Windows 2003ドメインでターミナルサーバーファームを実行していますが、TSサーバーに適用されているソフトウェア制限のGPO設定に問題があることがわかりました。設定と問題の詳細は次のとおりです。
すべてのサーバー(ドメインコントローラーとターミナルサーバー)はWindows Server 2003 SP2を実行しており、ドメインとフォレストの両方がWindows 2003レベルです。TSサーバーは、特定のGPOがリンクされ、継承がブロックされているOU内にあるため、TS固有のGPOのみがこれらのTSサーバーに適用されます。ユーザーはすべてリモートであり、ワークステーションがドメインに参加していないため、ループバックポリシー処理は使用しません。ユーザーがアプリケーションを実行できるようにするために「ホワイトリスト」アプローチを採用しているため、パスまたはハッシュルールとして承認および追加したアプリケーションのみが実行できます。ソフトウェア制限のセキュリティレベルを[許可しない]に設定し、強制を[ライブラリを除くすべてのソフトウェアファイル]に設定します。
私が見つけたのは、ユーザーにアプリケーションへのショートカットを与えると、「ホワイトリストに登録された」アプリケーションの追加ルールリストにない場合でも、ユーザーがアプリケーションを起動できることです。ユーザーにアプリケーションのメイン実行可能ファイルのコピーを渡して、それを起動しようとすると、予期した「このプログラムは制限されています...」というメッセージが表示されます。ソフトウェア制限は実際に機能しているようですが、ユーザーがメインの実行可能ファイル自体からアプリケーションを起動するのではなく、ショートカットを使用してアプリケーションを起動する場合を除きます。これは、ソフトウェア制限の使用目的と矛盾しているようです。
私の質問は次のとおりです。他の誰かがこの動作を見たことがありますか?他の誰かがこの動作を再現できますか?ソフトウェアの制限の理解に欠けているものはありますか?ソフトウェアの制限の設定が間違っている可能性はありますか?
編集
問題を少し明確にするには:
より高いレベルのGPOは適用されていません。gpresultsを実行すると、実際にはTSレベルのGPOのみが適用されており、実際にソフトウェアの制限が適用されているのを確認できます。パスのワイルドカードは使用されていません。「C:\ Program Files \ Application \ executable.exe」にあるアプリケーションでテストしていますが、アプリケーションの実行可能ファイルがパスまたはハッシュルールにありません。ユーザーがアプリケーションのフォルダーから直接メインアプリケーションの実行可能ファイルを起動すると、ソフトウェアの制限が適用されます。「C:\ Program Files \ Application \ executable.exe」にあるアプリケーション実行可能ファイルを指すショートカットをユーザーに与えると、プログラムを起動できます。
編集
また、LNKファイルは指定ファイルタイプにリストされているため、実行可能ファイルとして扱う必要があります。つまり、同じソフトウェア制限の設定とルールによってバインドされている必要があります。