Опции политики ограниченного использования программ
Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)
Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators).
Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов – это убрать разрешение Применение групповой политики (Apply Group Policy) в свойствах группы GPO, в состав которой входят администраторы.
Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):
- Установите значения переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как показано на Рисунке 2: Применять политики ограниченного использования для следующих пользователей > Для всех пользователей, кроме локальных администраторов (Apply software restriction policies to the following users > All users except local administrators)
Примечание. Установка опции предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators) действует только для политик компьютера.
Определение исполняемых файлов
В диалоговом окне Свойства: Назначенные типы файлов (Designated File Types), изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана. SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.
Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types). Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types).
Рисунок 3 – Диалоговое окноСвойства: Назначенные типы файлов (Designated File Types)