我已经配置了组策略来阻止除某些应用程序之外的所有应用程序。我已经配置了某个应用程序以允许其运行。但是当用户尝试运行它时,他们仍然会收到通常的组策略阻止此应用程序的消息。我可以在哪里查找有关组策略阻止了哪些应用程序以及阻止原因的更多日志信息?我认为该应用程序启动了一些我需要添加到列表中的其他可执行文件,但我不知道如何找到它。
答案1
您无需指定正在使用的客户端操作系统,但在 W2K3 中,您需要在应用程序事件日志中查找来自源软件限制策略的 EventID 865。其详细信息应类似于以下内容:
您的管理员已根据位置限制对 C:\WINDOWS\system32\ctfmon.exe 的访问,策略规则为 {bcb5037f-a1ff-45d0-9cfc-11fae74fb878},该策略位于路径 C:\WINDOWS\system32\ctfmon.exe
编辑
此外,您没有指定如何阻止应用程序。您使用的是软件限制策略还是“仅运行允许的 Windows 应用程序”或“不运行指定的 Windows 应用程序”GP 设置?我假设您正在使用软件限制策略,并且您正在将允许运行的应用程序列入白名单。如果是这样,您的执行设置是什么,您的指定文件类型是什么,以及您设置了哪些附加规则?您使用的是路径规则还是哈希规则?
答案2
它应该就在系统事件日志中。如果失败,您可以随时安装进程监视器并捕获应用程序启动时启动的内容。
答案3
抱歉,如果我教你如何做傻事,但是否有其他与该应用程序关联的 EXE(在其所有文件夹中进行搜索)。根据我的经验,这通常是原因。
您也可以尝试使用路径异常而不是哈希规则。
答案4
如果您想要增强日志记录,请在目标计算机上添加以下注册表设置:
路径 ->HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
键 ->日志文件名 = “C:\srpLog.txt”
这提供了最详细的日志记录。