Политика ограничения программ
 

Предыдущий сисадмин установил какую-то политику - при запуске Оперы, ICQ и Firefox выскакивает сообщение:
(а Mozilla Thunderbird из Program Files и многие другие запускаются)

"Эта программа заблокирована групповой политикой. За дополнительными сведениями обращайтесь к системному администратору".
Это только на одном компьютере в домене. Мне надо разрешить эти программы без переустановки Windows.

Я смотрел на сервере-контроллере 2008R2 политик недефолтных нет и компьютер этот почему то не хочет синхронизироваться с сервером, хотя другие синхронизируются.
На самом компьютере gpedit.msc запускается с некоторыми ругательствами: "При разборе обнаружена ошибка. Не удалось найти ресурс
$(string.VerMgmtAuditModeEnable), на который ссылается атрибут displayName Файл c:\windows\PolicyDefinitions\inetres.admx, строка 1495 столбец 249
но потом запускается. Система Windows7pro.

В ветке Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Политика ограниченного использования программ-Дополнительные правила
действительно были строчки про эти программы, но с уровнем безопасности - неограниченный, то есть они не ограничивались.
Я эти строчки попробовал удалил, компьютер перегрузил, ничего не помогло.

Еще там остались строчки %HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRoot% и
%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir% тоже с уровнем неограниченный.
параметры SystemRoot равен c:\windows, а ProgramFilesDir равен c:\Program Files в реестре.
Я понимаю, что параметры разрешают неограниченно запускать все программы из этих системных папок и их удалять нельзя, иначе ничего не запустишь вообще.

Что делать? Помогите, пожалуйста, моему горю.

Я прочитал http://windowsnotes.ru/windows-7/otm...om-kompyutere/
но, хотя psexec действительно может остановить клиентскую службу политик, программы у меня продолжают блокироваться на запуск, вопреки мнению автора статьи.
Если же далее по статье поставить gpsvc в отключенное состояние и убрать из реестра оповещения, то и это не помогает - программы остаются заблокированными с соответствующей табличкой.

И хотелось выяснить, как дезактивировать эту политику в gpedit.msc, если она была когда-то активирована без ухищрений
по удалению веток реестра и полной невозможности ее существования в будущем.

GPResult.exe - попробуйте эту утилиту, входит в состав системы начиная с ХРюши... Покажет все политики, ошибки и прочее....

Когда я запускаю в окне командной строки под входом доменного/локального админа(запущенной от администратора) команду gpresult /z > c:\temp\gpfile.txt то этапы
Извлечение имени пользователя...
Извлечение информации об ОС...
проходят,
а на этапе
Создание сеанса RSOP для Domain|Local\administrator...
дается ОШИБКА: Отказано в доступе
(с ключами /v или /h так же)

Файл создается пустой.
Возможно, это из-за рассинхронизации времени этого компьютера с контроллером домена. И доменные пользователи для добавления в права не хотят из AD браться со ссылкой на синхронизацию, хотя входы под доменными пользователя происходят.
Как исправить - не знаю, но мне бы решить вопрос с запуском программ, отменой политики.

После долгих поисков отмены и мучений я вспомнил, что неотменяемая политика применяется к пути, следовательно ее можно обмануть, и переустановил программы по другому пути, обманул. Но проблема отмена политик осталась нерешенной, теперь знаю, что политики запрета применять нельзя - потом не отменишь.