Nous exploitons une ferme de serveurs Terminal dans un domaine Windows 2003, et j'ai trouvé un problème avec les paramètres GPO de Restrictions de Logiciels qui sont appliqués à nos serveurs TS. Voici les détails de notre configuration et du problème :
Tous nos serveurs (contrôleurs de domaine et serveurs Terminal) exécutent Windows Server 2003 SP2 et le domaine et la forêt sont tous deux au niveau Windows 2003. Nos serveurs TS sont dans une OU où nous avons des GPO spécifiques liées et nous avons bloqué l'héritage, donc seuls les GPO spécifiques aux TS sont appliqués à ces serveurs TS. Nos utilisateurs sont tous distants et n'ont pas de postes de travail rejoignant notre domaine, donc nous n'utilisons pas le traitement des stratégies de bouclage. Nous adoptons une approche de "liste blanche" pour autoriser les utilisateurs à exécuter des applications, donc seules les applications que nous approuvons et ajoutons en tant que règles de chemin ou de hachage peuvent s'exécuter. Nous avons défini le Niveau de Sécurité des Restrictions de Logiciels sur Interdit et l'Application est définie sur "Tous les fichiers logiciels sauf les bibliothèques".
Ce que j'ai constaté, c'est que si je donne à un utilisateur un raccourci vers une application, il peut lancer l'application même si elle ne figure pas dans la liste des règles supplémentaires des applications en "liste blanche". Si je donne à un utilisateur une copie de l'exécutable principal de l'application et qu'il tente de le lancer, il reçoit le message attendu "ce programme a été restreint...". Il semble que les Restrictions de Logiciels fonctionnent effectivement, sauf lorsque l'utilisateur lance une application à l'aide d'un raccourci plutôt que de lancer l'application à partir de l'exécutable principal lui-même, ce qui semble contredire le but d'utiliser les Restrictions de Logiciels.
Mes questions sont les suivantes : Quelqu'un d'autre a-t-il remarqué ce comportement ? Quelqu'un d'autre peut-il reproduire ce comportement ? Est-ce que je manque quelque chose dans ma compréhension des Restrictions de Logiciels ? Est-il probable que j'ai mal configuré les Restrictions de Logiciels ?
ÉDIT
Pour clarifier un peu le problème :
Aucune GPO de niveau supérieur n'est en vigueur. L'exécution de gpresults montre en fait que seuls les GPO de niveau TS sont appliqués et je peux effectivement voir mes Restrictions de Logiciels appliquées. Aucun joker de chemin n'est utilisé. Je teste avec une application qui se trouve à "C:\Program Files\Application\executable.exe" et l'exécutable de l'application n'est pas dans une règle de chemin ou de hachage. Si l'utilisateur lance l'exécutable principal de l'application directement à partir du dossier de l'application, les Restrictions de Logiciels sont appliquées. Si je donne à l'utilisateur un raccourci pointant vers l'exécutable de l'application à "C:\Program Files\Application\executable.exe", alors il peut lancer le programme.
ÉDIT
De plus, les fichiers LNK sont répertoriés dans les Types de Fichiers Désignés, donc ils devraient être traités comme exécutables, ce qui signifie qu'ils sont soumis aux mêmes paramètres et règles de Restrictions de Logiciels.