Como habilito o teclado na tela no Active Directory neste ambiente altamente restritivo?

1

OBJETIVO

Permitir que usuários do grupo "Alunos" executem %WINDIR%/SYSTEM32/osk.exe

ERRO

This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.  

ANTECEDENTES

A configuração do domínio é altamente restritiva. Embora não seja perfeito, o domínio destina-se a operar de modo que os programas sejam habilitados apenas em uma lista de lista branca.

Configuração

Configuração do Active Directory (AD)

  • Política do Aluno

    • Configuração do computador
    • Políticas

      • Configurações do Windows
      • ...
      • Configurações de segurança

        • ...
        • Políticas de restrição de software
        • ...
        • Regras adicionais
          | Name                                   | Type         | Security Level | Description | Last Modified Date      |
          |----------------------------------------+--------------+----------------+-------------+-------------------------|
          | %windir%\SYSTEM32\osk.exe | Path | Unrestricted | | 12/21/2017 10:11:58 AM |
          | %WINDIR%\SYSTEM32\OskSupport.dll Path | Unrestricted | | | 12/21/2017 10:13:13 AM |
      • ...

      • Políticas de controle de aplicativos

        • AppLocker
        • Regras executáveis
           
          | Action | User             | Name                                  | Condition | Exceptions |
          | Deny   | EDUSRV0\Students | C:\Program Files\Windows Photo Viewer | Path      |            |
          | Allow  | EDUSRV0\Students | %windir%\System32\osk.exe             | Path      |            |
          
      • ...

      • Modelos administrativos: definições de política (arquivos ADMX) recuperados do computador local.
TEXT TOO LONG FOR HERE AND EVEN PASTEBIN!
  • Configuração do usuário
    • Políticas
      • ...
      • Configurações do Windows
      • Configurações de segurança
        • Políticas de restrição de software
        • Regras adicionais

link

Tampas de tela

    
por Derrekito 22.12.2017 / 00:42

1 resposta

1

Você tem muitas políticas restritivas configuradas. Às vezes não é óbvio quais estão produzindo o comportamento indesejado.

Para resolver isso, crie uma unidade organizacional separada que tenha cópias dos GPOs envolvidos e, em seguida, comece a remover ou modificar as políticas até que o comportamento indesejado seja eliminado.

Dependendo de como seus GPOs foram criados, você pode desativá-los seletivamente, um de cada vez, para restringir rapidamente o que contém as configurações problemáticas.

Pessoalmente, gosto de desativar todas as políticas restritivas para provar a mim mesmo que o problema está realmente relacionado à Diretiva de Grupo e adicioná-las novamente em alguns GPOs por vez até que o problema retorne.

    
por 22.12.2017 / 02:02