Устранение неполадок, связанных с политиками ограниченного использования программ
Глобальные уникальные коды правил (GUID)
Каждое правило для пути, хеша или зоны Интернета имеет глобальный уникальный код (globally unique identifier, GUID). Даже два одинаковых правила (например, два запрещающих правила для хеша для одной и той же программы) имеют различные коды GUID. Каждый код GUID хранится в реестре вместе с данными правила. Различные инструменты протоколирования и поиска неисправностей отображают эти коды. Код GUID правила позволяет Вам выявлять объекты групповой политики, в которых это правило определено.
Дело о пропавшем "Калькуляторе"
Чтобы показать, как код GUID может помочь в решении проблемы, рассмотрим пример, в котором пользователь пытается запустить программу calc.exe, калькулятор для Windows. Пользователь получает сообщение о том, что выполнение данной программы запрещено политикой ограниченного использования программ. Решив, что это какая-то ошибка, пользователь помещает заявку в центр службы поддержки. Специалист технической поддержки проверяет журнал событий и видит следующую запись, созданную политикой ограниченного использования программ.
- Доступ к C:\WINDOWS\system32\calc.exe был ограничен Администратором по расположению правилом политики {91ecff50-2ff4-4672-a182-b0f07a74b2df} расположенной в C:\WINDOWS\system32\calc.exe (Access to C:\WINDOWS\system32\calc.exe has been restricted by your Administrator by location with policy rule {91ecff50-2ff4-4672-a182-b0f07a74b2df} placed on path C:\WINDOWS\system32\calc.exe)
В подробных сведениях записи журнала событий содержится код GUID {91ecff50-2ff4-4672-a182-b0f07a74b2df}. Специалист технической поддержки запускает утилиту gpresult.exe и видит следующую запись:
- GPO: DisallowedPolicy
- Ключ: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{91ecff50-2ff4-4672-a182-b0f07a74b2df}
- Состояние: Включено
Специалист технической поддержки открывает объект групповой политики под названием DisallowedPolicy в редакторе групповой политики. В описании правила сказано, что оно предполагает запретить выполнение программы calcs.exe, которая используется для отображения и изменения списков контроля доступов к файлам. Специалист делает заключение, что в правиле была сделана опечатка, и вместо "calcs.exe" было введено "calc.exe", и передает дело соответствующему ИТ-администратору.
Журнал событий
Политики ограниченного использования программ могут создавать следующие записи в журнале событий:
Просмотр событий: Система Тип: Предупреждение Источник: Software Restriction Policy Категория:Отсутствует Код (ID): 865 Дата: 6/6/2001 Время: 2:50:29 PM Пользователь: bob Компьютер: EXAIR-1 Описание: Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором политикой ограниченного использования программ.
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную уровнем безопасности по умолчанию.
Просмотр событий:Система
Тип: Предупреждение
Источник: Software Restriction Policy
Категория:Отсутствует
Код (ID): 866
Дата: 6/6/2001
Время: 2:50:29 PM
Пользователь: bob
Компьютер: EXAIR-1
Описание:
Доступ к C:\Program Files\Messenger\msmsgs.exe
был ограничен Администратором по расположению
правилом политики {79d2f45e-5d93-4138-9608-dde4afc8ac64}
расположенной в C:\Program Files\Messenger\msmsgs.exe
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для пути. Код GUID правила, в этом примере – {79d2f45e-5d93-4138-9608-dde4afc8ac64}, может быть использован в связке с инструментом gpresult.exe, чтобы найти объект групповой политики, содержащий данное правило.