策略组禁止软件安装

策略组禁止软件安装

策略可是好东西,禁止软件安装

开始——运行：gpedit.msc——“组策略〞、“计算机配置〞、“管理模板〞、“Windows组件〞、“Windows Installer〞中选择1) “禁用Windows Installer〞、(已经启用)

2) “禁止用户安装〞(已经启用)

组策略可是好东西

你可以通过自己编写规那么来最大限度阻止病毒运行,相当于一层防火墙.

举例来说说吧

U盘病毒盛行,你可用I:\.exe和I:\ 来阻止其运行,很不错吧

还有一些简单规那么最有效抗病毒?\exe.txt这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统复原文件夹保护好了,就算中毒了,也没事!

级别：学者

2月12日20:00 在Windows XP中只有管理员登陆才能安装软件，如果是从客户登陆就不能安装，其他的功能几乎一样。

你在自己的机子上就开放Client用户，给别人使用然后自己使用管理员登陆。这样就可以禁止他人在你的机子上安装软件，当然对自己是没有限制的

Windows XP 客户端的软件限制策略:

1、运行组策略---gpedit.msc---管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装

2、右击我的电脑--管理〔或者翻开管理工具里的效劳也行〕---效劳---Windows Instaaler--改成禁用---就行了。

也可以用Winlock来设置

降低权限为user即可

-----------------------------------------

内置管理员帐号是不可以降级的。只可以禁用。组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限

-------------------------------------------

Windows XP组策略& 应用组策略限制垃圾软件的安装和运行

一、组策略的根本知识

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略〞从桌面删除图标、自定义“开始〞菜单并简化“控制面板〞。此外,还可添加在计算机上〔在计算机启动或停止时，以及用户登录或注销时〕运行的脚本，甚至可配置Internet Explorer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关工程中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。

访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。

1、组策略编辑器的命令行启动

您只需单击选择“开始〞→“运行〞命令，在“运行〞对话框的“翻开〞栏中输入“gpedit.msc〞，然后单击“确定〞按扭即可启动Windows XP组策略编辑器。〔注：这个“组策略〞程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc〞。〕

在翻开的组策略窗口中〔如图1所示〕，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中那么是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机〞策略是由“计算机配置〞和“用户配置〞两大子键构成，并且这两者中的局部工程是重复的，如两者下面都含有“软件设置〞、“Windows设置〞等。那么在不同子键下进行相同工程的设置有何区别呢？这里的“计算机配置〞是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置〞那么是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放〞功能的设置，如果是在“计算机配置〞中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置〞中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户那么不受影响。设置时需注意这一点。

2、将组策略作为独立的MMC管理单元翻开

假设要在MMC控制台中通过选择GPE插件来翻开组策略编辑器，具体方法如下：

〔1〕单击选择“开始〞→“运行〞命令，在弹出的对话框中键入“mmc〞，然后单击“确定〞按扭。翻开Microsoft管理控制台窗口。

〔2〕选择“文件〞菜单下的“添加/删除管理单元〞命令。

〔3〕在“添加/删除管理单元〞窗口的“独立〞选项卡中，单击“添加〞按扭。

〔4〕弹出“添加独立管理单元〞对话框，并在“可用的独立管理单元〞列表中选择“组策略〞选项，单击“添加〞按钮。

〔5〕由于是将组策略应用到本地计算机中，故在“选择组策略对象〞对话框中，单击“本地计算机〞，编辑本地计算机对象，或通过单击“浏览〞按扭查找所需的组策略对象。

〔6〕单击“完成〞→“关闭〞→“确定〞按扭，组策略管理单元即可翻开要编辑的组策略对象。

特别提示：倘假设您希望保存组策略控制台，并希望能够选择通过命令行在控制台中翻开组策略对象，请在“选择组策略对象〞对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点〞复选框。

二、“任务栏〞和“开始〞菜单相关选项的删除和禁用

在“‘本地计算机’策略〞中，逐级展开“用户配置〞→“管理模板〞→“任务栏和「开始」菜单〞分支，在右侧窗格中，提供了“任务栏〞和“开始菜单〞的有关策略。如图4所示。

1、给“开始〞菜单瘦瘦身

如果您觉得Windows XP的“开始〞菜单太臃肿的话，可以将不需要的菜单项从“开始〞菜单中删除。在右侧窗格中，提供了删除“开始〞菜单中的公用程序组、“我的文档〞图标、“ 文档〞菜单、“网络连接〞、“收藏夹〞菜单、“搜索〞菜单、“帮助〞命令、“运行〞菜单、“图片收藏〞图标、“我的音乐〞图标和“网上邻居〞图标等策略。您只要将不需要的菜单项所对应的策略启用即可。现在以删除“我的文档〞图标为例，具体操作步骤为：〔1〕在策略列表窗格中用鼠标双击“从「开始」菜单中删除‘我的文档’图标〞设置选项。

〔2〕在弹出窗口的“设置〞选项卡中，选择“已启用〞单项选择按扭，然后单击“确定〞按扭即可。

2、保护好你的个人隐私

出于某种平安的需要，例如不想让人知道自己浏览过哪些网页和翻开过哪些文件，您只要在右侧窗格中将“不要保存最近翻开文档的记录〞和“退出时去除最近翻开的文档的记录〞两个策略启用即可。

3、保护好“任务栏〞和“开始〞菜单的设置

倘假设您不想随意让他人更改“任务栏〞和“开始〞菜单的设置，您只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置〞和“阻止访问任务栏的上下文菜单〞两个策略项启用即可。这样，当您用鼠标右键单击任务栏并单击“属性〞时，系统会出现一个错误消息，提示信息是某个设置禁止了这个操作。

4、禁止“注销〞和关机

当计算机启动以后，倘假设您不希望这个用户再进行关机和注销操作，那么必须将右侧窗格中的“删除「开始」菜单上的‘注销’〞和“删除和阻止访问‘关机’命令〞两个策略启用。

提示：倘假设您在“开始〞菜单上删除了“注销〞，“注销<用户名>〞工程就不会出现在“开始〞菜单。这个设置还从“‘开始’菜单项选择项〞删除“显示注销〞工程。结果是，您无法将“注销<用户名>〞工程复原到“开始〞菜单。

三、桌面相关选项的删除和禁用

Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁，有了组策略编辑器，这项工作将变得易如反掌，您只要在“‘本地计算机’策略〞中，逐级展开“用户配置〞→“管理模板〞→“桌面〞分支，即可在右侧窗格中显示相应的策略选项。

1、隐藏桌面的系统图标

倘假设隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地到达此目的。

假设要隐藏桌面上的“网上邻居〞和“Internet Explorer〞图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标〞和“隐藏桌面上的Internet Explorer图标〞两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有工程〞启用即可；当启用了“删除桌面上的‘我的文档’图标〞和“删除桌面上的‘我的电脑’图标〞两个选项以后，“我的电脑〞和“我的文档〞图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站〞这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站〞策略项启用。

2、禁止对桌面的某些更改

如果您不希望别人随意改变计算机桌面的设置，请在右侧窗格中将“退出时不保存设置〞这个策略选项启用。当您启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和翻开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

四、禁止访问“控制面板〞

如果您不希望其他用户访问计算机的“控制面板〞，您只要运行组策略编辑器〔gpedit.msc〕，在左侧窗格中逐极展开“‘本地计算机’策略〞→“用户配置〞→“管理模板〞→“控制面板〞分支，然后将右侧窗格的“禁止访问控制面板〞策略启用即可。

此项设置可以防止“控制面板〞程序文件〔Control.exe〕的启动。其结果是，他人将无法启动“控制面板〞〔或运行任何“控制面板〞工程〕。另外，这个设置将从“开始〞菜单中删除“控制面板〞。同时这个设置还从Windows 资源管理器中删除“控制面板〞文件夹。

特别提示：如果您想从上下文菜单的属性工程中选择一个“控制面板〞工程，会出现一个消息，说明该设置防止这个操作。

五、防止用户使用“添加或删除程序〞

在“控制面板〞中，“添加或删除程序〞工程允许您安装、卸载、修复并添加和删除Windows XP 的功能和组件以及种类很广的Windows 程序。发行或分配给用户的程序将出现在“添加或删除程序〞中。倘假设您阻止其他用户安装和卸载程序，请在“‘本地计算机’策略〞→“用户配置〞→“管理模板〞→“控制面板〞分支的右侧窗格中启用“删除‘添加/删除程序’程序〞策略选项。

