เรากำลังเรียกใช้ฟาร์มเทอร์มินัลเซิร์ฟเวอร์ในโดเมน Windows 2003 และฉันพบปัญหากับการตั้งค่า GPO ของซอฟต์แวร์ที่ จำกัด ที่ใช้กับเซิร์ฟเวอร์ TS ของเรา นี่คือรายละเอียดของการกำหนดค่าของเราและปัญหา:
เซิร์ฟเวอร์ทั้งหมดของเรา (ตัวควบคุมโดเมนและเซิร์ฟเวอร์เทอร์มินัล) กำลังเรียกใช้ Windows Server 2003 SP2 และทั้งโดเมนและฟอเรสต์อยู่ในระดับ Windows 2003 เซิร์ฟเวอร์ TS ของเราอยู่ใน OU ที่เรามีการเชื่อมโยง GPO เฉพาะและมีการบล็อกการสืบทอดดังนั้นเฉพาะ GPO เฉพาะของ TS จะถูกนำไปใช้กับเซิร์ฟเวอร์ TS เหล่านี้ ผู้ใช้ของเราอยู่ห่างไกลและไม่ได้เข้าร่วมเวิร์กสเตชันกับโดเมนของเราดังนั้นเราจึงไม่ใช้การประมวลผลนโยบายย้อนกลับ เราใช้วิธี "รายการที่อนุญาต" เพื่ออนุญาตให้ผู้ใช้เรียกใช้แอปพลิเคชันดังนั้นเฉพาะแอปพลิเคชันที่เราอนุมัติและเพิ่มเป็นเส้นทางหรือกฎแฮชเท่านั้นที่สามารถเรียกใช้ เรามีระดับความปลอดภัยในข้อ จำกัด ซอฟต์แวร์ที่ตั้งค่าเป็นไม่อนุญาตและการบังคับใช้ถูกตั้งค่าเป็น "ไฟล์ซอฟต์แวร์ทั้งหมดยกเว้นไลบรารี"
สิ่งที่ฉันพบคือถ้าฉันให้ทางลัดแก่ผู้ใช้แอปพลิเคชันพวกเขาสามารถเปิดแอปพลิเคชันได้แม้ว่าจะไม่ได้อยู่ในรายการกฎเพิ่มเติมของแอปพลิเคชัน "รายการที่อนุญาต" ถ้าฉันให้สำเนาของไฟล์ปฏิบัติการหลักแก่ผู้ใช้และพวกเขาพยายามที่จะเปิดมันพวกเขาจะได้รับข้อความ "โปรแกรมนี้ถูก จำกัด ... " ดูเหมือนว่าข้อ จำกัด ของซอฟต์แวร์นั้นใช้งานได้จริงยกเว้นเมื่อผู้ใช้เปิดใช้งานแอปพลิเคชันโดยใช้ทางลัดแทนการเรียกใช้แอปพลิเคชันจากตัวปฏิบัติการหลักเองซึ่งดูเหมือนว่าจะขัดแย้งกับวัตถุประสงค์ของการใช้ข้อ จำกัด ซอฟต์แวร์
คำถามของฉันคือ: มีคนอื่นเห็นพฤติกรรมนี้หรือไม่? ใครสามารถทำซ้ำพฤติกรรมนี้ ฉันขาดอะไรในการทำความเข้าใจข้อ จำกัด ซอฟต์แวร์หรือไม่ เป็นไปได้หรือไม่ที่ฉันมีบางสิ่งที่กำหนดค่าผิดพลาดในข้อ จำกัด ของซอฟต์แวร์
แก้ไข
เพื่อชี้แจงปัญหาเล็กน้อย:
ไม่มีการบังคับใช้ GPO ระดับที่สูงขึ้น การเรียกใช้ gpresults แสดงให้เห็นว่าอันที่จริงมีเพียงการใช้ GPO ระดับ TS เท่านั้นและฉันสามารถเห็นการ จำกัด ซอฟต์แวร์ของฉันได้ ไม่มีการใช้สัญลักษณ์แทนพา ธ ฉันกำลังทดสอบกับแอปพลิเคชันที่เป็น "C: \ Program Files \ Application \ executable.exe" และโปรแกรมที่ปฏิบัติการไม่ได้อยู่ในเส้นทางหรือกฎแฮช หากผู้ใช้เรียกใช้งานแอปพลิเคชันหลักที่สามารถเรียกทำงานได้โดยตรงจากโฟลเดอร์ของแอปพลิเคชันข้อ จำกัด ของซอฟต์แวร์จะถูกบังคับ หากฉันให้ทางลัดแก่ผู้ใช้ที่ชี้ไปยังแอปพลิเคชันที่สามารถเรียกใช้งานได้ที่ "C: \ Program Files \ Application \ executable.exe" จากนั้นผู้ใช้จะสามารถเปิดโปรแกรมได้
แก้ไข
นอกจากนี้ไฟล์ LNK จะแสดงรายการอยู่ในประเภทไฟล์ที่กำหนดดังนั้นจึงควรถือว่าไฟล์เหล่านั้นเป็นไฟล์ปฏิบัติการซึ่งควรหมายความว่าไฟล์เหล่านั้นถูกผูกไว้ด้วยการตั้งค่าและกฎข้อ จำกัด ของซอฟต์แวร์เดียวกัน