Как разрешить пользователям домена устанавливать программы

Использование групповой политики для удаленной установки программного обеспечения

В этой статье описывается, как использовать групповую политику для автоматического распространения программ для клиентских компьютеров или пользователей.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 816102

Сводка

Вы можете использовать групповую политику для распространения компьютерных программ с помощью следующих методов:

• Назначение программ Вы можете назначить распространение программ пользователям или компьютерам. Если вы назначаете программу пользователю, она устанавливается при входе пользователя на компьютер. При первом запуске программы пользователем установка завершается. Если вы назначаете программу компьютеру, она устанавливается при запуске компьютера и доступна для всех пользователей, выполнивших вход на компьютер. При первом запуске программы пользователем установка завершается.
• Публикация программ Вы можете опубликовать распространение программ для пользователей. Когда пользователь выполняет вход на компьютер, опубликованная программа отображается в диалоговом окне Установка и удаление программ, где ее можно установить.

Для автоматической установки групповой политики Windows Server 2003 с помощью программы, работающей в автоматическом режиме, требуются клиентские компьютеры под управлением Microsoft Windows 2000 или более поздней версии.

Создание точки распространения

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, выполнив следующие действия:

1. Войдите на сервер как администратор.
2. Создайте общую сетевую папку, в которую будет помещен пакет установщика Windows (MSI-файл), который требуется распространить.
3. Задайте разрешения для общей папки, чтобы разрешить доступ к пакету распространения.
4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить MSI-файл, запустите административную установку ( setup.exe /a ), чтобы скопировать файлы в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики, который будет использоваться для распространения пакета программного обеспечения, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Откройте вкладку Групповая политика и щелкните Создать.
4. Введите имя для новой политики и нажмите клавишу ВВОД.
5. Щелкните Свойства и откройте вкладку Безопасность.
6. Снимите флажок групповая политика для групп безопасности, к которым эта политика не применяется.
7. Установите флажок Применить групповую политику для групп, к которым будет применяться эта политика.
8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам под управлением Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, которые выполняют вход на одну из этих рабочих станций, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите нужную политику, затем нажмите Изменить.
4. В разделе Конфигурация компьютера разверните узел Конфигурация программ.
5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\\\.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютера и сделать его доступным для установки из списка Установка и удаление программ в панели управления, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите нужную политику, а затем нажмите Изменить.
4. В разделе Конфигурация пользователя разверните узел Конфигурация программ.
5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\file server\share\file name.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Примечание. Приведенные ниже действия могут отличаться в зависимости от установленной на компьютере версии операционной системы Windows. В этом случае для выполнения таких действий следует обратиться к документации к продукту.

1. Войдите на рабочую станцию под управлением Windows 2000 Professional или Windows XP Professional с помощью учетной записи, для которой был опубликован пакет.
2. В Windows XP нажмите кнопку Пуск и выберите Панель управления.
3. Дважды щелкните пункт Установка и удаление программ и нажмите Установка программ.
4. В списке Установка программ из локальной сети выберите опубликованную программу и нажмите кнопку Добавить. Программа установлена.
5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Повторное развертывание пакета

В некоторых случаях может потребоваться повторное развертывание пакета программного обеспечения (например, при обновлении или изменении пакета). Чтобы выполнить повторное развертывание пакета, следуйте указанным ниже действиям:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Выберите контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна Групповая политика щелкните правой кнопкой мыши программу, перейдите к пункту Все задачи, затем нажмите Развернуть приложение заново. Появится следующее сообщение:

Повторное развертывание этого приложения приведет к повторной установке приложения везде, где оно уже установлено. Продолжить?

Удаление пакета

Чтобы удалить опубликованный или назначенный пакет, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Выберите контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна Групповая политика щелкните программу правой кнопкой мыши, наведите указатель на пункт Все задачи и нажмите Удалить.
7. Выполните одно из следующих действий:
   • Выберите Немедленное удаление этого приложения с компьютеров всех пользователей, затем нажмите кнопку ОК.
   • Выберите Разрешить использование уже установленного приложения, но запретить новую установку, затем нажмите кнопку ОК.
8. Закройте оснастку «Групповая политика», нажмите кнопку ОК, затем закройте оснастку «Active Directory — пользователи и компьютеры».

Устранение неполадок

Опубликованные пакеты отображаются на клиентском компьютере после использования групповой политики для их удаления.

Такая ситуация может возникнуть, если пользователь установил программу, но не использовал ее. Установка завершается при первом запуске опубликованной программы пользователем. После этого групповая политика удаляет программу.

Обратная связь

Были ли сведения на этой странице полезными?

Как разрешить пользователям домена устанавливать программы

1С-ТорВард

Группа: Старейшины
Сообщений: 2192
Регистрация: 28.11.2004
Из: Москва

vicwanderer
Таким «макаром» Корел не поставить! Он еще и кое-какие действия под себя в системе делает. Поэтому у себя я его ставлю из-под админа компа сам, а потом уж пользователи им пользуются. По другому — никак не получается! Либо сам админ ставит такие проги, либо «поднимай» права юзверям до администратора компа, на котором надо это поставить!

Хорошую информацию трудно добыть.
Сделать с ней что-нибудь — еще труднее.
Люк Скайуокер
2.02.2006 — 20:19

Группа: Full member
Сообщений: 118
Регистрация: 14.12.2005

levnev, так я и поднял юзеру права до локального администратора, но не хорошо это. А еще ему какие-то специфичные программы ставить, так что фиг его знает насчет прав опытного пользователя(хотя бы примеры привели какие программы можно поставить с правами опытного пользователя). Так как же выкрутиться из ситуации?

