Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] GPO, результирующая политика (http://forum.oszone.net/showthread.php?t=124132)

Spooner 26-11-2008 08:52 963815
GPO, результирующая политика
 
Требуется
Блокировка всем пользователям, кроме избранных, запуска определенных приложений путем применения Software Restriction Policies. Именно "блокировка всем, кроме избранных", а не "блокировка избранным". Иначе бы вопрос не ставился :)

Дано
1. Windows 2003, домен example.local
2. OU вида example.local\users\dep_restricted_soft

Что делал
1. Стандартной оснасткой этого сделать не удалось, потребовалась консоль GPMC.
2. В консоли GPMC на одном уровне OU создано две политики:
- Allow_Soft
- Deny_Soft
Две политики созданы исходя из того, что применяется последняя. То есть изначально для всех пользователей запрещен перечень ПО, кроме тех, кто добавлен через GPMC в политику Allow_Soft.
3. В политику Deny_Soft добавляем Authenticated Users. В политику Allow_Soft добавляю пользователя Spooner. То есть по идее Spooner может запускать заблокированное ПО.
4. Делаю gpupdate /force
5. Запускаю анализатор результирующей политики RSoP. Смотрю в список запрещенного/разрешенного ПО, и вижу две строчки: quake.exe - Disallowed и quake.exe - Unrestricted.
6. Проверяю работу GPO на клиентской машине. Разумеется, отрабатывает политика запрета, quake.exe запустить нельзя. Несмотря на то, что пользователь Spooner добавлен в политику Allow_Soft. Отрабатывает имеющая более высокий приоритет запрещающая политика.

Вопрос
Как реализовать пункт "Требуется"?

Delirium 26-11-2008 08:56 963818
А политики идут в каком порядке? Сначала Allow а потом уже Deny? Может их местами поменять для смены приоритета обработки?

Spooner 26-11-2008 08:58 963820
Политики местами менял, толку ноль. Проблема то в том, что политики сложились, то есть правило из Allow_Soft "quake.exe Unrestricted" и правило из Deny_Soft "quake.exe Denied" сложились и в результирующей политике создали две строчки. То есть даже без разницы, в каком они порядке идут. Они просто сложились. Отработала запрещающая политика ...

Delirium 26-11-2008 09:22 963843
А может тогда стоит поставить правило "не перекрывать политики"? и высший приоритет у разрешающего сделать. В таком случае отработают по разному(наверное :) )

Spooner 26-11-2008 09:24 963845
Дело в том, что галочки "не перекрывать политики" нет) Есть галочка "Не наследовать".

Delirium 26-11-2008 09:26 963848
это семантика :))))

Spooner 26-11-2008 09:27 963852
Предупреждая дальнейшее предложение сделать блокирующую политику уровнем выше, то есть Deny_Soft применить к OU Users, скажу, что это я уже делал, результата нулевой :)

Spooner 26-11-2008 12:16 963993
Проблема решена путем добавления WMI фильтра.
Что бы исключить из политики определенных пользователей, необходимо на DC создать WMI-фильтр с запросом вида:

Select * FROM Win32_UserAccount WHERE Name = "Spooner"

(без указания домена. С указанием домена запрос будет соответственно немного другим)

В решении этого и подобных вопросов очень полезной является утилита WMI Code Creator, с её помощью можно подсмотреть различные свойства классов и фильтровать политики, скажем, не только по логину, но и имени компьютера, операционной системе и т.д.

Delirium 27-11-2008 01:03 964761
Цитата:
Цитата Spooner
В решении этого и подобных вопросов очень полезной является утилита WMI Code Creator, с её помощью можно подсмотреть различные свойства классов и фильтровать политики, скажем, не только по логину, но и имени компьютера, операционной системе и т.д. »
угу, я с ее помощью программу пишу для работы с WMI и где то тут на форуме архивчик WMI Code Creator выкладывал.


Время: 11:40.

Время: 11:40.
© OSzone.net 2001-