GPO mall CWDIllegalInDllSearchi jaoks - Kuidas

GPO mall CWDIllegalInDllSearchi jaoks

Lisatud on lihtne vorm, mille abil saab rakendada GPO-põhist CWDIllegalInDllSearchi registri seadete haldamist.
Mall võib olla selleks otstarbekas, sest tõenäoliselt elame selle leevendamisega lähiaastatel ja peame rakendama meie registri tweaksid igal uuel masinal, mille me selle aja jooksul maksame. Seda tehes GPO-ga võimaldab meil kasutada OU-sid ja / või WMI filtreerimist, et hõlmata vajadusel erinevaid rakenduse erandeid, vältides samas vajadust Cowboy kultuuri järele, et rakendada meie erandeid.

Märkused, parandused ja täiendav tarkus on väga teretulnud.

Muuda -
20100831 Esialgne pakkumine
20100831 Spiceuseri soovitus "session_manager" võtme selgitamiseks peaks olema 2, kui olete lõpetanud

6 sammu kokku

1. samm: mõistke käitumist.

See GPO-malli tulemuseks on mõnede sihtmärkmehhanismide mõnede muudatuste tegemine. See mall hõlmab "haldamata" seadeid, nii et seal on üks hoiatus.

Mahtu versioon - tavapäraste "hallatavate" seadistustega ei muuda poliitika sihtmärgi masina registrit - ükski selle registri väärtustest tegelikult ei muutu. Kui te küsite, milline on antud registri väärtus, asendatakse poliitika väärtus viimase sekundiga ja see väärtus on see, mida kasutatakse. Kui poliitika läheb? Asendamine peatub ... nii et REAL-i väärtust kasutatakse uuesti.

Haldamata poliitikad seda ei tee. Haldamata poliitikad jäljendavad .reg-faili ühendamist. Režiim "haldamata" seadetega on "viimane kirjutamine". Ja nagu ka .regsi ühendamine, jäävad seaded kinni, kui reegel on sidumata või keelatud.

See "hallatud / haldamata" erinevus ei ole tavaliselt selle konkreetse CWD-stsenaariumi puhul probleem, sest me tegeleme ärakasutamise leevendamistega, mis peavad "kinni pidama" ükskõik mida, ja enamik meist kavatseb seda teha reg-failide kaudu. . Kui te kohandate seda ADM-taktikat teiste ülesannetega, siis peate seda käitumist silmas pidama.

Lõpuks ... enamikus toodetes võib esineda paljundus- ja replikatsioonihäireid, nii et olge kannatlik.

2. etapp: paigaldage sobiv plaaster MS-st.

Mingil hetkel kasutage tööriista CWDIllegalInDllSearch. MSKB on siin:

http://support.microsoft.com/kb/2264107

Võite plaastri kohe kasutada ja seejärel töötada selle malliga või töötate selle malliga (ja kasutate seda), enne kui plaaster on paigaldatud.

Igal kasutuselevõtu järjekorral on eelis teiste ees. Kuna poliisil ei ole mingit mõju ilma plaastri kasutamiseta, muudaks pingutamata töötamine elu lihtsaks, kui soovite näha, kus ja kuidas GPO-d rakendatakse. Kuid sa oled täielikult avatud, kuni plaaster on rakendatud - nii et risk võib nõuda, et plaastri ASAP-i kasutusele võtke, eeldades, et peate hoolitsema oma GPO eksperimentide eest.

3. samm: malli kohandamine

Lisatud fail sisaldab kahte "Starter" poliitikat. Teil on oodata, et kohandate selle faili Notepadiga, et katta kõik teie tootmiseks kohandatud rakendused.

Faili avamisel oma lemmikteksti redaktoris märkate, et iga konkreetne poliitikavaldkond on tähistatud "POLIITIKA" ja "LÕPPPOLIITIKA".

Faili esimest poliitikat "Global Search Path Behavior" saab jätta üksi. See reegel katab seansi sessiooni_menüü võtme kirje ja see on vaikimisi käitumine.

Teine reegel on rakenduskohaste ülekirjutuste puhul. Kopeerite / kleepite kogu Outlooki "POLIITIKA" ... "END POLICY" ploki (kaasa arvatud) iga rakenduse jaoks, mis vajab kohandamist.

Valisin proovi Outlook.exe; iga täiendava erandi kopeerimisel / kleepimisel peate muutma teksti "outlook.exe" kahes kohas: esimesena POLICY nimes ja teist KEYNAME lõpus.

Näiteks,
POLIITIKA "my_other.exe"
KEYNAME "Tarkvara Microsoft Windows NT CurrentVersion Pildifailide täitmisvalikud" my_other.exe "
...
LÕPPPOLIITIKA

Kui kõik teie teadaolevad erandid on mallile lisatud, salvestage see koht, mida teie GPO redigeerimisseade suudab jõuda (kastil 2k3 on ADM-failide konventsioon c: windows).


