हम Windows 2003 डोमेन में एक टर्मिनल सर्वर फ़ार्म चला रहे हैं, और मुझे सॉफ़्टवेयर प्रतिबंध GPO सेटिंग्स के साथ एक समस्या मिली जो हमारे TS सर्वरों पर लागू हो रही है। यहाँ हमारे विन्यास और समस्या का विवरण दिया गया है:
हमारे सभी सर्वर (डोमेन कंट्रोलर और टर्मिनल सर्वर) विंडोज सर्वर 2003 SP2 को चला रहे हैं और डोमेन और जंगल दोनों विंडोज 2003 के स्तर पर हैं। हमारे टीएस सर्वर एक ओयू में हैं जहां हमारे पास विशिष्ट जीपीओ जुड़ा हुआ है और वंशानुक्रम अवरुद्ध है, इसलिए केवल टीएस विशिष्ट जीपीओ इन टीएस सर्वरों पर लागू होते हैं। हमारे उपयोगकर्ता सभी दूरस्थ हैं और हमारे डोमेन में कार्यस्थान शामिल नहीं हैं, इसलिए हम लूपबैक नीति प्रसंस्करण का उपयोग नहीं करते हैं। हम उपयोगकर्ताओं को एप्लिकेशन चलाने की अनुमति देने के लिए "श्वेतसूची" दृष्टिकोण लेते हैं, इसलिए केवल वे एप्लिकेशन जिन्हें हम स्वीकृत करते हैं और पथ या हैश नियमों के रूप में जोड़ते हैं, चलाने में सक्षम हैं। हमारे पास डिस्लेगर्ड के लिए सेट किए गए सॉफ़्टवेयर प्रतिबंधों में सुरक्षा स्तर है और प्रवर्तन "पुस्तकालयों को छोड़कर सभी सॉफ़्टवेयर फ़ाइलों" के लिए सेट है।
मैंने पाया है कि यदि मैं किसी उपयोगकर्ता को किसी एप्लिकेशन का शॉर्टकट देता हूं, तो वे एप्लिकेशन को लॉन्च करने में सक्षम हैं, भले ही वह "श्वेतसूची" वाले एप्लिकेशन के अतिरिक्त नियम सूची में न हो। यदि मैं किसी उपयोगकर्ता को एप्लिकेशन के लिए मुख्य निष्पादन योग्य की एक प्रति देता हूं और वे इसे लॉन्च करने का प्रयास करते हैं, तो उन्हें "इस कार्यक्रम को प्रतिबंधित कर दिया गया है ..." संदेश मिलता है। ऐसा प्रतीत होता है कि सॉफ़्टवेयर प्रतिबंध वास्तव में काम कर रहे हैं, सिवाय इसके कि जब उपयोगकर्ता एप्लिकेशन को मुख्य निष्पादन योग्य से एप्लिकेशन लॉन्च करने के विपरीत शॉर्टकट का उपयोग करके लॉन्च करता है, जो सॉफ़्टवेयर प्रतिबंधों का उपयोग करने के उद्देश्य के विपरीत लगता है।
मेरे प्रश्न हैं: क्या किसी और ने इस व्यवहार को देखा है? क्या कोई और इस व्यवहार को पुन: पेश कर सकता है? क्या सॉफ्टवेयर प्रतिबंधों की मेरी समझ में कुछ छूट गया है? क्या यह संभव है कि मेरे पास सॉफ़्टवेयर प्रतिबंधों में कुछ गलत है?
संपादित करें
समस्या को थोड़ा स्पष्ट करने के लिए:
कोई उच्च स्तरीय GPO लागू नहीं किया जा रहा है। रनिंग gpresults से पता चलता है कि वास्तव में, केवल TS स्तर GPO को लागू किया जा रहा है और मैं वास्तव में अपने सॉफ़्टवेयर प्रतिबंधों को लागू होते हुए देख सकता हूं। कोई पथ वाइल्डकार्ड उपयोग में नहीं हैं। मैं एक ऐसे एप्लिकेशन के साथ परीक्षण कर रहा हूं जो "C: \ Program Files \ Application \ execable.exe" पर है और एप्लिकेशन निष्पादन योग्य किसी भी पथ या हैश नियम में नहीं है। यदि उपयोगकर्ता सीधे एप्लिकेशन के फ़ोल्डर से मुख्य एप्लिकेशन निष्पादन योग्य लॉन्च करता है, तो सॉफ़्टवेयर प्रतिबंध लागू किए जाते हैं। यदि मैं उपयोगकर्ता को एक शॉर्टकट देता हूं जो "C: \ Program Files \ Application \ निष्पादन योग्य.exe" पर निष्पादन योग्य है, तो वे प्रोग्राम लॉन्च करने में सक्षम हैं।
संपादित करें
इसके अलावा, एलएनके फाइलें नामित फाइल प्रकारों में सूचीबद्ध हैं, इसलिए उन्हें निष्पादन योग्य माना जाना चाहिए, जिसका मतलब है कि वे समान सॉफ़्टवेयर प्रतिबंध सेटिंग्स और नियमों से बंधे हैं।