Групповые политики, Ограничение использования ПО

Question

[paran01k]

Доброго времени суток. Столкнулся с проблемой. Не могу заставить правильно работать политику ограничения использования ПО. Типичная настройка: «запретить все, кроме %systemroot% и %programfiles%», вроде работает. Установленные приложения запускаются (из «проводника»), документы создаются/редактируются/печатаются до тех пор, пока я не попытаюсь запустить, к примеру, excel из google chrome, нажав на только что скачанный файл. Ответ: «заблокировано групповой политикой». Единственный способ убрать это сообщение — добавить в политику хэш файла «excel.exe» с пометкой «разрешить» (смотрите рис.).



То есть, как минимум: архиватор, word, excel, powerpoint. В принципе, это было бы не так проблематично, если бы хэши этих файлов не менялись (например при установке SP через Windows Update). К чему такие манипуляции если я и так разрешил запускать всё из %programfiles%?! Можно ли как-то обойтись без этого?! Благодарю.

Answer 1

[F1RST]

На компьютере, где происходит блокировка запуска, в логах должно отображаться, что именно блокируется, то есть путь до файла, который должен запустить Excel. Добавьте его в правила.

Comments

[paran01k]

Убираю хеш файла «winword.exe» из политики ограничения использования ПО, пытаюсь открыть *.rtf файл скачанный хромом и получаю знакомое сообщение: «заблокировано групповой политикой». В журнале появляется такая запись:

Доступ к C:\Program Files\Microsoft Office\Office14\WINWORD.EXE был ограничен администратором с помощью уровня политики ограничения использования программ по умолчанию.

В настройках программ по умолчанию никаких запретов не стоит. Ассоциация для *.rtf стоит «Microsoft Word». Причем из проводника открывается без проблем. Стоит только опять добавить хеш «winword.exe» и всё начинает работать как часы.

Answer 2

[bugaga0112358]

Когда вы запускаете приложение из другого приложения или пытаетесь открыть файл, что приводит к запуску связанного с этим файлом приложения и передачей в него в качестве параметра имени файла, в качестве рабочего каталога для приложения используется не тот каталог, в который оно установлено, а текущий каталог (в котором располагается файл, или который является текущим для вашего chrome). Возможно, суть в этом?

Исходя из ваших слов, первоначальное блокирование производится по пути расположения исполняемого файла приложения, а исключение вы добавляете не по пути расположения, а по хэшу исполняемого файла, и пути здесь отпадают.

Comments

[bugaga0112358]

Судя по всему — оно самое.

technet.microsoft.com/en-us/library/cc786941%28v=ws.10%29.aspx

Path Rule

A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Software restriction policies support local and Uniform Naming Convention (UNC) paths.

The administrator must define all directories for launching a specific application in the path rule. For example, if the administrator creates a shortcut on the desktop to launch an application, then in the path rule, the administrator must also grant the user Read access rights to both the executable file and the shortcut paths to run the application. If all the path information necessary for launching the application in the path rule is not defined, it can trigger the Software Restricted warning when the user attempts to run the application.

«Правила пути»

Правила пути позволяют указать директорию или полное имя файла программы. <бла-бла>

Администратор должен определить все директории для запуска указанного приложения. Например, если администратор создает ярлык для запуска приложения на рабочем столе, тогда в правилах он должен предоставить пользователю право на чтение исполняемого файла и ярлыка для запуска приложения. <бла-бла>

[bugaga0112358]

В данном случае, если вы хотите использовать политику «запрещено все, что не разрешено», следует несколько изменить алгоритм работы с файлами: если вам нужно открыть, например, файл *.doc(x), следует открывать его не двойным кликом мыши а путем запуска приложения Microsoft Word и последующего открытия файла через меню Файл — Открыть.