Форум IT-KB

Непонятен еще один момент ... почему я мог выполнять скрипт из консоли запущенной от имени Администратора и никакой подписи у меня не просили?

И еще один момент лучше использовать именно "Bypass" ... иначе скрипт просто зависает и ждет подтверждения выполнения скрипта при "Unrestricted". Но при этом он мне в лог это сообщение не кидал.

Алексей, ну в принципе я создал сертификат, подписал скрипты и выставил AllSigned для MachinePolicy. Для IT-шных компов выставил MachinePolicy - RemoteSigned. ВОПРОС С ЗАПУСКОМ РЕШЕН.

НО. В идеале хотелось бы схему более логичную ... Что, к примеру, На всех компах включая локальные службы и пользователи на каждом компе выполнялись только как AllSigned, а IT-шникам были выданы права RemoteSigned. А данная схема не реализуема только через "Административные шаблоны". Т. к. MachinePolicy перекрывает UserPolicy и изменить эти политики локально даже Админ не может. Можно конечно править параметры реестра и т. д. но все равно MachinePolicy все перекроит или локальные пользователи и службы смогут исполнять скрипты как IT-шники.

В связи с этим хотел поинтересоваться. Как же все таки рекомендуется или вы рекомендуете применять политики выполнения в компании?

Если нужна бОльшая гибкость, используйте прямую настройку параметров реестра через GPP, вместо Административных шаблонов. Никаких рекомендаций я давать не стану. Каждая организация решает это для себя в зависимости от локальных требований безопасности.

Да это понятно, что сами решают, вот я и хотел послушать опытного специалиста, что бы определиться.
Ну нет так нет. Большое спасибо за помощь. Тему можно закрывать.