ЗЫ Как вариант я вижу такое 1) пусть пользователь пишет бумажку на имя директора, а тот ему разрешает/неразрешает
2) Самому бегать каждый раз устанавливать программы когда нужно пользователю(фиг знает что).

3.02.2006 — 00:36

1С-ТорВард

Группа: Старейшины
Сообщений: 2192
Регистрация: 28.11.2004
Из: Москва

vicwanderer
У меня в конторе обычно так и делается! Домен, все дела. Если пользователю нужно работать или ставить такой софт, то пишет служебную руководителю. Если руковод завизировал, то я этому пользователю (доменному или локально, смотря как он на этом компе работает) «поднимаю» его права на локальную машину, как администратора, но при этом предупреждаю, что он несет ответственность за работоспособность компа и пр.

Установка программ с помощью групповых политик в домене Active Directory

15.11.2022

itpro

Active Directory, Windows 10, Windows Server 2019, Групповые политики

комментариев 40

В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.

Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.

Получите установочный MSI пакет программы

Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts ).

Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.

Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:

• Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
• Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.

Создаем GPO для установки программы на компьютеры пользователей

Теперь нужно создать новую политику в домене для установки вашего ПО.

1. Откройте консоль управления доменными GPO ( gpmc.msc );
2. Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
3. Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
4. Выберите пункт меню New ->Package;
5. Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
6. Выберите опцию “Advanced” и нажмите OK;

Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.

В открывшемся окне можно настроить дополнительные параметры MSI пакета. Я просто изменю отображаемое имя с Teams Machine-Wide Installer на Microsoft Teams Client;

На вкладке Deployment нажмите кнопку Advanced и включите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);

Перезагрузите компьютер для обновления настроек GPO и при следующей загрузке компьютера будет выполнена установка программы. Она появится в списке установленных программ Windows. Для анализа событий установки включите фильтр по источнику Application Management Group в разделе System Event Viewer-а.

В Windows 11 уже встроенный чат клиент Teams, но это не полноценный клиент Microsoft Teams.

Можно показывать детальный процесс применения политики на компьютере. Для этого включите параметр Display highly detailed status messages в Computer Configuration -> Policies -> Administrative Templates -> System. Теперь при загрузке Windows будет отображаться все выполняемые в фоне процессы. При установке программ через GPO появится надпись Installing managed software AppName;

Если групповая политика установки приложение не применяется к компьютерам, используйте стандартные средства диагностики описаны в статье “Почему к компьютеру не применяется групповая политика” и команду gpresult.

Изменение параметров MSI пакета для установки через GPO

В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:

msiexec /i Teams_windows_x64.msi OPTIONS=»noAutoStart=true» ALLUSERS=0

Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.

Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).

Откройте ваш MSI пакет с помощью Orca.

Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:

Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL

Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.

Выберите All –> Task -> Remove

Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.

Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.

Основные недостатки метода установки MSI программ через GPO:

1. Поддерживаются только MSI и ZAP установщики;
2. Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
3. Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
4. Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.

В современных версиях Windows 10 и 11 можно использовать пакетный менеджер winget для установки программ.

Предыдущая статья Следующая статья

Администрирование политик ограниченного использования программ

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

• Определение списка разрешений и инвентаризации приложений для политик ограничений программного обеспечения
• Работа с правилами политик ограниченного использования программ
• Использование политик ограничений программного обеспечения для защиты компьютера от вируса электронной почты

Открытие окна «Политики ограниченного использования программ»

• Для локального компьютера
• Для домена, сайта или подразделения, и вы находитесь на сервере-члене или на рабочей станции, присоединенной к домену.
• Для домена или подразделения, а также на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration
• Для сайта и на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration

Для локального компьютера

1. Откройте окно «Локальные параметры безопасности».
2. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Параметры безопасности/Политики ограниченного использования программ

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

1. Откройте консоль управления (MMC).
2. В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
3. Щелкните элемент Редактор объектов групповой политики и затем нажмите кнопку Добавить.
4. В окне Выбор объекта групповой политики нажмите кнопку Обзор.
5. Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, сайте или подразделении или создайте новый объект, а затем нажмите кнопку «Готово«.
6. Нажмите кнопку Закрыть, а затем кнопку ОК.
7. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
3. Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
4. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику. Где?
   • Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
3. Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
4. В дереве консоли щелкните Политики ограниченного использования программ. Where
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
• Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
• Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.

Создание новых политик ограниченного использования программ

1. Откройте окно «Политики ограниченного использования программ».
2. В меню Действие щелкните Создать политику ограниченного использования программ.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
  • Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

  Добавление или удаление назначенного типа файлов

  1. Откройте окно «Политики ограниченного использования программ».
  2. В области сведений дважды щелкните элемент Назначенные типы файлов.
  3. Выполните одно из следующих действий.
     • Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
     • Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
  • Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
    • Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
    • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

    Запрет применения политик ограниченного использования программ к локальным администраторам

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Применение.
    3. В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
    • Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
    • Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
    • Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.
    • Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

    Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Уровни безопасности.
    3. Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

    В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

    • Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
    • Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
    • В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
    • Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
    • Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.

    Применение политик ограниченного использования программ к библиотекам DLL

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Применение.
    3. В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
    • Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
    • По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.
    Похожие публикации:

    1. Jetaudio что это за программа
    2. Как убрать негатив с экрана
    3. Как убрать пунктир в ворде
    4. Принтер epson печатает с полосами что делать