ADC üzerinde k...
 
Bildirimler
Hepsini Temizle

ADC üzerinde kullanıcının .exe çalıştıramaması.gpo izini nedir?  

ilhanulutas
(@ilhanulutas)
Üye

öncelikle sistemimiz hakkında bilgi vereyim; 1 tane DC kurulu olan ve üzerinde likom presto muhasebe programı kurulu server 2003 , 1 tane de ADC olarak kurulu server 2003 var. ADC makinasında administrator tüm .exe çalıştırabilmesine ragmen, kullanıcı tarafında (hatta kullanıcıya admin yetkisi bile verildi.) .exe dosyalarını çalıştırmaya yetkiniz yok diyor. hangi gpo yasaklama geliyor bulamadım.


yardımlarınız için şimdiden teşekkür ederim.

Alıntı
Topic starter Gönderildi : 26/10/2009 13:39
cenkbaranak
(@cenkbaranak)
Üye

merhaba,

 

Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması altında sırası ile Windows Settings/Security Setings/software restriction policies altında yapılandırılmış özel bir kural varmı kontrol edin.

CevapAlıntı
Gönderildi : 26/10/2009 14:07
ilhanulutas
(@ilhanulutas)
Üye

bilgisayar veya kullanıcı tarafında da herhangi bir tanımlı kural yoktur.

CevapAlıntı
Topic starter Gönderildi : 26/10/2009 14:52
cenkbaranak
(@cenkbaranak)
Üye

bu gpo client tarafında yapılmış olabilir mi? herhangi bir clientta local policy kontrolünü yaparmısınız.

CevapAlıntı
Gönderildi : 26/10/2009 15:00
Erdem HACISALIHOGLU
(@ErdemHACISALIHOGLU)
Üye

Merhaba ;


Group Policy penceresinde User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek Software Restiriction Policy alanı ilk defa kullanılıyor ise burada fare ile sağa tıklanır ve Create New Policies seçeneği seçilir, Additional Rules alanı oluşturulur.
Additional Rules alanının üzerine gelip sağ fare tuşuna tıkladığımızda karşımıza bazı seçenekler gelmektedir. Bunlardan New Hash Rule kullanarak izin verilecek EXE uzantılı dosyaları kriptografik özeti çıkartılarak aynı isme sahip sahte dosyalarının kullanımı engellebilir..


Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...


Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.



  • Unrestricted: İzin verme


  • Disallowed: İzin Vermeme

Aktif dizinin bu özellikleri kullanılarak aşağıdaki şekilde örnek bir politika oluşturulabilir.

Öncelikle sistemdeki bütün EXE uzantılı dosyalar yasaklanır. ( Path Rule: *.exe - Disallowed )


Command.exe'yi kısayol ile eklemeyi yasaklamak için PIF dosyaları yasaklanır. ( Path Rule: *.pif - Disallowed )


Son olarak işletim sisteminin ihtiyaç duyduğu sistem dosyaları ve sık kullanılan diğer EXE uzantılı dosyalar için erişim izinleri verilir. Bunlara bir kaç örnek aşağıda gösterilmiştir.



İzin verilmesi gereken exe ler


Internet Explorer: iexplore.exe

Media Player: wmplayer.exe

Standart Bazı Programlar: TextPad.exe, Notepad.exe, MsPaint.exe, Worpad.exe, print.exe, MRT.exe, Calc.exe
Standart Dışı Bazı Uygulamalar

Sıkıştırma Programları: WinRAR.exe

Microsoft Office Ürünleri: EXCEL.EXE, GRAPH.EXE, FRONTPG.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE ,PPTVIEW.EXE, OIS.EXE, MSTORE.EXE, FINDER.EXE, msimn.exe (Office11 klasörüne “C:\Program Files\Microsoft Office\OFFICE11\*.EXE ” denilmelidir.Çünkü programlar içinde çalışan yardımcı exeler var)

Java: javaw.exe, java.exe , javaws.exe, Java Runtime (Java'da oturmuş bir standart yoktur. Bu sebepten şu şekilde bir uygulama yapılmalı C:\Program Files\Java\*\*\*.exe buradaki yıldızlar versiyonları ifade etmektedir.)

