So che il thread è un po' obsoleto, ma visto che ultimamente ho avuto a che fare con pc vecchi (quindi con xp e non 7 o 8) ho dovuto vedere in dettaglio tutte le procedure nel primo post in modo da garantire una buona sicurezza ai pc senza per questo appensantire la macchina con antivirus & co. E mi sembra giusto condividere con il thread quello che ho scoperto, potrebbe essere sempre utile per qualcuno.
In particolare, per quanto riguarda le software restrictions, bisogna fare attenzione ad una cosa fondamentale: tutta la sicurezza si basa sul rispetto delle windows ACL (access control list), cioè, i permessi di lettura/scrittura/esecuzione/proprietà dei file/cartelle/chiavi del registro di windows. Un'errata configurazione delle ACL fa sì che un qualsiasi utente possa disabilitare le software restriction policies.
gpedit.msc salva tutta la configurazione nel path c:\windows\system32\GroupPolicy, controllate che il proprietario di questa cartella e delle sottocartelle sia il gruppo Administrators (
e molto probabilmente non lo è!!!!! - in xp la cartella non esiste di default ed è creata col primo accesso a gpedit.msc, e quindi l'owner è l'utente che esegue gpedit...
) e che i permessi siano settati per Administrators e SYSTEM come controllo completo mentre per Authorized Users come lettura/esecuzione (ma non scrittura!). Solo in questo modo tutta la configurazione spiegata da Sisupoika funzionerà.
Altra cosa, consiglio di eliminare /savecred dagli script...mi sembra un po' un controsenso aumentare la sicurezza e poi salvare la password di amministratore...