имеется: контроллер домена на w2k3, клиенты на winxp.
задача: нужно создать групповую политику и применить ее к группе рядовых пользователей домена, которая бы запрещала запуск любых программ, кроме указанных.
вот что делаю:
1. start --- run --- dsa.msc
2. создаю группу, в которую добавляю пользователей.
3. правый клик по контейнеру домена --- свойства --- групповые политики --- создать (назвал RunAppsPolicy)
4. теперь имеется две политики: 1 - Default Domain Policy, 2 - только что созданная RunAppsPolicy.
5. далее захожу в свойства --- безопасность и там добавляю созданную группу, ставлю галки на чтение и применение групповой политики, у прошедших проверку снимаю галку применения политики
6. далее клик по политике и изменить политику --- конфигурация пользователя --- конфиг-я windows --- пар-ры безопасности --- политика п.о.
7. в "уровни безопасности" меняю значение по умолчанию с "неограниченный" на "не разрешено".
8. клик по "дополнительные правила", создаю правило и создаю правила для пути.
в итоге имею такие правила:
Код: Выделить всё
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - неограниченный
%programfiles%\progpath\*.exe - неограниченный
но программа из %programfiles%\progpath\ (как собственно и все другие установленные на компьютере) запускаются.
вот вывод gpresult:
Код: Выделить всё
C:\Documents and Settings\test.RD>gpresult
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001
Создано на 02.08.2011 в 20:34:51
RSOP-результаты для RD\test на TEST-PC : Режим журналирования
--------------------------------------------------------------
Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: RD
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\test.RD
Подключение по медленному каналу?: Нет
Конфигурация компьютера
------------------------
CN=TEST-PC,CN=Computers,DC=rd,DC=local
Последнее применение групповой политики: 02.08.2011 at 19:42:29
Групповая политика была применена с: srv-ad.rd.local
Порог медленной связи групповой политики: 500 kbps
Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)
RunAppsPolicy
Фильтрация: Отключено (GPO)
Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
TEST-PC$
Компьютеры домена
Конфигурация пользователя
--------------------------
CN=Test,CN=Users,DC=rd,DC=local
Последнее применение групповой политики: 02.08.2011 at 19:44:15
Групповая политика была применена с: srv-ad.rd.local
Порог медленной связи групповой политики: 500 kbps
Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
RunAppsPolicy
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
RunAppsPolicyGroup
т.е. политика якобы применялась, но нужного эффекта нет - программы по прежнему запускаются.
получается, я не прально настроил политику?
в чем может быть ошибка?
заранее спасибо за помощь!