Днями було потрібно заблокувати користувачам можливість запускати програми в терміналі. а таких програм дуже багато:
TeamViewer
Chrome
MailAgent
QIP
і т.д
Додаємо всі наші сервера RDS в окрему OU
Створюємо GPO для OU (RDS)
Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Параметри безпеки \ Політики управління додатками і перейдіть до вузла «AppLocker».
Коли ви налаштовуєте об'єкти групової політики з розширенням клієнтської сторони AppLocker, обов'язково зверніть увагу на те, що на клієнтських комп'ютерах, на які повинні поширюватися правила, обов'язково повинна бути запущена служба «Посвідчення додатки». Наприклад, ви можете налаштувати цю службу за допомогою вузла «Служби» параметрів безпеки групової політики або ж скористатися функціональними можливостями однойменного елемента переваги групової політики.
Для того щоб створити нове правило, слід для редагованого вами об'єкта групової політики, в області відомостей кожного вкладеного вузла AppLocker, званих колекціями правил, викликати контекстне меню і вибрати команду «Створити правила за замовчуванням». Як тільки ця опція буде вибрана, відразу для цільового вузла будуть створені три правила, а саме:
1) Дозволяє групі «Все» запускати додатки, розташовані в папці «Windows».
2) Дозволяє групі «Все» запускати додатки, розташовані в папці «Program Files» і «Program Files (x86)»
3) Дозволяє локальним адміністраторам запускати будь-які додатки.
На цьому все на серверах перевіряємо службу і оновлюємо GPO gpupdate / force