[GuseV]

Есть вопрос. Допустим хочу чтоб пользователи не могли запускать файлы с расширением exe в прописаных мною папках.
В gpmc захожу - Конфигурация пользователя-->Параметры безопасности-->Политики ограниченного использования программ-->Дополнительные правила
Там создаю правило до пути: например c:\temp\*.exe По моему это значит, что пользователь не может запускать файл с расширением exe в этой папке и ВЛОЖЕННЫХ в нее папках. Но, на деле, создаешь папку,например c:\temp\1\, копируешь туда файл *.exe, и он прекрасно там работает. Делаю по другому c:\temp\*\*.exe, в папке c:\temp\1\ файл *.exe не работает, НО если создать c:\temp\1\2\, то там он прекрасно работает.
Вопрос: как правильно написать, чтоб файл *.exe не мог выполняться не только в папке temp, но и во все вложенных???

[monkkey]

Сделайте ограничение по хэшу программы. Либо дайте права использовать только разрешенные программы.

[GuseV]

А возможно ли сделать как хотел я?
Что написать вместо вот этого???
с:\temp\*.exe, с:\temp\*\*.exe, с:\temp\*\*\*.exe, с:\temp\*\*\*\*.exe, с:\temp\*\*\*\*\*.exe, есть ли подстановочный символ говорящий о вложенных папках?

[GuseV]

Сам нашел ответ на свой вопрос. Нужно писать не путь до конечного файла с расширением *.exe, а просто путь до папки (например c:\temp), тогда выполнение файлов с расширением *.exe будет действителен не только на указанную папку, но и на все вложенные...Всем спасибо.

[merdzd]

Уровень безопасности по умолчанию: Не разрешено (Disallowed)
содал правила path
%WINDIR% Неограниченный (Unrestricted)
%PROGRAMFILES% Неограниченный (Unrestricted)

програмы не запускаются из меню пуск или с помошью ярлыка
но запускаются напрямую из папок PROGRAMFILES WINDIR как и положенно по правилу
задача чтоб запускалось всё из PROGRAMFILES

подскажите
нужны еще правила ?

[merdzd]

скопировал

Проблема в том что в “Software Restriction Policy – Designated File Types” прописаны типы файлов на которые распространятся запрет на запуск. А в этом списке есть и файлы LNK. Это значит что пользователь не может запускать программы посредством ярлыков, потому что они обычно находится в папках %USERPROFILE%\Desktop\; %USERPROFILE%\Start Menu\; %ALLUSERSPROFILE%\Start Menu\ на которые распространятся запрет запуска по умолчанию. Решить это проблему можно удалив из списка Designated File Types файлы LNK. Это конечно ни есть хорошо, но все другие способа еще хуже.

Вообщем всем ОГРОМНОЕ спасибо, что помогали. Решил, все таки, этот бок - оказывается, надо было прописать разрешающее правило для *.lnk через GPO компа (почему?), через пользователя не хотело никак.

[julia]

после запрета запуска файлов с флешек с помощью описанной в статье групповой политики, на клиентских компьютерах упорно появляется ключ
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer]
"AuthenticodeFlags"=dword:00000002

из-за которого не устанавливаются обновления windows с ошибкой:

Цитата:

Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.

со службами криптографии все нормально.
а если ключ удалить или отключить эту ГП - обновления устанавливаются

что я делаю не так?

как я понимаю на ключ влияют Опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers) но непонятна логика