Kami menjalankan farm Terminal Server di Domain Windows 2003, dan saya menemukan masalah dengan pengaturan GPO Pembatasan Perangkat Lunak yang sedang diterapkan ke server TS kami. Berikut detail konfigurasi dan masalahnya:
Semua server kami (Pengontrol Domain dan Server Terminal) menjalankan Windows Server 2003 SP2 dan domain dan hutan berada pada level Windows 2003. Server TS kami berada dalam OU di mana kami memiliki tautan khusus GPO dan diblokir warisan, sehingga hanya TS khusus GPO yang diterapkan ke server TS ini. Pengguna kami semuanya jauh dan tidak memiliki workstation yang bergabung dengan domain kami, jadi kami tidak menggunakan pemrosesan kebijakan loopback. Kami mengambil pendekatan "daftar putih" untuk memungkinkan pengguna menjalankan aplikasi, jadi hanya aplikasi yang kami setujui dan tambahkan sebagai jalur atau aturan hash yang dapat dijalankan. Kami memiliki Tingkat Keamanan dalam Pembatasan Perangkat Lunak diatur ke Ditolak dan Penegakan diatur ke "Semua file perangkat lunak kecuali perpustakaan".
Apa yang saya temukan adalah bahwa jika saya memberi pengguna jalan pintas ke suatu aplikasi, mereka dapat meluncurkan aplikasi walaupun itu tidak ada dalam daftar Aturan Tambahan dari aplikasi "masuk daftar putih". Jika saya memberikan kepada pengguna salinan dari executable utama untuk aplikasi dan mereka mencoba untuk meluncurkannya, mereka mendapatkan pesan "program ini telah dibatasi ..." yang diharapkan. Tampaknya Pembatasan Perangkat Lunak memang berfungsi, kecuali ketika pengguna meluncurkan aplikasi menggunakan pintasan sebagai lawan meluncurkan aplikasi dari executable utama itu sendiri, yang tampaknya bertentangan dengan tujuan menggunakan Pembatasan Perangkat Lunak.
Pertanyaan saya adalah: Adakah orang lain yang melihat perilaku ini? Adakah yang bisa mereproduksi perilaku ini? Apakah saya kehilangan sesuatu dalam pemahaman saya tentang Pembatasan Perangkat Lunak? Apakah ada kemungkinan saya mengalami kesalahan konfigurasi dalam Pembatasan Perangkat Lunak?
EDIT
Untuk sedikit memperjelas masalah:
Tidak ada GPO tingkat yang lebih tinggi sedang ditegakkan. Menjalankan gpresult menunjukkan bahwa pada kenyataannya, hanya level TS GPO yang diterapkan dan saya memang bisa melihat Pembatasan Perangkat Lunak saya diterapkan. Tidak ada wildcard jalur yang digunakan. Saya menguji dengan aplikasi yang ada di "C: \ Program Files \ Application \ executable.exe" dan aplikasi yang dapat dieksekusi tidak dalam jalur atau aturan hash. Jika pengguna meluncurkan aplikasi utama yang dapat dieksekusi langsung dari folder aplikasi, Pembatasan Perangkat Lunak diberlakukan. Jika saya memberi pengguna jalan pintas yang menunjuk ke aplikasi yang dapat dieksekusi di "C: \ Program Files \ Application \ executable.exe" maka mereka dapat meluncurkan program.
EDIT
Selain itu, file LNK tercantum dalam Jenis File yang Ditunjuk, sehingga file tersebut harus diperlakukan sebagai file yang dapat dieksekusi, yang berarti bahwa file tersebut terikat oleh pengaturan dan aturan Pembatasan Perangkat Lunak yang sama.