[tamba]

Все, впрде разобрадся... По крайней мере на домашней машине с Win7 Ultimate x64 все заработало как надо!.... Не мог ответить на работе, ибо был занят сбором инфы, где что лежит( там много самописного софта, который запускается откуда угодно, как писавшему его программисту поставить было удобно), но все таки без дополнительных правил для пути обойтись нельзя... Только раньше не работало как я их не создавал, по тому как к пользователям на уровне компьютера пытался применить, а коли применяешь к ним же на уровне пользователей получается вообще неразбериха и хаос, как писалось выше. Причем в любом случае, даже если по хэшу правила добавлять начинал... Завтра предстоит трудная и кропотливая работа по добавлению правил для пути и хэша... спасибо WindowsNT за подсказки, посмотрим, как оно завтра выйдет...

[makxxx]

Если 7ка лучше делай через Политики управления приложениями AppLocker и применяй на компьютер, а не пользователей.

[tamba]

Короче, господа, опять затыки небольшие... очень много софта написано в среде fox Pro и visual fox Pro, софт разбросан, как в свое время было угодно программисту... Казалось бы чего проще - в той же политике в дополнительных правилах создаю правило для хэша, куда прописываю FOXPROL.EXE, FOXPROX.EXE и VFP.EXE. Из назначенных типов файлов убираю еще и PIF(ярлык для программ MS.DOS)... при запуске обратно ошибка - нельзя, мол политикой запрещено... фокс - полноценная среда разработки и там столько всего еще нужно разрешить... а путь к определенной папке открывать нельзя пому как она лежит у кого где... Ужас. Бардак. По той же причине не могу путь к папке профиля пользователя открыть, где Google Chrome лежит, а версии видать разные, следовательно и хэш тоже. Потому и работает не у всех, хоть находятся все в одном OU и GPO одна к нему привязана... Как в таком случае защитить пользователя от него самого, загадка...

[WindowsNT]

Не надо всё брать хэшами, делайте путями. Пусть будет правило вида "C:\FoxPro : Unrestricted", это всё равно на порядки безопаснее, чем сидеть вообще без штанов.
Пути придётся систематизировать. Для этого ставьте сотрудникам deadline по приведению машины в стандартный вид, подключайте политику к ним по очереди. Установите deadline всего проекта (скажем, до 01-Янв-2015) и делайте пошагово, без тотальной "шоковой терапии", иначе нужный и важный проект будет провален на уровне руководства.

Пути профиля добавлять не следует, конечно же. Хром из профилей сносить, ставить только корпоративный в Program Files.

[tamba]

Ну, я так и делаю, начинает кое что проясняться и работать на фоне по началу устроенного всеобщего облома, спасибо! Теперь я почти спокоен. Еще недельки полторы систематизации всего и левому ПО скажем твердое НЕТ

[WindowsNT]

Расскажите потом о своём опыте. Как шёл проект, какие были трудности, какие достижения. Размер и специфика компании.

[tamba]

Ну, собственно, силами сотрудников отдела руками по сети переносим все пользовательские проги по складу, сбыту и бухгалтерии в одно место на локальной машине(благо софт там не требует инсталяции, пути в реестре не трогает и ему по-барабану откуда работать) прописал пару правил для путей еще, и вуаля, порядок почти восстановлен. С остальным разбирается сетевой антивирус, если что и проникает... не панацея, конечно, но в купе с RSP рисков все же меньше... в домене около 65 машин. Почему везде, кроме некоторых Win XP стоит( хотя легализация ло Win 7 Pro куплена) - не работает выше XP FoxPro 2 и 3 версия. На которой все и написано.. Есть, конечно недовольные - жучки, знаете ли не работают и проч. Компания, относительно небольшая, трудимся над производством кирпича. Года 4 назад всю сеть перевел в доменный режим работы, до этого сеть из-за небольшого размера была полностью одноранговой. Вот так потихоньку и доказываем, что АСУ - это крутой отдел, а не мальчики по-вызову.

[User001]

Цитата tamba:

в домене около 65 машин »

Цитата tamba:

АСУ - это крутой отдел »

Интересно стало, а сколько у вас оборудования (обслуживаемого ИТ) кроме данных ПК и сколько штат ИТ-отдела?

[WindowsNT]

Сервера тоже сконфигурены?
Уведомления SRP на почту сделали?

[tamba]

Вот до чего еще руки не дошли, так это до уведомлений... Сервера постольку по-поскольку настраиваются... по мере надобности, их всего 4.... файловый NAS, интегрированный в AD(Synology RS-812), прокси, контроллер домена и антивирусный, который еще и как резервный контроллер. Еще копировально-множительная техника около 50 единиц, 2 пром контроллера в сети profnet и чудо мини-АТС Samsung OS 7400. В штате 2 системщика, 1 программер, 1 телефонист...