目标
允许“学生”组中的用户执行%WINDIR%/SYSTEM32/osk.exe
错误
This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.
背景
域配置非常严格。虽然并不完美,但域的运行方式是,程序只能在白名单基础上启用。
配置
Active Directory(AD)配置
学生政策
- 计算机配置
政策
- Windows 设置
- ...
安全设定
- ...
- 软件限制策略
- ...
- 附加规则
| 名称 | 类型 | 安全级别 | 描述 | 上次修改日期 |
|----------------------------------------+--------------+----------------+-------------+-------------------------|
| %windir%\SYSTEM32\osk.exe | 路径 | 不受限制 | | 2017 年 12 月 21 日上午 10:11:58 |
| %WINDIR%\SYSTEM32\OskSupport.dll 路径 | 不受限制 | | | 2017 年 12 月 21 日上午 10:13:13 |
...
应用程序控制策略
- 应用程序锁
- 可执行规则
| 操作 | 用户 | 名称 | 条件 | 例外 | | 拒绝 | EDUSRV0\Students | C:\Program Files\Windows Photo Viewer | 路径 | | | 允许 | EDUSRV0\Students | %windir%\System32\osk.exe | 路径 | |
...
- 管理模板:从本地计算机检索的策略定义 (ADMX 文件)。
文本太长,无法在这里甚至 Pastebin 中保存!
- 用户配置
- 政策
- ...
- Windows 设置
- 安全设定
- 软件限制策略
- 附加规则
- 政策
https://pastebin.com/raw/C4AciNXA
屏幕截图
答案1
您配置了许多限制性策略。有时,很难看出哪些策略会产生不良行为。
为了解决这个问题,请创建一个包含所涉及 GPO 副本的单独 OU,然后开始删除或修改策略,直到消除不必要的行为。
根据 GPO 的构建方式,您可以有选择地一次禁用一个 GPO,以快速缩小包含有问题的设置的范围。
我个人喜欢禁用全部限制性策略来向自己证明问题确实与组策略有关,然后一次添加几个 GPO,直到问题再次出现。