Как узнать, когда групповая политика заблокировала приложение

Вы не указываете, с какой клиентской ОС вы работаете, но в W2K3 вам нужно будет искать EventID 865 из исходных политик ограниченного использования программ в журнале событий приложений. Детали, которые должны быть похожи на следующие:

Доступ к C: \ WINDOWS \ system32 \ ctfmon.exe был ограничен вашим администратором по местоположению с правилом политики {bcb5037f-a1ff-45d0-9cfc-11fae74fb878}, расположенным по пути C: \ WINDOWS \ system32 \ ctfmon.exe

РЕДАКТИРОВАТЬ

Кроме того, вы не указываете, как вы блокируете приложения. Используете ли вы политики ограниченного использования программ или параметры GP «запускать только разрешенные приложения Windows» или «не запускать указанные приложения Windows»? Я предполагаю, что вы используете политику ограничения программного обеспечения и вносите в белый список приложения, которым разрешено запускать. Если да, каковы ваши настройки применения, какие у вас назначенные типы файлов и какие дополнительные правила вы установили? Вы используете правила пути или правила хеширования?

Он должен быть прямо в журнале системных событий. Если это не поможет, вы всегда можете установить Монитор процесса и фиксируйте, что запускается при запуске приложения.

Извините, если я учу вас сосать яйца, но есть ли другие EXE, связанные с приложением (выполните поиск во всех его папках). По моему опыту, это обычно причина.

Вы также можете попробовать использовать исключение пути, а не правила хеширования.

Если вы хотите расширить ведение журнала, добавьте следующий параметр реестра на целевой компьютер:

Путь -> HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers

Ключ -> LogFileName = "C: \ srpLog.txt"

Это обеспечивает максимально подробное ведение журнала.