Bu kullanıma benzer şekilde Acrobat Reader gibi programlarda C:\Program Files\Adobe\Acrobat 9.0\ReaderAcroRd32.exe yerine C:\Program Files\Adobe\*\Reader\AcroRd32.exe kullanılabilir. Aksi durumda kurallı ifadeyi sağlayan tüm EXE uzantılı dosyaların teker teker eklenmesi gerekmektedir.

CevapAlıntı
Gönderildi : 26/10/2009 15:13
Erdem HACISALIHOGLU
(@ErdemHACISALIHOGLU)
Üye

Selam İlhan ;


Sorun devam ediyor mu ?

CevapAlıntı
Gönderildi : 26/10/2009 19:13
ilhanulutas
(@ilhanulutas)
Üye

selam erdem bey,


"User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek"


bu alana ulaşamıyoruz. yok. ilkez oluşturulacak opsiyonu belirtmişsiniz. ancak o da olmuyor.


 

CevapAlıntı
Topic starter Gönderildi : 26/10/2009 20:03
ilhanulutas
(@ilhanulutas)
Üye

eksik yaptığımız veya yapamadığımız husus ne olabilir???


 

CevapAlıntı
Topic starter Gönderildi : 27/10/2009 14:07
Erdem HACISALIHOGLU
(@ErdemHACISALIHOGLU)
Üye

Merhaba İlhan bey ;


Bu alana administrator olarakta erişemiyormusunuz ? eğer öle ise virüs ten şüphelenmek gerekebilir ...

CevapAlıntı
Gönderildi : 27/10/2009 14:43
ilhanulutas
(@ilhanulutas)
Üye

tekrar selam erdem bey,


şimdi şöyle durum. ADC üzerinde administrator ile oturum açtığımda sorun olmadan (muhasebe, moonstar vs. gibi.) exe tüm programları çalıştırıyorum. yine ADC üzerinde bir kullanıcı ile açtığımda erişim izniniz yok diğer ( kullanıcıya admin grubuna, administratoor yetkisi ile dahil olarak açsam yine yasak geliyor.) ve giriş yapmaya izin vermiyor. ama admin ile oturum açınca herşey normal çalışıyor...bir şu dikkatine çekti o exe klasör içinde dosya açma, silme tüm yetkiler var..ancak mevcut exe de çalıştırmada yasak geliyor...


yardımlarınız için şimdiden teşekkür ederim... 

CevapAlıntı
Topic starter Gönderildi : 27/10/2009 14:53
Erdem HACISALIHOGLU
(@ErdemHACISALIHOGLU)
Üye

Merhaba ;


Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...


Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.



  • Unrestricted: İzin verme

  • Disallowed: İzin Vermeme

buraları kontrol ettiniz mi  ?

CevapAlıntı
Gönderildi : 27/10/2009 17:44
ilhanulutas
(@ilhanulutas)
Üye

selam erdem bey, ugraşmaların sonucunda anlatığınız iki yöntemide uylayabildik, ancak sonuç değişmedi. 29 ekim tatil fırsatın da ADS sıfırlayıp yeniden kurdum. şu anda tüm çalışmalar gayet düzgün koşuyor. (exe 'ler dahil.)


yardımlarınız ve vermiş olduğunuz destek, zaman, emek için çok çok teşekkür ederim.


sağolun.

CevapAlıntı
Topic starter Gönderildi : 31/10/2009 04:48
Erdem HACISALIHOGLU
(@ErdemHACISALIHOGLU)
Üye

Rica ederim , sorunun düzeldiğine çok sevindim ...

CevapAlıntı
Gönderildi : 02/11/2009 12:32
Paylaş: