Forum

ADC üzerinde k...
 
Bildirimler
Hepsini Temizle

ADC üzerinde kullanıcının .exe çalıştıramaması.gpo izini nedir?

13 Yazılar
3 Üyeler
0 Reactions
1,501 Görüntüleme
(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

öncelikle sistemimiz hakkında bilgi vereyim; 1 tane DC kurulu olan ve üzerinde likom presto muhasebe programı kurulu server 2003 , 1 tane de ADC olarak kurulu server 2003 var. ADC makinasında administrator tüm .exe çalıştırabilmesine ragmen, kullanıcı tarafında (hatta kullanıcıya admin yetkisi bile verildi.) .exe dosyalarını çalıştırmaya yetkiniz yok diyor. hangi gpo yasaklama geliyor bulamadım.


yardımlarınız için şimdiden teşekkür ederim.

 
Gönderildi : 26/10/2009 14:39

(@cenkbaranak)
Gönderiler: 253
Reputable Member
 

merhaba,

 

Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması altında sırası ile Windows Settings/Security Setings/software restriction policies altında yapılandırılmış özel bir kural varmı kontrol edin.

 
Gönderildi : 26/10/2009 15:07

(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

bilgisayar veya kullanıcı tarafında da herhangi bir tanımlı kural yoktur.

 
Gönderildi : 26/10/2009 15:52

(@cenkbaranak)
Gönderiler: 253
Reputable Member
 

bu gpo client tarafında yapılmış olabilir mi? herhangi bir clientta local policy kontrolünü yaparmısınız.

 
Gönderildi : 26/10/2009 16:00

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Merhaba ;


Group Policy penceresinde User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek Software Restiriction Policy alanı ilk defa kullanılıyor ise burada fare ile sağa tıklanır ve Create New Policies seçeneği seçilir, Additional Rules alanı oluşturulur.
Additional Rules alanının üzerine gelip sağ fare tuşuna tıkladığımızda karşımıza bazı seçenekler gelmektedir. Bunlardan New Hash Rule kullanarak izin verilecek EXE uzantılı dosyaları kriptografik özeti çıkartılarak aynı isme sahip sahte dosyalarının kullanımı engellebilir..


Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...


Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.



  • Unrestricted: İzin verme


  • Disallowed: İzin Vermeme

Aktif dizinin bu özellikleri kullanılarak aşağıdaki şekilde örnek bir politika oluşturulabilir.

Öncelikle sistemdeki bütün EXE uzantılı dosyalar yasaklanır. ( Path Rule: *.exe - Disallowed )


Command.exe'yi kısayol ile eklemeyi yasaklamak için PIF dosyaları yasaklanır. ( Path Rule: *.pif - Disallowed )


Son olarak işletim sisteminin ihtiyaç duyduğu sistem dosyaları ve sık kullanılan diğer EXE uzantılı dosyalar için erişim izinleri verilir. Bunlara bir kaç örnek aşağıda gösterilmiştir.



İzin verilmesi gereken exe ler


Internet Explorer: iexplore.exe

Media Player: wmplayer.exe

Standart Bazı Programlar: TextPad.exe, Notepad.exe, MsPaint.exe, Worpad.exe, print.exe, MRT.exe, Calc.exe
Standart Dışı Bazı Uygulamalar

Sıkıştırma Programları: WinRAR.exe

Microsoft Office Ürünleri: EXCEL.EXE, GRAPH.EXE, FRONTPG.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE ,PPTVIEW.EXE, OIS.EXE, MSTORE.EXE, FINDER.EXE, msimn.exe (Office11 klasörüne “C:\Program Files\Microsoft Office\OFFICE11\*.EXE ” denilmelidir.Çünkü programlar içinde çalışan yardımcı exeler var)

Java: javaw.exe, java.exe , javaws.exe, Java Runtime (Java'da oturmuş bir standart yoktur. Bu sebepten şu şekilde bir uygulama yapılmalı C:\Program Files\Java\*\*\*.exe buradaki yıldızlar versiyonları ifade etmektedir.)

Bu kullanıma benzer şekilde Acrobat Reader gibi programlarda C:\Program Files\Adobe\Acrobat 9.0\ReaderAcroRd32.exe yerine C:\Program Files\Adobe\*\Reader\AcroRd32.exe kullanılabilir. Aksi durumda kurallı ifadeyi sağlayan tüm EXE uzantılı dosyaların teker teker eklenmesi gerekmektedir.

 
Gönderildi : 26/10/2009 16:13

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Selam İlhan ;


Sorun devam ediyor mu ?

 
Gönderildi : 26/10/2009 20:13

(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

selam erdem bey,


"User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek"


bu alana ulaşamıyoruz. yok. ilkez oluşturulacak opsiyonu belirtmişsiniz. ancak o da olmuyor.


 

 
Gönderildi : 26/10/2009 21:03

(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

eksik yaptığımız veya yapamadığımız husus ne olabilir???


 

 
Gönderildi : 27/10/2009 15:07

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Merhaba İlhan bey ;


Bu alana administrator olarakta erişemiyormusunuz ? eğer öle ise virüs ten şüphelenmek gerekebilir ...

 
Gönderildi : 27/10/2009 15:43

(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

tekrar selam erdem bey,


şimdi şöyle durum. ADC üzerinde administrator ile oturum açtığımda sorun olmadan (muhasebe, moonstar vs. gibi.) exe tüm programları çalıştırıyorum. yine ADC üzerinde bir kullanıcı ile açtığımda erişim izniniz yok diğer ( kullanıcıya admin grubuna, administratoor yetkisi ile dahil olarak açsam yine yasak geliyor.) ve giriş yapmaya izin vermiyor. ama admin ile oturum açınca herşey normal çalışıyor...bir şu dikkatine çekti o exe klasör içinde dosya açma, silme tüm yetkiler var..ancak mevcut exe de çalıştırmada yasak geliyor...


yardımlarınız için şimdiden teşekkür ederim... 

 
Gönderildi : 27/10/2009 15:53

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Merhaba ;


Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...


Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.



  • Unrestricted: İzin verme

  • Disallowed: İzin Vermeme

buraları kontrol ettiniz mi  ?

 
Gönderildi : 27/10/2009 18:44

(@ilhanulutas)
Gönderiler: 10
Active Member
Konu başlatıcı
 

selam erdem bey, ugraşmaların sonucunda anlatığınız iki yöntemide uylayabildik, ancak sonuç değişmedi. 29 ekim tatil fırsatın da ADS sıfırlayıp yeniden kurdum. şu anda tüm çalışmalar gayet düzgün koşuyor. (exe 'ler dahil.)


yardımlarınız ve vermiş olduğunuz destek, zaman, emek için çok çok teşekkür ederim.


sağolun.

 
Gönderildi : 31/10/2009 05:48

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Rica ederim , sorunun düzeldiğine çok sevindim ...

 
Gönderildi : 02/11/2009 13:32

Paylaş: