На свеже установленной терминальной RDS ферме пользователи стали жаловаться, что при попытке открыть любой pdf документ с рабочего стола (локального диска) с помощью Adobe Reader 11 появляется ошибка «Произошла ошибка при открытии данного документа. Отказано в доступе». При этом при открытии это же документа из сетевой папки (шары) – проблемы не наблюдается (а это совсем уж странно, т.к. сетевая папка априори менее безопасный источник).
Проблема заключалась в том, что начиная с Adobe Reader 10, в Reader по-умолчанию включен Защищенный Режим (Protected Mode), позволяющий запретить пользователям открывать «неавторизованные» pdf файлы, тем самым защищая компьютер пользователя от потенциально вредоносных pdf-документов.
В том случае, если вы в большей степени доверяете источникам получения файлов, вовремя устанавливаете обновления и следите за актуальностью антивирусных баз, Защищенный режим можно отключить. Его можно отключить как персонально для пользователя в интерфейсе Adobe Reader Редактирование -> Установки -> Защита (повышенный уровень) -> снять галку у пункта Включить защищенный режим при запуске.
Отключить защищенный режим можно и из реестра.
для конкретного пользователя: нужно создать новый параметр с именем bProtectedMode в ветке реестра HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Privileged со значением 0.
Создать параметр в реестре можно с помощью PowerShell. Команда будет следующая:
New-ItemProperty -Path "HKCU:\SOFTWARE\Adobe\Acrobat Reader\11.0\Privileged" –Name "bProtectedMode" -Value 1 -PropertyType "DWord"
для всех пользователей компьютера: в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\11.0\FeatureLockDown нужно также создать параметр bProtectedMode типа DWORD со значением 0.
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Adobe\Acrobat Reader\11.0\FeatureLockDown" –Name "bProtectedMode" -Value 1 -PropertyType "DWord"
Эти настройки также можно распространить на компьютеры домена с помощью групповых политик (GPP). Для этого создайте новую политику GPO, назначьте ее на компьютеры пользователей, и в разделе Computer Configuration -> Preferences ->Windows Settings -> Registry создайте ключи:
для x64:
Keypath: HKLM\SOFTWARE\Wow6432Node\Policies\Adobe\Acrobat Reader\11.0\FeatureLockDown
Value name: bProtectedMode
Value type: REG_DWORD
Value data: 0
для x86
Keypath: HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\11.0\FeatureLockDown
Value name: bProtectedMode
Value type: REG_DWORD
Value data: 0
После внесения изменений в реестре Adobe Reader нужно перезапустить.