Прав достаточно: 8 приемов для обхода групповых политик в домене

Правило сертификата

Устанавливаются для файлов, имеющих цифровую подпись издателя. Для создания правила нажмите кнопку Обзор и укажите необходимый сертификат.

Правило для сертификата

Способ идентификации программ с помощью сертификатов достаточно надежен, но и у него существуют минусы. Во-первых, он требует применения центров сертификации. Во-вторых, невозможно установить разные значения правил для программ одного издателя. Например, тот же пасьянс из стандартных игр Windows таким правилом запретить не получится, поскольку оно запретит и запуск ключевых компонентов всей операционной системы.

Трюк 5. Используем исключения

Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:

на программы, запущенные от имени учетной записи SYSTEM;

драйверы и другие приложения уровня ядра;

макросы внутри документов Microsoft Office;

программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).

Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:

Sub GOSHELL() Shell «C:windowssystem32regedit.exe», vbNormalFocus End Sub

В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!

Роли мастеров операций уровня домена

• Мастер относительных идентификаторов RID
• Эмулятор главного контроллера домена PDC
• Мастер инфраструктуры

Мастер RID

Таблица 1. Структура элемента идентификатора

Элемент идентификатора SID	Описание
S1	Указывает ревизию SID. В настоящее время для SID используется только одна ревизия
5	Указывает центр выдачи принципала безопасности. Значение 5 всегда указывается для доменов Windows NT, Windows 2000, Windows 2003, Windows 2008 и Windows 2008 R2
Y1-Y2-Y3	Часть идентификатора SID домена. Для принципалов безопасности, созданных в домене этот элемент идентификатора идентичен
Y4	Относительный идентификатор (RID) для домена, который представляет имя пользователя или группы. Этот элемент генерируется из пула RID на контроллере домена во время создания объекта

«Active Directory – пользователи и компьютеры»Ntdsutil.exefSMORoleOwner

Эмулятор PDC

эмулятор PDC

• Участие в репликации обновлений паролей домена. При изменении или сбросе пароля пользователя, контроллер домена, вносящий изменения, реплицирует это изменение на PDC-эмулятор посредством срочной репликации. Эта репликация гарантирует, что контроллеры домена быстро узнают изменённый пароль. В том случае, если пользователь пытается войти в систему сразу после изменения пароля, контроллер домена, отвечающий на этот запрос, может ещё не знать новый пароль. Перед тем как отклонить попытку входа, этот контроллер домена направляет запрос проверки подлинности на PDC-эмулятор, который проверяет корректность нового пароля и указывает контроллеру домена принять запрос входа. Это означает, что каждый раз при вводе пользователем неправильного пароля проверка подлинности направляется на PDC-эмулятор для получения окончательного заключения;
• Управление обновлениями групповой политики в домене. Как вы знаете, для управления большинства настройками в конфигурации компьютеров и пользователей вашей организации применяются групповые политики. В том случае, если объект групповой политики модифицируется на двух контроллерах домена приблизительно в одинаковое время, то впоследствии, могут возникать конфликты между двумя версиями, которые не разрешаются при репликации объектов групповых политик. Во избежание таких конфликтов, PDC-эмулятор действует следующим образом: при открытии объекта групповой политики, оснастка редактора управления групповой политики привязывается к контроллеру домена, выполняющего роль PDC и все изменения объектов GPO по умолчанию вносятся на PDC-эмулятор;
• Выполнение функции центрального браузера домена. Для обнаружения сетевых ресурсов клиенты используют Active Directory. При открытии окна «Сеть» в операционной системе отображается список рабочих групп и доменов. После того как пользователь откроет указанную рабочую группу или домен он сможет увидеть список компьютеров. Эти списки генерируются посредством службы браузера, и в каждом сетевом сегменте ведущий браузер создаёт список просмотра с рабочими группами, доменами и серверами данного сегмента. После чего центральный браузер объединяет списки всех ведущих браузеров для того, чтобы клиентские машины могли просмотреть весь список просмотра. Думаю, из всех функций эмулятора PDC у вас могут возникнуть вопросы, связанные непосредственно с центральным браузером домена, поэтому, данная тема будет подробно рассмотрена в отдельной статье;
• Обеспечение главного источника времени домена. Так как службы Active Directory, Kerberos, DFS-R и служба репликации файлов FRS используют штампы времени, во всех системах домена необходима синхронизация времени. PDC-эмулятор в корневом домене леса служит ведущим источником времени всего леса. Остальные контроллеры домена синхронизируют время с PDC-эмулятором, а клиентские компьютеры – со своими контроллерами доменов. Гарантию за соответствие времени несёт иерархическая служба синхронизации, которая реализована в службе Win32Time.

