Eu tenho um ambiente bloqueado onde os usuários são proibidos de fazer basicamente qualquer coisa, exceto executar os programas específicos que especificamos.
Acabamos de mudar um programa do venerável formato de ajuda "WinHELP" para a ajuda HTML (CHM), mas isso parece ter um efeito colateral indesejado e bastante perigoso: quando um usuário clica em um hiperlink dentro da ajuda HTML, uma nova janela do Internet Explorer é aberto e o usuário fica livre para navegar e fazer coisas terríveis no meu servidor (bem, não tanto, mas ainda assim...)
Eu verifiquei a sessão neste caso e a janela do IE está realmente hospedada no mecanismo de ajuda: não há nenhum processo iexplore.exe em execução na sessão do usuário (e não pode: é explicitamente proibido).
Desativamos toda a ajuda agora até encontrarmos uma solução. Estou trabalhando com a equipe de ajuda para remover todos os URLs externos do arquivo de ajuda, mas isso será uma tarefa longa e sujeita a erros. Enquanto isso, verifiquei todas as opções de políticas de grupo, mas devo dizer que não consegui encontrar nada que impedisse a execução de uma janela autônoma do IE hospedada em um processo aleatório.
Não quero desabilitar o WinHTTP ou o mecanismo de renderização do IE ou qualquer coisa do tipo. Mas preciso evitar que todos os usuários membros de um grupo específico de usuários do AD tenham uma janela do IE exibida para eles.
Os servidores estão executando Windows 2003 e Citrix metaframe 4.5.
desde já, obrigado
Responder1
Eu não acho que você pode. Se não estiver sendo executado como IEXPLORE.exe, a única opção disponível é continuar bloqueando a inicialização do aplicativo de ajuda.
Responder2
Qual é o nome do processo quando ele é executado como um arquivo de ajuda? Você pode usar o firewall local para negar acesso à Internet.
Você também pode escrever um script Autohotkey simples para observar a janela aparecer e encerrar a tarefa pelo nome da janela.