Como habilito o teclado na tela no Active Directory neste ambiente altamente restritivo?

Navegue suas respostas
1

OBJETIVO

Permitir que usuários do grupo "Alunos" executem %WINDIR%/SYSTEM32/osk.exe

ERRO 

This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.

ANTECEDENTES

A configuração do domínio é altamente restritiva. Embora não seja perfeito, o domínio destina-se a operar de modo que os programas sejam habilitados apenas em uma lista de lista branca.

Configuração

Configuração do Active Directory (AD)

  • Política do Aluno

    • Configuração do computador

    • Políticas

      • Configurações do Windows
      • ...

      • Configurações de segurança

        • ...
        • Políticas de restrição de software
        • ...
        • Regras adicionais 
          | Name                                   | Type         | Security Level | Description | Last Modified Date      |
          
|----------------------------------------+--------------+----------------+-------------+-------------------------|
          
| %windir%\SYSTEM32\osk.exe              | Path         | Unrestricted   |             | 12/21/2017  10:11:58 AM |
          
| %WINDIR%\SYSTEM32\OskSupport.dll  Path | Unrestricted |                |             | 12/21/2017  10:13:13 AM |

      • ...

      • Políticas de controle de aplicativos

        • AppLocker
        • Regras executáveis 
           
| Action | User             | Name                                  | Condition | Exceptions |
| Deny   | EDUSRV0\Students | C:\Program Files\Windows Photo Viewer | Path      |            |
| Allow  | EDUSRV0\Students | %windir%\System32\osk.exe             | Path      |            |

      • ...

      • Modelos administrativos: definições de política (arquivos ADMX) recuperados do computador local. 
TEXT TOO LONG FOR HERE AND EVEN PASTEBIN!
  • Configuração do usuário
    • Políticas
      • ...
      • Configurações do Windows
      • Configurações de segurança
        • Políticas de restrição de software
        • Regras adicionais

link

Tampas de tela

    
por Derrekito 22.12.2017 / 00:42

1 resposta

1

Você tem muitas políticas restritivas configuradas. Às vezes não é óbvio quais estão produzindo o comportamento indesejado.

Para resolver isso, crie uma unidade organizacional separada que tenha cópias dos GPOs envolvidos e, em seguida, comece a remover ou modificar as políticas até que o comportamento indesejado seja eliminado.

Dependendo de como seus GPOs foram criados, você pode desativá-los seletivamente, um de cada vez, para restringir rapidamente o que contém as configurações problemáticas.

Pessoalmente, gosto de desativar todas as políticas restritivas para provar a mim mesmo que o problema está realmente relacionado à Diretiva de Grupo e adicioná-las novamente em alguns GPOs por vez até que o problema retorne.

    
por 22.12.2017 / 02:02

Tags

'dnsmasq': não é possível fazer ping do cliente pelo nome Ícones do Excel 2016 ausentes da lista de pinos durante a inicialização