«Active Directory – пользователи и компьютеры»Ntdsutil.exefSMORoleOwner

Разновидности

Если кликнуть по пункту меню «Вид», то откроется список доступных типов. Названия говорят сами за себя:

• Обычный (по умолчанию);
• Для инженеров;
• Для программистов;
• Для статистических расчетов.

Также, доступны разнообразные конверторы величин (массы, длины, объема) и вычисление разности двух дат. А Вы думали, что калькулятор умеет выполнять только самые простые арифметические операции! На самом деле, опций очень много. Я неоднократно пользовался приложением для перевода чисел десятичной системы исчисления в двоичную, когда изучал основы программирования.

На этом всё. Тема «как вызвать калькулятор в Windows 7 8 10» исчерпана. Остались вопросы – жду комментарии!

it-tehnik.ru

Сброс групповых политик в редакторе реестра Windows — 1 способ

Одним из способов решения проблемы является сброс локальных групповых настроек безопасности на компьютере. Для проведения изменений в системе, нам понадобится системный инструмент — командная строка Windows.

Перед выполнением изменений в реестре рекомендуется создать копию реестра Windows или создать точку восстановления системы.

Выполните следующие действия:

1. Запустите командную строку от имени администратора.
2. В окне интерпретатора командной строки введите команду:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

3. Нажмите на клавишу «Enter».
4. После выполнения команды, закройте командную строку, а затем перезагрузите ПК.

Что такое Групповые политики (Group Policy)?

Если верить скучным определениям, то групповые политики (или Group Policy) — это эффективный и централизованный механизм управления многочисленными параметрами операционных систем и приложений. Групповые политики позволяют админам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Проще говоря, это довольно мощный инструмент для ограничения в действиях обычных пользователей. Существует масса различных политик и прав, с помощью которых можно запретить вызов диспетчера задач или редактора реестра, запретить доступ к меню «Пуск», а также довольно гибко ограничить запуск программного обеспечения (это реализуется с помощью так называемых Software Restriction Policies). Является ли этот механизм эффективным? Лишь отчасти. Доступ к шорткатам, запуск левого ПО и системных приложений, изменение настроек — все это достаточно легко запрещается с помощью групповых политик, и с этой точки зрения можно сказать спасибо разработчикам ОС. Но, увы, как это обычно бывает, эти политики зачастую можно обойти. Тут стоит сделать оговорку. Все политики можно разбить на две категории — для компов и для пользователей. Групповые политики доступны как в домене, так и на локальном компе. Если речь идет о локальной машине, то их можно посмотреть через специальную оснастку gpedit.msc (secpol.msc). В данной статье основной акцент сделан именно на доменные групповые политики. Итак, приступим.

Настройка стандартных игр windows 8 русском

Хотя игры пасьянс Косынка, Паук и Сапер отсутствуют в базовом пакете, их можно вернуть. Наиболее легкий метод – скачать приложения. Но он не безопасный, так как часто попадаются файлы с вирусами. Тем более, что вернуть стандартные игры для Windows 8 несложно.