启用这个设置将从“控制面板〞删除“添加或删除程序〞并从菜单删除“添加或删除程序〞工程；这个设置不防止用户用其他工具和方法安装或卸载程序。

六、在Windows Xp中设置用户权限

当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：

1、运行组策略编辑器程序〔gpedit.msc〕。

2、在编辑器窗口的左侧窗格中逐级展开“计算机配置〞→“Windows设置〞→“平安设置〞→“本地策略〞→“用户权限指派〞分支。

3、双击需要改变的用户权限。单击“增加〞，然后双击想指派给权限的用户帐号。连续两次单击“确定〞按扭。

七、在Windows XP中实现远程关机

在Windows XP中，新增了一条命令行工具“shutdown〞，其作用是“关闭或重新启动本地或远程计算机〞。利用它，我们不但可以注销用户，关闭或重新启动计算机，还可以实现定时关机、远程关机。

该命令的语法格式如下：

shutdown [-i |-l|-s |-r |-a] [-f] [-m [\\ComputerName]] [-t xx] [-c "message"] [-d〔u〕[p]:xx:yy]

【上面的〔〕实为[]，由于和帖子语法重复故改为〔〕】

其中，各参数的含义为：

-i 显示图形界面的对话框。

-l 注销当前用户，这是默认设置。

-m ComputerName优先。

-s 关闭计算机。

-r 关闭之后重新启动。

-a 中止关闭。除了-l 和ComputerName 外，系统将忽略其它参数。在超时期间，您只可以使用-a。

-f 强制运行要关闭的应用程序。

-m [\\ComputerName] 指定要关闭的计算机。

-t xx 将用于系统关闭的定时器设置为xx 秒。默认值是20秒。

-c "message" 指定将在“系统关闭〞窗口中的“消息〞区域显示的消息。最多可以使用127 个字符。引号中必须包含消息。

-d 〔u〕[p]:xx:yy 列出系统关闭的原因代码。

【上面的〔〕实为[]，由于和帖子语法重复故改为〔〕】

首先，我们来看一下该命令的一些根本用法：

1、注销当前用户

shutdown - l

该命令只能注销本机用户，对远程计算机不适用。

2、关闭本地计算机

shutdown - s

3、重启本地计算机

shutdown - r

4、定时关机

shutdown - s -t 30

指定在30秒之后自动关闭计算机。

5、中止计算机的关闭

有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用shutdown - a 来中止。如：

shutdown -s – t 300 设定计算机在5分钟后关闭。

Shutdown – a 取消上述关机操作。

以上是shutdown命令在本机中的一些根本应用。前面我们已经介绍过，该命令除了关闭、重启本地计算机外，更重要的是它还能对远程计算机进行操作，但是如何才能实现呢？

在该命令的格式中，有一个参数[-m [\\ComputerName]，用它可以指定将要关闭或重启的计算机名称，省略的话那么默认为对本机操作。您可以用以下命令来试一下：

shutdown –s –m \\sunbird -t 30

在30秒内关闭计算机名为sunbird的机器；注：sunbird为局域网内一台同样装有Windows XP的电脑。

但该命令执行后，计算机sunbird一点反响都没有，但屏幕上却提示“Access is denied 〔拒绝访问〕〞。

为什么会出现这种情况呢？原来在Windows XP默认的平安策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从局域网内的其他电脑来访问该计算机时，那么只有guest用户权限，所以当我们执行上述命令时，便会出现“拒绝访问〞的情况。

找到了问题的根源之后，解决的方法也很简单，您只要在客户计算机〔能够被远程关闭的计算机，如上述的sunbird〕中赋予guest用户远程关机的权限即可。这可利用Windows XP的“组策略〞或“管理工具〞中的“本地平安策略〞来实现。下面以“组策略〞为例进行介绍：

