Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Политики ограниченного использования программ

Ответить
Настройки темы
2008 R2 - [решено] Политики ограниченного использования программ

Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


Здравствуйте.
Помогите разобраться с теорией. Имеется домен под управлением Windows Server 2008 R2. Клиенты - WinXP Prof SP3. Практически все пользователи работают под учетной записью с правами пользователя (не опытного, обычного).
Хочу внедирить политики ограниченного использования программ со следующими параметрами:
Уровень безопасности - неограниченный (Доступ программ к ресурсам определяется правами пользователя)
Применение ко всем файлам программ, для всех пользователей, кроме администраторов.
Из назначенных типов уберу ярлыки (LNK-файлы) и добавлю скрипты (KS-файлы)
В дополнительных правилах пропишу запрет на запуск из временных каталогов (%temp%, %tmp%, Temporary Internet Files).
Вопрос - а что будет при попытке установить/обновить программное обеспечение через "Установка программ" групповых политик? msi-инсталлятор распакуется во временный каталог и не сможет оттуда запуститься? Или я ошибаюсь?
Спасибо

Отправлено: 15:15, 05-11-2015

 

Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата Michael:
Вопрос - а что будет при попытке установить/обновить программное обеспечение через "Установка программ" групповых политик? msi-инсталлятор распакуется во временный каталог и не сможет оттуда запуститься? Или я ошибаюсь? »
параметры ПК? тогда ничего не будет - SRP не распространяется на SYSTEM.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:28, 05-11-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


cameron, да, софт распространяется через секцию "Конфигурация компьютера". Спасибо.
А если бы распространение было настроено через конфигурацию пользователя, то каким образом решалась бы проблема с обновлением? Перенесением софта в параметры компьютера или временным отключением политик ограниченного использования программ?

Отправлено: 15:58, 05-11-2015 | #3


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата Michael:
А если бы распространение было настроено через конфигурацию пользователя, то каким образом решалась бы проблема с обновлением? »
сперва вам пришлось бы решить проблему с тем, что в контексте пользователя MSI не установить по причине отстутствия прав на установку ПО.
Цитата Michael:
Перенесением софта в параметры компьютера или временным отключением политик ограниченного использования программ? »
моё мнение по данному вопросу простое - есть механизмы установки ПО в контексте УЗ ПК или через агентов (SCCM\Emco\etc), которыми и надо пользоваться, а не иметь головняк в виде разворачивания софта в контексте пользователя.

Michael,
ну и ещё, на вашем месте, я бы ещё раз подумала, какую цель я хочу достигнуть этими действиями
Цитата Michael:
Уровень безопасности - неограниченный (Доступ программ к ресурсам определяется правами пользователя) »
Цитата Michael:
В дополнительных правилах пропишу запрет на запуск из временных каталогов (%temp%, %tmp%, Temporary Internet Files). »
я предпочитаю ставить SRP в запрещено и указывать то, что разрешено.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 16:35, 05-11-2015 | #4


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


Цитата cameron:
сперва вам пришлось бы решить проблему с тем, что в контексте пользователя MSI не установить по причине отстутствия прав на установку ПО. »
упс... не подумал...
Цитата cameron:
есть механизмы установки ПО в контексте УЗ ПК »
извиняюсь, а УЗ это что?? не соображу никак...

Отправлено: 16:49, 05-11-2015 | #5


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата Michael:
извиняюсь, а УЗ это что?? не соображу никак... »
Учётная Запись

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 16:53, 05-11-2015 | #6


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


Цитата cameron:
на вашем месте, я бы ещё раз подумала, какую цель я хочу достигнуть этими действиями »
цель - защита от вирусов, передающихся по электронной почте.
Сотрудники работают под ограниченной учетной записью с правами пользователя, доступа в интрент практически нет, запуск программ со съемных носителей запрещен. Думаю достаточно.

Если идти по вашему варианту - на запуск что разрешаете? %ProgramFiles% и %WinDir% ?

Отправлено: 08:24, 06-11-2015 | #7


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


И еще вопрос - почему в дополнительных правилах прописаны пути вида
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
и
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
а не
%SystemRoot%
и
%ProgramFiles%
соответственно?

Отправлено: 13:28, 06-11-2015 | #8


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата Michael:
Если идти по вашему варианту - на запуск что разрешаете? %ProgramFiles% и %WinDir% ? »
в общем и целом да, хотя этот вариант недостаточно хорош - кое куда пользователь писать может
стараюсь указывать пути в именем файла или хеш оного.
Цитата Michael:
И еще вопрос - почему в дополнительных правилах прописаны пути вида
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
и
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
а не
%SystemRoot%
и
%ProgramFiles%
соответственно? »
этого я не знаю.

есть хорошее, почти готовое решение от MVP с ником WindowsNT (его ПРОТОКОЛ).
ознакомьтесь, крайне полезное чтиво.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:58, 09-11-2015 | #9


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


cameron, спасибо за советы.
P.S. найдя решение от WindowsNT оказалось, что именно по нему я с этим вопросом и разбирался

Отправлено: 15:28, 09-11-2015 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Политики ограниченного использования программ

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
политики ограниченного использования программ B_BOY_MIG Microsoft Windows NT/2000/2003 4 12-10-2014 12:38
Установка - [решено] Политики ограниченного использования программ ~Cash~ Microsoft Windows 7 7 03-05-2013 12:43
2008 R2 - [решено] Политики ограниченного использования программ. voler Windows Server 2008/2008 R2 6 10-07-2012 17:42
Разное - Установка параметров политики ограниченного использования программ Dr.Dark Microsoft Windows 2000/XP 6 20-01-2010 22:59
Доступ - [решено] Одна настройка политики ограниченного использования программ рэмбо Microsoft Windows 2000/XP 1 21-12-2008 15:25




 
Переход