• Найдите компьютер, на котором установлена Windows 7;
• Найдите там директорию Microsoft Games и сохраните ее на носитель;
• С того же компьютера найдите папку System32;
• Найдите в ней dll — файл cardgames и скопируйте его;
• Теперь скопируйте этот файл во все папки, расположенные в Microsoft Games. Чтобы вернуть пасьянс Паук — в папку Spider, Солитер – Solitaire и т.д.;
• Загрузите патч с сайта http://forums.mydigitallife.info/threads/33214-How-to-use-Microsoft-Games-from-Windows-7-in-Windows-8-x-10;
• Установите патч и Вы сможете играть в Косынку бесплатно на собственном ПК.

Сброс с помощью редактора локальной групповой политики

Первый способ сброса — использовать встроенный в Windows версий Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики.

Шаги будут выглядеть следующим образом

1. Запустите редактор локальной групповой политики, нажав клавиши Win+R на клавиатуре, введя gpedit.msc и нажав Enter.
2. Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». 
3. Для всех параметров, у которых значение состояния отличается от «Не задана» дважды кликните по параметру и установите значение «Не задано». 
4. Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».

Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).

Трюк 1. Обходим загрузку политик

Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:

1. Админ создает объект групповой политики.
2. Привязывает его к каким-то элементам домена.
3. При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
4. При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.

Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:

1. Вынимаем патч-корд из компа.
2. Включаем комп и логинимся под своей учеткой.
3. Подключаем патч-корд обратно.

Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.

Проверка прав на политику

Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности», он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:

• Пользователь
• Компьютер
• Группа безопасности

По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.

Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)

Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».

Удостоверьтесь, что выставлена галка «Чтение».

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.

LiveInternetLiveInternet

—Рубрики

• Кулинарные рецепты (5788)
• Компьютер,телефон (5384)
• Разное (903)
• Стихи (845)
• Библиотека (701)
• Интернет (652)
• ссылка (568)
• Видео (392)
• ХУДОЖЕСТВЕННЫЕ фильмы (381)
• Документальные фильмы (83)
• 1000 советов автолюбителю (365)
• Изречения, чувства, мысли (353)
• Полезное для себя (330)
• Животные и птицы (288)
• Кроссворды, загадки (277)
• Музыка (237)
• Сделай сам (176)
• Медицина (163)
• Игры (158)
• Фотоальбом (152)
• Фотошоп (148)
• Приколы (147)
• В помощь новичку (134)
• Фото (131)
• Кофе,шоколад,чай (126)
• Поздравитель (119)
• Природа (113)
• Юмор (105)
• Подводный мир (97)
• Пожелания (95)
• Православие (91)
• Флэшки (83)
• Мультфильм (81)
• Развивающие мультфильмы (14)
• Генераторы (71)
• Диеты (67)
• Гороскоп (56)
• Анимации (49)
• FAQ (45)
• Рамки (44)
• Анекдоты (37)
• Плэйкасты (36)
• Схемы (32)
• Открытки (24)
• Мода. Всё для женщин (23)
• Пазлы (21)
• Переводчики (16)
• ТV и Радио (15)
• Крым (14)
• Шрифты (14)
• Картинки (14)
• Рамки с картинками (11)
• Коды (11)
• Эпиграфы (8)
• Политика (5)
• Администрация (3)

Что делать, если компьютер пишет «служба клиент групповой политики… »

К сожалению, однозначно диагностировать причину возникновения данной проблемы практически невозможно, поэтому целесообразно сразу приступить к поиску подходящего метода ее устранения, используя всем известный «метод перебора».

Вариант 1

Если проблема касается какой-то конкретной учётной записи и минует все остальные (т.е. с другим логином и паролем юзер может спокойно пользоваться системой), то следует предпринять следующие действия:

Если данный метод не решил проблему со входом в систему Windows, переходим к следующему варианту.