1、单击“开始〞按钮，选择“运行〞，在对话框中输入“gpedit.msc〞，然后单击“确定〞，即可翻开组策略编辑器。

2、在“组策略〞窗口的左侧窗格中逐级展开“计算机配置〞→“Windows 设置〞→“平安设置〞→“本地策略〞→“用户权利指派〞。

3、在“组策略〞窗口的右侧窗格中选择“从远端系统强制关机〞，通过双击将其翻开。

4、在弹出的对话框中显示目前只有“Administrators〞组的成员才有权从远程关机；单

击对话框下方的“添加用户或组〞按钮，然后在新弹出的对话框中输入“guest〞，再单击“确定〞按扭。

5、这时在“从远端系统强制关机〞的属性中便添加了一个“guest〞用户，单击“确定〞即可。

6、关闭“组策略〞窗口。

通过上述操作后，我们便给计算机sunbird的guest用户授予了远程关机的权限。以后，倘假设您要远程关闭计算机sunbird，只要在网络中其他装有Windows XP的计算机中输入以下命令即可：

shutdown -s –m \\sunbird -t 30 〔其他参数用法同上〕

这时，在sunbird计算机的屏幕上将显示一个“系统关机〞的对话框，提示“系统即将关机。请保存所有正在运行的工作，然后注销。未保存的改动将会丧失。关机是由sunbird\guest 初始的。〞在对话框下方还有一个计时器，显示离关机还有多少时间。在等待关机的时间里，用户还可以执行其他的任务，如关闭程序、翻开文件等，但无法关闭该对话框，除非你用shutdown –a命令来中止关机任务。

八、Windows 98访问Windows XP共享目录被拒绝的问题解决

在局域网内，经常可以遇到装有Windows 2000的电脑开了共享目录，而装有Windows 98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案，提示开启Windows 2000的GUEST用户就行了。可是Windows XP出来以后，同样的又面临这个问题，结果有些人发现这个方法不灵了，从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在？这个问题本也困扰过我好几天，后来在无意中发现了问题的答案，也许这是Windows XP的一个BUG？

在开启了系统Guest用户的情况下，运行组策略编辑器程序，在“本地计算机策略〞→“计算机配置〞→“Windows设置〞→“平安设置〞→“本地策略〞→“用户权利指派〞→“拒绝从网络访问这台计算机〞中赫然可以看到有Guest用户！如果在这里删除Guest用户，那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。

环境：中文Windows XP，采用传统登录方式并且关闭了“文件夹选项〞中的“使用简单文件共享〞。

九、让Windows XP Professional的上网速率提升20%

1、首先必须以系统管理员身份登入系统。

2、运行组策略编辑器程序〔gpedit.msc〕。在“‘本地计算机’策略〞中，逐级展开“计算机配置〞→“管理模板〞→“网络〞→“QoS数据包调度程序〞分支。在屏幕右边会出现“QoS 数据包调度程序〞策略。接着单击右边子工程的“限制可保存带宽〞。这时，左边会显示“限制可保存带宽〞的详细描述。从这里我们可了解到“限制可保存带宽〞的一些根本情况。

了解之后我们就可以对“限制可保存带宽〞进行设置了。单击“限制可保存带宽〞下“显

示〞旁边的“属性〞〔或者选择子工程“限制可保存带宽〞，再点击右键→“属性〞也可〕，出现“限制可保存带宽〞对话框，先点击“说明〞，再进一步了解“限制可保存带宽〞确定系统可保存的连接带宽的百分比情况。

之后我们就可以对另外20%带宽进入设置了。点击“设置〞。“设置〞为我们提供了三个选择〔未配置、已启用、已禁用〕，选择“已启用〞，接着再将带宽限制旁边的%设置为0%即可，然后按确定退出。

3、单击“开始〞→“连接到〞→“显示所有连接〞。

选中你所建立的连接，用鼠标右键单击属性，在出现的连接属性中单击网络，在显示的网络对话框中，检查“此连接使用以下工程〞中“QoS数据包调度程序〞是否已打了勾，没问题就按确定退出。

4、最后重新启动系统便完成对另外20%的频宽利用了

十、禁止MSN Messenger自运行

在Windows XP Professional中，有许多系统内置的软件都没有卸载选项，引起很多电脑用户的不满。假设要禁止Windows Messenger〔4.0以上版本〕的自动运行。您只要在“组策略〞程序窗口中。依次通过双击展开“计算机配置〞→“管理模板〞→“Windows组件〞→“Windows Messenger〞分支，再从右边的窗口上，双击“不允许运行Windows Messenger〞，在弹出的“不允许运行Windows Messenger属性〞对话框中点击“已启用〞，再单击“确定“按扭退出即可。

