В терминальной сессии

1. На сервере выберите пункт "Start" → "Administrative Tools" → "Local Security Policy". Раскройте в левом окне ветвь "Security Settings" → "Software Restriction Policies" (политики ограниченного использования программ). Из контекстного меню объекта "Software Restriction Policies" выберите "New Software Restriction Policies". Выделите пункт "Software Restriction Policies". В правом окне появятся новые элементы.

2. В правом окне, из контекстного меню объекта "Enforcement" (принудительное воздействие) выберите пункт "Properties". В диалоге "Enforcement Properties" задайте следующие параметры:

- установите галочку "All software files except libraries (such as DLLs)" (политика должна быть применена ко всем исполняемым файлам, кроме динамических библиотек dll);

- установите галочку "All users except local administrators" (политика должна быть применена ко всем пользователям, кроме локальных администраторов).

Нажмите кнопку "OK".

3. Войдите в подкаталог "Additional Rules" (Дополнительные правила).

Удалите все существующие записи в этом подкаталоге (которые разрешают запуск программ из системных каталогов и из каталога "Program Files"). Для этого выделите все записи и нажмите клавишу "Del". Подтвердите действие, нажав на кнопку "Yes".

4. Из контекстного меню объекта "Additional Rules" выберите пункт "New Path Rule…". В диалоге "New Path Rule", в пункте "Path:" задайте значение "%systemroot%\explorer.exe". В пункте "Security level:" задайте вариант "Unrestricted" (нет запрета на запуск). Нажмите кнопку "OK".

5. Повторите пункт 4 для путей:

- "%systemroot%\system32\notepad.exe";

- "%systemroot%\system32\calc.exe".

6. Из контекстного меню объекта "Additional Rules" выберите пункт "New Path Rule…". В диалоге "New Path Rule", в пункте "Path:" задайте значение "%systemroot%\regedit.exe". В пункте "Security level:" задайте вариант "Disallowed" (запрет на запуск). Нажмите кнопку "OK".

7. В левом окне консоли управления групповой политикой выберите пункт "Security Levels". В правом окне выберите элемент "Disallowed" и из контекстного меню этого объекта выберите пункт "Properties". В диалоге "Disallowed Properties" нажмите кнопку "Set as Default" (установить по умолчанию политику, учитывающую ограничения на запуск программ).

8. Примените политику безопасности. Для этого выберите "Start" → "Run…". В диалоге "Run" наберите команду "gpupdate" и нажмите кнопку "OK". Дождитесь, пока не закроется создавшееся консольное окно.

Таким образом, непривилегированные пользователи не смогут запускать никакие приложения, кроме явно заданных в пунктах 4 и 5.

9. На TermClient создайте терминальную сессию к TermServer под непривилегированным пользователем User8 и проверьте возможность запуска разных программ, в том числе разрешенных и запрещенных. Убедитесь, что запускается программа Explorer - появляется рабочий стол пользователя. В диалоге "Run" (вызывается с помощью меню "Start" → "Run…") наберите и запустите программы:

- "notepad" (блокнот);

- "calc" (калькулятор);

- "regedit" (редактор реестра ОС).

Вопрос. Какие программы запустились, а какие нет?

10. Попробуйте также запустить программу "iexplore" (Internet Explorer). Запустилась ли программа?

11. Закройте терминальную сессию пользователя User8.

12. На сервере TermServer, в программе "Local Security Policy", аналогично пункту 4, пропишите разрешение на запуск процесса "iexplore": в диалоге "New Path Rule…" задайте путь "%ProgramFiles%\Internet Explorer\iexplore.exe" и выберите в пункте "Security level:" вариант "Unrestricted" (нет запрета на запуск). Обновите локальную политику безопасности аналогично пункту 8.

13. На клиенте TermClient зайдите через терминальную сессию на сервер TermServer под учетной записью User8. Попробуйте запустить программу "iexplore" из диалога "Run".

Вопрос. Запустилась ли программа?