Я работаю над реализацией политики ограничения программного обеспечения на основе программного обеспечения для локального объекта групповой политики. Если я создаю политику через контроллер домена, у меня есть опция политики ограничения программного обеспечения в пользовательской конфигурации, но в редакторе политики локальной группы у меня нет опции для этого. Когда я ищу изменения, внесенные политикой, применяемой контроллером домена в реестре, они изменяют значения реестра для определенных пользователей по пути HKEY_USERS (SID пользователя) \ Softwares \ Policies \ Microsoft \ Windows \ Safer \ Codeidentifiers У них также есть реестр. pol хранится в папке SYSvol в контроллере домена. Когда я делаю те же изменения в реестре, чтобы блокировать любое другое приложение, приложение блокируется. Я достиг того, что хотел, но правильно ли изменить значения реестра?Как применить политику ограничения программного обеспечения для конкретного пользователя в объекте групповой политики?
PS: - Я использую Igrouppolicyobject API
Если вы имеете в виду вы пишете непосредственно к частям реестра, реализующих параметры политики группы, я бы не рекомендовал его. Помимо проблем совместимости, если реализация когда-либо изменяется, если Windows замечает, что существуют параметры групповой политики, которые не находятся в фактической групповой политике, она может удалить их. –
Спасибо, Гарри, да, я вношу изменения в реестр, но до сих пор я не сталкиваюсь с какими-либо проблемами. Я заблокировал два приложения через два разных объекта групповой политики контроллером Doamin и одним приложением, изменив значения реестра, все три приложения имеют данные на одном и том же место в реестре и все три приложения заблокированы, а настройки не удаляются даже после обновления объекта групповой политики или перезапуска машины. Так что я не получаю, как окна заметят, что есть параметры групповой политики, которые не относятся к политике. – jain
Некоторые части групповой политики (точные правила никогда не были ясными) автоматически удаляются, когда соответствующая политика больше не применяется. Это означает, что при изменении групповой политики или в случае, если движок групповой политики решает сделать очистку по какой-либо причине, искусственно созданные параметры могут быть ошибочно приняты за настройки, вызванные политикой, не требующей более длительных сроков, и автоматически удаляются. Из вашего тестирования я бы предположил, что эти параметры не затронуты, но это может измениться в будущем обновлении. PS: еще один тест, который вы должны сделать, - запустить gpupdate/force. –