Вариант 2

Второй способ заключается в создании новой учётной записи и в переносе из неё определённого файла в проблемную учётную запись. Для этого потребуется:

Возможна ситуация, когда после выбора данных параметров не произойдёт ровным счётом ничего — это может указывать на наличие вирусной активности в системе, что и могло, в конечном итоге, привести к возникновению рассматриваемой проблемы.

• Здесь же, в Безопасном режиме, откройте «Панель управления» — «Учётные записи пользователей» — «Управление другой учётной записью».
• Кликните по кнопке «Создание новой учётной записи», укажите имя и обязательно наделите новую учётную запись правами администратора.

В завершение нажмите «ОК» и перезагрузите компьютер.

Далее на этапе выбора учётной записи обратите внимание на только что созданную учётку и дождитесь завершения настройки рабочего стола, после чего потребуется:

• Если загрузка новой учётки прошла успешно, то проведите полную проверку на вирусы, памятуя о том, что вирус может мешать просмотру скрытых файлов.
• Откройте «Мой компьютер» — «Локальный диск С» — «Пользователи».
• Теперь важный момент: если ранее имелось 2 учётные записи, недоступные для входа пользователя в систему, и на основе предложенных выше рекомендаций вы создали 3-ю учётную запись, то в списке раздела «Пользователи» выберите одну из непроблемных учёток и зайдите в неё.
• В открывшемся списке файлов и папок нас интересует файл под названием «NTUSER.dat», который требуется перенести с заменой в аналогичный каталог во всех учётных записях, при открытии которых появляется рассматриваемая проблема.

Вариант 3

Данный способ по смыслу и конечному результату схож с вышепредложенным, но подразумевает выполнение некоторых альтернативных шагов.

Итак, вариант №3 можно применить даже в том случае, если пользователю не удаётся зайти в Безопасный режим.

Для его осуществления может потребоваться загрузочный носитель с образом операционной системы (если не удастся использовать встроенные средства восстановления системы).

• Включите компьютер, нажмите и удерживайте клавишу «F8» до появления окна «Дополнительные варианты загрузки».
• В открывшемся списке возможных сценариев выберите раздел «Устранение неполадок компьютера».
• В первых шагах системой будет предложено выбрать язык и раскладку клавиатуры, а также ввести логин и пароль учётной записи администратора.
• После ввода и подтверждения данных появится окно «Параметры восстановления системы», в котором необходимо выбрать последнюю строку «Командная строка».
• Перед вами откроется консоль, в которой выполните две команды: «net user UserName /add» и «net localgroup администраторы UserName /add» (в зависимости от ОС может потребоваться ввести вторую команду полностью на английском, то есть «net localgroup administrators username /add»).

Далее необходимо повторить действия по копированию файла «NTUSER.dat», подробно описанные в предыдущем методе устранения неисправности.

Вариант 4

Заключительный способ — хороший альтернативный вариант в тех ситуациях, когда проблемная учётная запись является административной.

Первые шаги выполняются аналогично: требуется запустить командную строку, лучше если сделать это через средства восстановления системы.

После запуска командной строки и открытия консоли необходимо выполнить команду «secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose», предназначение которой в сбросе локальной политики безопасности Windows.

Другие сценарии

Групповая политика безопасности позволяет настраивать сценарии выхода. Путь к списку сценариев, запускающихся при выходе пользователя из ОС, аналогичен ведущему к сценариям входа. Настраиваются параметры сценариев для выхода из ОС, выключения компьютера и др. Программа (оснастка) работает и с другими сценариями.

ПОСМОТРЕТЬ ВИДЕО

Корректно настроенные данные ОГП обезопасят компьютеры от несанкционированного вмешательства и намеренного или ненамеренного изменения компонентов системы.

Теперь вы знаете все, про локальную политику безопасности на windows 7. Остались вопросы? Задавайте их ниже.

Установите патч и Вы сможете играть в Косынку бесплатно на собственном ПК

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.