Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Политика ограниченного использования программ и программа RunAsDate (http://forum.oszone.net/showthread.php?t=318878)

Dr.Norfolk 17-09-2016 14:25 2669553
Политика ограниченного использования программ и программа RunAsDate
 
Приветствую, коллеги! Прошу вашей помощи.
Имеется программа RunAsDate, которая подменяем системное время для отдельных приложений и домен уровня windows 2008r2. В групповых политиках включена "Политики ограниченного использования программ", в дополнительных правилах которой, добавлен путь до программки RunAsDate (она лежит на сетевом диске) и выставлен уровень безопасности "Неограниченный", что позволяет программке запускаться на всех компьютерах домена у всех типов пользователей. Она и запускается, однако свой функционал не выполняет - не подменяет системное время для нужной программы (кстати, нужная программа тоже добавлена в исключения).
Стоит отключить в реестре на клиентском компьютере применение политики: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers параметр DefaultLevel=40000, программа начинает работать как нужно.

Отсюда вопрос. Что нужно указать в настройка политики, чтобы пользователи домена могли запускать программу RunAsDate с нужными привилегиями.
Отмечу только, что домен работает на Samba 4 на Debian 8, но сдается, что это не связано. Все остальные политики настроены по оригинальным мануалам Windows Server 2008 и работают стандартно.

Спасибо!

WindowsNT 20-09-2016 09:45 2670380
1. Включите детальное журналирование
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Value LogFileName = String "C:\Windows\Logs\SRP\SRP.log"

2. Убедитесь, что папка существует, иначе лог не пишется. Убедитесь, что доступ на файл разрешён для Everyone: Write (SRP работает в контексте пользователя, не системы)
3. Воспроизведите проблему.
4. Ищите в логе слово Disallowed.

Dr.Norfolk 20-09-2016 09:55 2670389
Спасибо, попробую!

Dr.Norfolk 21-09-2016 10:44 2670722
Еще раз Спасибо, WindowsNT!
Включил логи SRP как Вы сказали, оказалось что SRP блокировал dll-ку, которую откладывала программа запускаемая сквозь RunAsDate, в директорию %USERPROFILE%\AppData\Local\Temp.
Разрешил это dll-ку в правилах пути в SRP и все заработало как нужно!

WindowsNT 22-09-2016 11:15 2671088
Для себя я вообще веду непрерывное журналирование, журналы коллекционирую на SQL, затем отдельной программой запрашиваю "покажи мне всё интересное и нестандартное".
https://blog.windowsnt.lv/2015/12/16...n-framework-2/


Время: 22:24.

Время: 22:24.
© OSzone.net 2001-