十一、禁用IE6浏览器的相关设置、菜单项和工具栏

在IE浏览器的“Internet选项〞窗口中，提供了比拟全面的设置选项〔例如：首页、临时文件夹、平安级别和分级审查等工程〕，这将极大方便我们网上冲浪。为了不使他人随意改变您对浏览器的设置以及对IE的某些功能限制使用，有必要将你的设置选项进行隐藏或禁止使用。过去在Windows 9x系统中，一般是通过修改注册表来实现的，不过这会对系统的平安性带来一定的风险。当您选择了Windows XP后，这种风险几乎降低到了零。现在就为您介绍一下如何利用Windows XP提供的组策略来进行设置IE6。

在组策略设置窗口的左侧窗格中，逐级展开“用户设置〞→“管理模板〞→“Windows组件〞→“Internet Explorer〞分支，在其下面您会发现“Internet控制面板〞、“脱机页〞、“浏览器菜单〞、“工具栏〞、“持续行为〞和“管理员认可的控件〞等策略选项。

1、限制IE浏览器的保存功能

当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢？具体方法为：选择“用户设置〞→“管理模板〞→“Windows组件〞→“Internet Explorer〞→“浏览器菜单〞分支，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为…’菜单项〞、“‘文件’菜单：禁用另存为网页菜单项〞、“‘ 查看’菜单：禁用‘源文件’菜单项〞和“禁用上下文菜单〞等策略工程启用即可。

另外，倘假设您不希望别人对IE浏览器的设置进行随意更改，您只要将“‘工具’菜单：禁用‘Internet选项…’〞策略启用即可。另外，根据您个人的需要，在该窗格中还可以对其他工程进行禁用。

2、给工具栏减肥

倘假设您要隐藏工具栏中的工具按扭，具体方法是：选择“用户设置〞→“管理模板〞→“Windows组件〞→“Internet Explorer〞→“工具栏〞分支，然后在右侧窗格中双击“配置工具栏按扭〞策略，弹出“配置工具栏按扭属性〞窗口，在“设置〞选项卡中选择“已启用〞单项选择按扭，将列表中将要显示按扭名称前面的复选框打上勾选标记，假设要隐藏某些按扭，那么不要将其前面的复选框进行勾选。然后单击“确定〞按扭即可。

3、禁止修改IE浏览器的主页

如果您不希望他人对自己设定的IE浏览器主页进行随意更改的话，您只要选择“用户配置〞→“管理模板〞→“Windows 组件〞→“Internet Explorer〞分支，然后在右侧窗格中，将“禁用更改主页设置〞策略启用即可。另外在这个窗格中，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等工程的禁用功能。

倘假设启用了这个策略，在IE浏览器的“Internet 选项〞对话框中，其“常规〞选项卡的“主页〞区域的设置将变灰。

特别提示：如果设置了位于“用户配置〞→“管理模板〞→“Windows 组件〞→“Internet Explorer〞→“Internet 控制面板〞中的“禁用常规页〞策略，那么无需设置该策略，因为“禁用常规页〞策略将删除界面上的“常规〞选项卡。

4、用鼠标右键单击想要审核的文件〔或文件夹〕。选择快捷菜单的“属性〞命令，然后在弹出的窗口中选择“平安〞选项卡。

5、单击“高级〞按扭，然后选择“审核〞选项卡。

6、根据具体情况选择您的操作：

(1)倘假设对一个新组〔或用户〕设置审核, 请单击“添加〞按扭，在“名称〞框中键入新用户名，然后单击“确定〞按扭，将翻开“审核工程〞对话框。

(2)要查看〔或更改〕原有的组〔或用户〕审核, 选择用户名，然后单击“查看/编辑〞按扭。

(3)要删除原有的组〔或用户〕审核, 选择用户名，然后单击“删除〞按扭即可。

7、如有必要的话，在“审核工程〞对话框中的“应用到〞列表中选取您希望审核的地方〔“应用到〞列表仅对文件夹有效〕。

8、如果您想禁止目录树中的文件和子文件夹继承这些审核工程，选择“仅对此容器内的对象和/或容器应用这些审核项〞复选框。

如果在“审核工程〞对话框中的“访问〞之下的复选框变暗，或在“访问控制设置〞对话框中“删除〞按钮不可用，那么说明已经继承了来自父文件夹的审核。

需要注意的是：必须是管理员组成员或在组策略中被授权有“管理审核和平安日志〞权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，您必须启用“组策略〞中“审核策略〞的“审核对象访问〞。否那么，当您设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。通过事件查看器〔Event Viewer〕可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。