CWDIllegalInDllSearch.adm

4. samm: töötage välja väljamaksestrateegia

Selle kirjutamisel eeldan, et erinevatel masinatel on erinevad erandi nõuded. See võib siiski olla teie jaoks nii. Kui see on nii, siis tahate kas OU hierarhiat mängida ja / või kasutada WMI filtreerimist jt, et pakkuda poliitika rakenduse ulatust. Kui te pole WMI-d enne filtreerimist teinud, võib see olla hirmus - kuid tegelikult pole see. WMI filtreerimise lihtsat ülevaadet leiate siit:
http://technet.microsoft.com/en-us/library/cc754488%28WS.10%29.aspx
Anna see lugeda ja siis mängige koos võltsse GPO-ga ja naudi!

Tagasi meie GPO-sse - parim viis väljamaksmiseks on luua uus (tühi) GPO, mis on pühendatud teatud erandite kogumile. Väiksemad kauplused teevad ainult ühe GPO. Keerulisematel keskkondadel on ilmselt mitu. Uuesti algatatud iga GPO põhineb teie ühe redigeeritud malli puhul; annad igale GPO-le mõned erinevad seaded.

5. samm: poliitikaobjekti loomine, muutke oma mall nähtavaks

Redigeeritud malli vaatamiseks GPO redaktoris peate selle lisama. Kõigepealt üles, haldustööriistad -> rühmapoliitika haldamine. Looge uus (või redigeerige olemasolevat) poliitikaobjekti. Seejärel redaktoris:
Arvuti konfigureerimine -> (paremklõps) Haldusmallid -> Lisa / eemalda.

Kui iganes sa muutsid oma toimetatud ADM-faili kinni, siis mine seda. Klõpsates "Sulge", ilmub "Süsteemi" kategoorias "DLL otsingu käitumine" uus kirje. Kui te seda kategooriat esialgu vaatate, on see tõenäoliselt tühi. Pole muret, kanded on lihtsalt peidetud. Paljastagem neid:

Kas menüüriba Failiaktiivsuse vaade on üleval? Klõpsake nuppu View -> Filtering
Tühista valik "Näita ainult täielikult hallatavaid poliitikaseadeid".

Teie kirjed on nüüd uues kategoorias nähtavad.

Te peate seda protsessi korrata iga uue loodud GPO-ga. Lisaks on MSC-l harjumus selle filtri tagasi pöörduda - nii et peate võib-olla korduvalt vaatama märkeruutu „Ainult näitama”.

Kiire märkus ADM-faili redigeerimise kohta nagu te lähete: GPO-redaktor laadib käivitamisel ADM-faili. Kui teete GPO redigeerimisel muudatusi ADM-failis, siis soovite muudatuste vaatamiseks GPO-redaktorist väljuda / uuesti käivitada. Seda peate meeles pidama, kui teete (ja parandate) ADM-failis vea.

6. samm: rakendage!

Kui olete oma malli GPO-le lisanud, saate imetleda oma muudatusi sektsioonis
Arvuti konfigureerimine -> Haldusmall -> Süsteem -> Dll otsingu käitumine.

Märkus - malli üldine otsinguteede käitumise vaikeväärtus on 0 ("pärandkäitumine"), et vältida halbu asju juhtumist, kui lubate selle poliitika arvestamata. Mingil hetkel soovite tõenäoliselt, et see väärtus oleks 2, "Blokeeri WebDAV ja UNC CWDd".

Määrake, salvestage ja linkige OU-dele vastavalt vajadusele.

Mõned kiire testimise taktika, kuna enamik meist redigeerib igapäevaselt ADM-faile ja -eeskirju (* köha *):

- testige, luues uue GPO objekti, mis sisaldab täpselt sinu redigeeritud malli moodi.

- rakendage seda GPO objekti ühele OU-le ühe masinaga.

- Kliendipoolne, regedit Tarkvara Microsoft Windows NT CurrentVersion Piltide failihalduse valikud allxefile.exe, et näha teie kohandusi.

- Regedit'is enne registri vaate värskendamiseks F5 värskendamist - käivitage gpupdate.exe, et sundida poliitikat värskendama. Pange tähele, et teie mall mõjutab ainult masinapoliitikat, mistõttu ei nõuta taaskäivitamist ega väljalogimist ning pole vaja / jõudu. Lihtsalt gpupdate, lugege 10-ni, seejärel lööge F5-le (eeldades, et sa ei ole ummikus ootab, et poliitika korduks mitme DC-s).