Forum
öncelikle sistemimiz hakkında bilgi vereyim; 1 tane DC kurulu olan ve üzerinde likom presto muhasebe programı kurulu server 2003 , 1 tane de ADC olarak kurulu server 2003 var. ADC makinasında administrator tüm .exe çalıştırabilmesine ragmen, kullanıcı tarafında (hatta kullanıcıya admin yetkisi bile verildi.) .exe dosyalarını çalıştırmaya yetkiniz yok diyor. hangi gpo yasaklama geliyor bulamadım.
yardımlarınız için şimdiden teşekkür ederim.
merhaba,
Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması altında sırası ile Windows Settings/Security Setings/software restriction policies altında yapılandırılmış özel bir kural varmı kontrol edin.
bilgisayar veya kullanıcı tarafında da herhangi bir tanımlı kural yoktur.
bu gpo client tarafında yapılmış olabilir mi? herhangi bir clientta local policy kontrolünü yaparmısınız.
Merhaba ;
Group Policy penceresinde User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek Software Restiriction Policy alanı ilk defa kullanılıyor ise burada fare ile sağa tıklanır ve Create New Policies seçeneği seçilir, Additional Rules alanı oluşturulur.
Additional Rules alanının üzerine gelip sağ fare tuşuna tıkladığımızda karşımıza bazı seçenekler gelmektedir. Bunlardan New Hash Rule kullanarak izin verilecek EXE uzantılı dosyaları kriptografik özeti çıkartılarak aynı isme sahip sahte dosyalarının kullanımı engellebilir..
Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...
Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.
- Unrestricted: İzin verme
- Disallowed: İzin Vermeme
Aktif dizinin bu özellikleri kullanılarak aşağıdaki şekilde örnek bir politika oluşturulabilir.
Öncelikle sistemdeki bütün EXE uzantılı dosyalar yasaklanır. ( Path Rule: *.exe - Disallowed )
Command.exe'yi kısayol ile eklemeyi yasaklamak için PIF dosyaları yasaklanır. ( Path Rule: *.pif - Disallowed )
Son olarak işletim sisteminin ihtiyaç duyduğu sistem dosyaları ve sık kullanılan diğer EXE uzantılı dosyalar için erişim izinleri verilir. Bunlara bir kaç örnek aşağıda gösterilmiştir.
İzin verilmesi gereken exe ler
Internet Explorer: iexplore.exe
Media Player: wmplayer.exe
Standart Bazı Programlar: TextPad.exe, Notepad.exe, MsPaint.exe, Worpad.exe, print.exe, MRT.exe, Calc.exe
Standart Dışı Bazı Uygulamalar
Sıkıştırma Programları: WinRAR.exe
Microsoft Office Ürünleri: EXCEL.EXE, GRAPH.EXE, FRONTPG.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE ,PPTVIEW.EXE, OIS.EXE, MSTORE.EXE, FINDER.EXE, msimn.exe (Office11 klasörüne “C:\Program Files\Microsoft Office\OFFICE11\*.EXE ” denilmelidir.Çünkü programlar içinde çalışan yardımcı exeler var)
Java: javaw.exe, java.exe , javaws.exe, Java Runtime (Java'da oturmuş bir standart yoktur. Bu sebepten şu şekilde bir uygulama yapılmalı C:\Program Files\Java\*\*\*.exe buradaki yıldızlar versiyonları ifade etmektedir.)
Bu kullanıma benzer şekilde Acrobat Reader gibi programlarda C:\Program Files\Adobe\Acrobat 9.0\ReaderAcroRd32.exe yerine C:\Program Files\Adobe\*\Reader\AcroRd32.exe kullanılabilir. Aksi durumda kurallı ifadeyi sağlayan tüm EXE uzantılı dosyaların teker teker eklenmesi gerekmektedir.
Selam İlhan ;
Sorun devam ediyor mu ?
selam erdem bey,
"User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek"
bu alana ulaşamıyoruz. yok. ilkez oluşturulacak opsiyonu belirtmişsiniz. ancak o da olmuyor.
eksik yaptığımız veya yapamadığımız husus ne olabilir???
Merhaba İlhan bey ;
Bu alana administrator olarakta erişemiyormusunuz ? eğer öle ise virüs ten şüphelenmek gerekebilir ...
tekrar selam erdem bey,
şimdi şöyle durum. ADC üzerinde administrator ile oturum açtığımda sorun olmadan (muhasebe, moonstar vs. gibi.) exe tüm programları çalıştırıyorum. yine ADC üzerinde bir kullanıcı ile açtığımda erişim izniniz yok diğer ( kullanıcıya admin grubuna, administratoor yetkisi ile dahil olarak açsam yine yasak geliyor.) ve giriş yapmaya izin vermiyor. ama admin ile oturum açınca herşey normal çalışıyor...bir şu dikkatine çekti o exe klasör içinde dosya açma, silme tüm yetkiler var..ancak mevcut exe de çalıştırmada yasak geliyor...
yardımlarınız için şimdiden teşekkür ederim...
Merhaba ;
Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...
Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.
- Unrestricted: İzin verme
- Disallowed: İzin Vermeme
buraları kontrol ettiniz mi ?
selam erdem bey, ugraşmaların sonucunda anlatığınız iki yöntemide uylayabildik, ancak sonuç değişmedi. 29 ekim tatil fırsatın da ADS sıfırlayıp yeniden kurdum. şu anda tüm çalışmalar gayet düzgün koşuyor. (exe 'ler dahil.)
yardımlarınız ve vermiş olduğunuz destek, zaman, emek için çok çok teşekkür ederim.
sağolun.
Rica ederim , sorunun düzeldiğine çok sevindim ...