十二、用组策略限制垃圾软件的安装和运行

现在LJ对爱机可谓是无孔不入，3721，YAHOO等等等

虽然用软件可以限制从IE进入，却阻止不了一些共享软件或恶意绑定软件的入侵！

但是系统自带的组策略却被大家忽略了……。

在运行处输入gpedit.msc进入组策略。

步骤：

计算机配置——Windows 设置——平安设置——软件限制策略——〔右键创立新的策略〕——其它规那么

。〔在右边空白处右键〕新散列规那么——在文件散列处点击浏览需要限制的软件〔平安级别默认是不允许〕然后按确定就一切OK了。〔现在3721 baidu yahoo cnnic 可以滚蛋了〕前提条件是你的电脑上还没有安装需要限制的软件

对于被捆绑的软件在新散列规那么的“文件信息〞下有该文件的信息，只要确定保存一个工程为该程序绑定的，其它的去除就可以平安的安装该程序了，不用担忧一些LJ软件回随着绑定的“套路〞进入你的爱机

另外，该方法还可以阻止所有。EXE的程序运行，内网用户还可以添加网络剪刀手，网络执法官等有害程序。

只要该软件被限制，就算换了名子也无法安装在电脑上。

转电脑软件安装或删除管理员身份权限

转电脑软件安装或删除管理员身份权限 如何让电脑只能以管理员的身份安装或删除软件！ 在XP中如何禁止安装软件 一、运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 二、用超级兔子 三、我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的 四、在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户： gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托 五、"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限 修改注册表禁止安装软件 在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer 里面添加两个键 名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2)

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

策略组禁止软件安装

策略组禁止软件安装 策略可是好东西,禁止软件安装 开始——运行：gpedit.msc——“组策略〞、“计算机配置〞、“管理模板〞、“Windows组件〞、“Windows Installer〞中选择1) “禁用Windows Installer〞、(已经启用) 2) “禁止用户安装〞(已经启用) 组策略可是好东西 你可以通过自己编写规那么来最大限度阻止病毒运行,相当于一层防火墙. 举例来说说吧 U盘病毒盛行,你可用I:\.exe和I:\ 来阻止其运行,很不错吧 还有一些简单规那么最有效抗病毒?\exe.txt这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统复原文件夹保护好了,就算中毒了,也没事! 级别：学者 2月12日20:00 在Windows XP中只有管理员登陆才能安装软件，如果是从客户登陆就不能安装，其他的功能几乎一样。 你在自己的机子上就开放Client用户，给别人使用然后自己使用管理员登陆。这样就可以禁止他人在你的机子上安装软件，当然对自己是没有限制的 Windows XP 客户端的软件限制策略: 1、运行组策略---gpedit.msc---管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装 2、右击我的电脑--管理〔或者翻开管理工具里的效劳也行〕---效劳---Windows Instaaler--改成禁用---就行了。 也可以用Winlock来设置 降低权限为user即可 ----------------------------------------- 内置管理员帐号是不可以降级的。只可以禁用。组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限 ------------------------------------------- Windows XP组策略& 应用组策略限制垃圾软件的安装和运行 一、组策略的根本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略〞从桌面删除图标、自定义“开始〞菜单并简化“控制面板〞。此外,还可添加在计算机上〔在计算机启动或停止时，以及用户登录或注销时〕运行的脚本，甚至可配置Internet Explorer。

Windows组策略之软件限制策略

Windows组策略之软件限制策略 对于Windows的组策略，也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多：）。软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 1、概述 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet区域规则，就用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。 2、附加规则和安全级别 附加规则 在使用软件限制策略时，使用以下规则来对软件进行标识： 证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有.exe或.dll扩展名的文件。它们可以应用到脚本和Windows安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。 路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。路径规则中可以使用诸如%programfiles%或%systemroot%之类环境变量。路径规则也支持通配符，所支持的通配符为*和?。 散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用SHA-1（安全散列算法）和MD5散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。 例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。 Internet区域规则 区域规则只适用于Windows安装程序包。区域规则可以标识那些来自InternetExplorer指定区域的软件。这些区域是Internet、本地计算机、本地Intranet、受限站点和可信站点。

