Домен, клиенты Windows 7 и Windows XP. Решил запретить пользователям запускать лишние файлы, находящие вне %programfiles% и некоторых исключений. На некоторых машинах программы перестали запускаться с ярлыков рабочего стола с ошибкой запрещения(будто пытаюсь запустить программу из неразрешенной зоны). В отчете по применению политики существует сообщение: "Не удается найти Отображаемые имена для некоторых параметров. Чтобы решить эту проблему, нужно обновить ADM-файлы, используемые средством управления групповой политикой".
В приложении более подробный отчет.

На некоторых машинах программы перестали запускаться с ярлыков рабочего стола с ошибкой запрещения(будто пытаюсь запустить программу из неразрешенной зоны). »
Удалите из назначенные типы файлов значение lnk.
из отчета
При сборе информации для этого расширения произошла неизвестная ошибка. Подробности: Не удалось привести тип объекта "System.String[]" к типу "Microsoft.GroupPolicy.Reporting.Extensions.Registry.UnknownType".
тыц (http://support.microsoft.com/kb/981750/EN-US)

Вот тут есть все что нужно по теме SRP http://www.sysadmins.lv/CategoryView,category,SecuritySRP.aspx

Однако на Windows XP SP3 данные процедуры не помогают.

Client side extensions устанавил
КД на Windows 2008 R2, консоль открывалась с КД
Убрал lnk из запрещенных расширений
После установки http://support.microsoft.com/kb/981750/EN-US пропали проблемы в результирующей политике на сервере(прилагается)


Проблема осталась(журнал с клиента Windows XP SP3):

Тип события: Предупреждение
Источник события: Software Restriction Policies
Категория события: Отсутствует
Код события: 865
Дата: 17.05.2012
Время: 17:56:18
Пользователь: Н/Д
Компьютер: MANAGER1
Описание:
Доступ к C:\Documents and Settings\All Users\Рабочий стол\1C Enterprise.lnk был ограничен Администратором политикой ограниченного использования программ.

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
Уровень безопасности Неограниченный
Описание
Изменено 17.05.2012 7:45:58
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Уровень безопасности Неограниченный
Описание
Изменено 02.05.2012 4:24:37
и
C:\Program Files
Уровень безопасности Неограниченный
Описание
Изменено 17.05.2012 7:47:37
C:\Program Files (x86)
Уровень безопасности Неограниченный
Описание
Изменено 17.05.2012 7:47:49

одно и тоже. последнее уберите.

Убрал последние два пункта. Пока безрезультатно.

А оно и не даст результат. Да и политика применяется на пользователей, так от машин тут мало чего зависит кроме того факта что машинка может не применять\обновлять политики по каким-то причинам. С КД сделайте на пользователя хм... забыл как называется, в общем в этой оснастке в самом низу есть возможность сделать rsop на пользователя и посмотреть что применилось или применится к нему.

Запретить использование командной строки Включено
Запретить также обработку сценариев в командной строке? Да

А зачем люди ЭТО делают я вообще никогда не понимал и не пойму :(

В качестве защиты от вирусов, чтобы cmd не юзали.
RSOP сделать c сервера? А смысл, если на поколении Windows 7 все работает как положено? RSOP не работает на XP, там GPRESULT, но опять же, ведь политика применяет нормально, исходя из того, что новые запреты появляются корректно.

gpresult c проблемной машины для проблемного пользователя от администратора:

C:\Documents and Settings\administrator>gpresult /user vkivva

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 17.05.2012 в 23:26:54


RSOP-результаты для LOCAL\vkivva на MANAGER1 : Режим журналирования
--------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: LOCAL
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\vkivva
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=MANAGER1,OU=computers,OU=audxxx,OU=street,OU=Geo,DC=local,DC=local
Последнее применение групповой политики: 17.05.2012 at 23:17:50
Групповая политика была применена с: Server.local.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Удаленное управление
Настройки окружения
Установка Silverlight
Установка разных MSI
Установка Lync(PC)
Всегда ждать сеть
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
MANAGER1$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=имя,OU=Buhgalters,OU=firm,OU=Companies,DC=local,DC=l
ocal
Последнее применение групповой политики: 17.05.2012 at 23:22:42
Групповая политика была применена с: Server.local.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Запрет съемных устройств
Перенаправление папок
Ярлык и папка Консультант+
Принтеры
Список баз 1Сv8
Lync(user) шлюз
QoS
Монитрование шары
Запрет запуска ехе
Ярлык_и_список_баз_1cv77

