Я преподаю программирование в Visual Studio. Мы хотим запустить его на терминальном сервере. Проблема в том, что всякий раз, когда мы компилируем наши программы, Windows отказывается запускать созданный exe-файл. (Я даже не знал, что существует возможность блокировать все exe-файлы. И это не очень смешно, когда мы занимаемся программированием.) Появляется окно сообщения о том, что запуск exe-файлов заблокирован групповой политикой. Это касается как .NET, так и простых Win32 exe-программ. Проблема в том, что наши ИТ-администраторы говорят, что не знают, почему это происходит и как отключить блокировку. Может ли кто-нибудь помочь?
решение1
Во-первых, я надеюсь, что ваш терминальный сервер — это виртуальная машина. Прежде чем продолжить, убедитесь, что у вас есть чистый снимок виртуальной машины. Один из ваших студентов воспользуется возможностью запускать произвольные приложения и испортит ваш сервер. Вам следует периодически возвращаться к снимку и всегда делать это немедленно перед применением исправлений или установкой или обновлением программного обеспечения. Затем сделайте снимок после того, как это будет сделано, но до того, как кто-либо сможет использовать сервер. Таким образом, когда кто-то нарушит ваш сервер, все, что вам нужно будет сделать, — это вернуть снимок.
Есть несколько способов ограничить запуск программ.
В групповой политике следует обратить внимание на две области
Policies -> Windows Settings -> Security Settings:Application Control PoliciesиSoftware Restriction Policies.Также имеется раздел
RestrictRunреестра.И наконец, сторонние приложения могут использовать раздел реестра
Appinit_DLLs.
решение2
Все exe-файлы, включая calc.exe, notepad.exe и explorer.exe или только некоторые exe-файлы? Для этого есть разные подходы.
Если вы пытаетесь заблокировать один исполняемый файл, с которым вы знакомы, вы можете отключить его из GPO, используя параметр: Конфигурация пользователя/Административные шаблоны/Система/Не запускать указанные приложения Windows.
Другой вариант — указать только те приложения, которые вы хотите разрешить, используя: Конфигурация пользователя/Административные шаблоны/Система/Запускать только указанные приложения Windows. Для системы с большим количеством установленных приложений или для корпоративной среды это, вероятно, потребует много работы.
Ни один из двух упомянутых параметров не учитывает, что пользователь может назвать свой exe-файл как захочет, поэтому переименование mydangerousapp.exe в explorer.exe сделает его совершенно легитимным исполняемым файлом.