禁止安装软件方法

禁止安装软件方法 禁止安装软件的方法主要有以下几种： 1. 设置管理员权限：通过设置用户帐户控制(UAC)的级别，可以限制用户对计算机的更改。将用户设置为普通用户而不是管理员，可以防止其安装新软件。管理员权限通常需要密码，所以用户无法随意更改权限。 2. 使用家长控制功能：操作系统通常都提供了家长控制功能，可以对特定用户设置限制，包括禁止安装软件。通过设置家长控制，可以对用户的行为进行监控和管理。 3. 使用防病毒软件：安全软件通常都提供了防止恶意软件安装的功能。不仅可以对已知的恶意软件进行拦截，还可以监控用户的下载行为并阻止潜在的威胁。及时更新防病毒软件的病毒库是保护计算机安全的关键。 4. 使用应用代理服务：应用代理服务可以对用户在计算机上的操作进行监控，并拦截任何尝试安装软件的行为。通过配置代理服务器，可以管理用户的互联网访问和下载权限，从而防止其安装软件。 5. 使用系统策略组：通过系统策略组可以对计算机上的软件安装进行限制。可以通过创建策略来禁止或限制用户安装软件，或只允许特定用户安装软件。策略组通常需要管理员权限才能进行设置。

6. 使用网络接入控制(NAC)系统：NAC系统可以根据预先设定的规则，对计算机的访问进行控制和限制。通过NAC系统，可以禁止用户在计算机上安装软件，或者只允许特定的软件进行安装。 7. 安装系统加固软件：一些专门为企业或机构保护计算机安全的软件可以阻止用户安装新的软件。这些软件通常会限制用户的操作权限，只允许特定的软件运行，以防止恶意软件的安装。 需要注意的是，虽然上述方法可以对一般的用户进行软件安装的限制，但对于拥有管理员权限的用户，这些方法可能无效。因此，在实施这些方法之前，要确保用户不具备管理员权限，以保证禁止安装软件的有效性。另外，要定期更新操作系统和安全软件，以提供最新的保护措施，并进行安全培训，提高用户的安全意识，避免安装来路不明的软件。

巧用证书阻止软件安装

巧用证书阻止软件安装 准备工作： 1、首先需要拿到这些需要拉黑的证书，网络上已经有人帮我们总结出一些常见的软件安装证书，可以打开文末相关链接并复制，在电脑上下载。 2、友情提示：微信并不支持插入链接，前面那段网址可以复制后用手机QQ等同步软件传递到电脑上;或点击文尾处的“阅读原文”，在手机上下载完毕后发送到电脑上。 3、证书文件很小，下载速度也很快，目前这组提取出来的证书文件有30多个常见的软件。 开始设置： 1、在电脑上按“Win + R”快捷键，出现运行窗口后，输入“”进入组策略设置。 2、在左侧的目录树中依次点开“Windows设置”—“安全设置”—“软件限制策略”，在右侧的列表中，“其他规则”处点击鼠标右键，选择“新建证书规则”。 3、在弹出的“新建证书规则”窗口中，点击“浏览”搜索到你刚才下载的那些证书文件，将你需要禁止安装的那个品牌选中，注意在“安全级别”处选择“不允许”。 4、只要属于这个品牌的软件，你的电脑都会直接将其“拉黑”，不允许安装。

张政豪电脑爱好者 20XX-09-01 08:50技巧 0 条评论标签：证书软件 有没有一种方法能够通过自动识别软件的厂商并阻止软件安装，让我们不再成为软件厂商推销软件的“被迫消费者”？ 每次回到家，简洁的Windows8系统总被爸妈装上了许多某系列的软件，显得臃肿不堪。爸妈属于入门级电脑使用者，往往会受引导而装上某个厂商的其他软 件。软件厂商都有属于自己的数字证书作为标识，我们就用“本地安全策略”中的“证书规则”来阻止该厂商软件的安装。 提取数字证书 首先，我们要从携带该厂商数字证书的应用程序中提取出软件的数字证书。以360某软件的安装包为例，打开应用程序“属性”，依次选择“数字签名→详细信息→查看证书→详细信息→复制到文件”，按照向导导出数字证书，过程中使用默认设置。 图1 设置证书规则 导出了数字证书后，接下来就可以设置证书规则了。打开“控制面板”，将查看方式更改为图标模式，找到“管理工具”打开，以管理员身份运行“本地安全策略”。如果之