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Default Domain Policy
Фильтрация: Не применяется (пусто)

Настройка пользователей
Фильтрация: Отключено (GPO)

Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
Пользователи удаленного рабочего стола
REMOTE INTERACTIVE LOGON
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
Buhgalters
firm
1cv77users

Пока безрезультатно. »
как уже сказали и не должно было :) просто указал на билиберду
В качестве защиты от вирусов, чтобы cmd не юзали. »
гм. пояните?

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Default Domain Policy »
прикольно
Примененные объекты групповой политики
---------------------------------------
Ярлык_и_список_баз_1cv77 »
таки где у Вас сам экзешник 1с находится?

В качестве защиты от вирусов, чтобы cmd не юзали. »
ох лол. Посмеялся, спасибо, пишите еще.

В той же оснастке в которой редактируете и просматриваете политики обратите свой взор в самый низ, там что-то про результативную политику для пользователя или компьютера есть. Точнее могу сказать завтра, если не будет лень.
RSOP не работает на XP, там GPRESULT »
Блин, меня тут просили не выражаться на форуме :( Буду стараться...

покажите скрин настроек SRP что ли.
там что-то про результативную политику для пользователя или компьютера есть »
да, мастер называется Result Policy
RSOP не работает на XP »
rsop.msc

покажите скрин настроек SRP что ли. »
Сами настройки уже есть в аттаче, мне больше интересно что применилось на пользователя и откуда правда берется ехешник 1с.

мне одной кажется что используется путь %allusersprofile%\*.ink? =)

Кажется, потому что это правило вообще ничего не делает, точнее делает, но в данном случае фигню :)

гм. пояните? »
Часто видел окно cmd во время работы вирусов, оттуда и мнение, плюс запрет vbs не помешает, так как вся затея исключительно ради борьбы с вредоносным ПО.

прикольно »
Что странного? У меня нет политики,которую я хочу применить ко всему домену, т.е. включительно к КД, все политики находятся глубже, одни географические, другие инфраструктурные по предприятию.

таки где у Вас сам экзешник 1с находится? »
C:\program files\1c\...чего-то там вроде common\1cтра-та-та.exe

Блин, меня тут просили не выражаться на форуме Буду стараться... »
и
rsop.msc »
Пардон.

мне одной кажется что используется путь %allusersprofile%\*.ink? »
А какая разница, если запрета в ГПО нет ни на то, ни на это. Я уже и разрешение ставил для *.ink, *.lnk.

Часто видел окно cmd во время работы вирусов, оттуда и мнение, плюс запрет vbs не помешает, так как вся затея исключительно ради борьбы с вредоносным ПО. »
вот она безопасность моей мечты!
C:\program files\1c\...чего-то там вроде common\1cтра-та-та.exe »
Ну тогда сделайте что-нибудь там где-то пам пам пам и заработает, да.

И когда будет отчет там что-то про результативную политику для пользователя или компьютера есть »
да, мастер называется Result Policy »

Скрины:

Ну тогда сделайте что-нибудь там где-то пам пам пам и заработает, да. »
Суть ведь передал? C:\program files\...

И когда будет отчет »
Теперь только в шесть часов, временно пришлось отключить всю политику.

Хм, оригинально... А тестовую ОУ сделать и тестовым пользователем?

На win7,win2008r2 все работает адекватно, Hyper-V не используется, VirtualBox поставить нельзя - упадет сеть до перезагрузки сервера.(С этим сегодня же вечером разберусь, но пока так)

local.local не я придумал, так уж вышло =((

Ехешник самой 1с запустите из папки 1с (НЕ через ярлык, а сам ехешник), выдает ошибку SRP?