エンドポイントユーザーが特定のEXEファイルのみを実行できるようにするために、指定されたWindowsアプリケーションのみを実行するそして、それらのアプリケーションをホワイトリストに追加しました。 自分自身を締め出すことを避けるために、ホワイトリストに を追加しましたgpedit.mscが、大きな間違いで、今ではcmd からさえcmd.exeアクセスできません。gpedit.msc
注記: この問題を検索したところ、考えられる解決策の 1 つがRD /s /Qcmd ですが、これは Windows 7 の解決策であり、Windows 10 でも機能しますか。
答え1
これはかなり古い情報だとは思いますが、ちょうどその問題に遭遇したばかりで、私にとって有効な解決策が投稿されていないようです。
要約:mmc スナップイン (GPO エディター) を介してネットワーク上の別の PC から影響を受ける PC のポリシーを変更し、影響を受ける PC を指すことができます。
コンピューターがドメイン内にあり、別の PC からアクセス可能であると仮定すると、他の場所で mmc.exe を実行 (管理ワークステーションが必要と思われます) -> スナップインを追加 -> グループ ポリシー オブジェクト エディター -> 追加。
表示されるグループ ポリシー オブジェクトの選択ウィザードで、[参照] をクリックしてグループ ポリシー オブジェクトを変更します -> [別のコンピューター] -> [参照] -> 影響を受ける PC の名前 -> 名前を確認して確認 -> [OK] -> [OK] -> [完了] -> [OK]。
これにより、影響を受ける PC のポリシーが導入され、それに応じて変更/修正することができました。
答え2
要約: mmc スナップイン (GPO エディター) を介してネットワーク上の別の PC から影響を受ける PC のポリシーを変更し、影響を受ける PC を指すようにすることができます。
コンピューターがドメイン内にあり、別の PC からアクセス可能であると仮定すると、別の場所で mmc.exe を実行します (管理ワークステーションが必要になると思います) -> スナップインを追加 -> グループ ポリシー オブジェクト エディター -> 追加。表示されるグループ ポリシー オブジェクトの選択ウィザードで、[参照] をクリックしてグループ ポリシー オブジェクトを変更します -> 別のコンピューター -> 参照 -> 影響を受ける PC の名前 -> 名前を確認して確認 -> OK -> OK -> 完了 -> OK
試してみましたが、問題なく動作しました。
答え3
c:\Windows\System32\cmd.exe を、たとえば c:\temp\ にコピーして、実行を許可したアプリと同じ名前に名前を変更します。たとえば、notepad.exe を許可している場合は、notepad.exe に名前を変更します。名前を変更したら、新しい名前の cmd.exe を管理者として実行します。開いたら MMC.exe を実行し、gpedit.msc を再度開いて、「グループ ポリシー エディターからロックアウトされました」を無効にします。