаты не подказывает, как будто они до пользователя не доехали (сертификат Valve тоже не виден, хотя блокируется).

В чём может заключаться проблема? Про Applocker знаю, но мне интересен именно этот вариант, хочу разобраться почему именно так это происходит.

Answer 1

[yosemity]

Не с той стороны заходите. Включите полную блокировку всего, что не входит в Windows и Program Files и добавляйте исключения по сертификату/хешу.