限制电脑安装程序、只允许电脑运行指定应用程序的方法

计算机化系统管理规程内容：1 计算机化系统定义：由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系。

2 计算机化系统管理原则：2.1 计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

2.2 风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

2.3 供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），应当与供应商签订正式协议，明确双方责任，并基于风险评估的结果开展供应商质量体系审计。

3 术语：3.1 计算机化系统生命周期：计算机化系统从提出用户需求到终止使用的过程，包括设计、设定标准、编程、测试、安装、运行、维护等阶段。

3.2 应用程序：安装在既定的平台/硬件上，提供特定功能的软件。

3.3 PLC（programmable logic controller）：可编程控制器。

3.4 URS：用户需求标准，用户需求说明书。

3.5 I／O：输入/输出3.6 白盒法：白盒法也称为结构测试或者是逻辑驱动测试，是在软件测试过程中，由详细设计提供的文档，从软件的具体的逻辑结构和执行路径出发，设计测试用例，完成测试的目的，白盒法测试主要用于测试程序内部逻辑。

3.7 黑盒法：黑盒法也称功能测试或者数据驱动测试，是基于规格说明的测试，它是在已知产品所应具有的功能，通过测试来检测每个功能是否都能正常使用，在测试时，把程序看作一个不能打开的黑盒子，在完全不考虑程序内部结构和内部特性的情况下，测试者在程序接口进行测试，它只检查程序功能是否按照需求规格说明书的规定正常使用，程序是否能适当地接收输入数据而产生正确的输出信息，并且保持外部信息（如数据库或文件）的完整性，常用如下4 种方法：3.7.1 等价划分法(将系统的输入区域划分为若干等价类，用每个等价类中的一个具有代表性的数据作为测试数据)。

文档加密模块：文档透明加密∙以高效而可靠的加密技术将Office、AutoCAD、Photoshop等各类常见电子文档自动强制加密，用户没有被授权使用相关的文档格式或者文档离开授信使用环境即无法使用。

∙加密过程完全透明，不影响用户原有的文档操作习惯。

∙默认禁止截屏、打印、复制/粘贴、拖拽等各种可能造成泄密的操作。

∙支持多达三十余种常见的电子文档格式，并能够根据用户实际需要进行免费定制扩展。

文档使用授权∙采用安全区域与安全级别相结合的机制对内部用户进行文档使用授权。

∙允许管理者根据电子文档的部门归属与重要程度将其归入不同的安全区域与安全级别，并根据保密需要管理用户可以访问的安全区域与安全级别，从而建立起“用户-安全区域+安全级别-加密文档”的对应关系，实现差异化的文档使用授权。

离线权限控制∙对于用户使用笔记本电脑出差、在家工作等特殊离线情况，可以根据具体情况调整其对离线设备中的加密文档的使用权限。

∙规定离线授权的有效期做出规定，到期之后文档使用权限会自动收回。

文档外发控制∙为代理商、供应商等外部合作伙伴提供外发加密文档查看器，发送给相应用户的文档只能由其在一定的时间范围内按照规定的使用权限使用。

∙加密文档外发之前需要经过审批，在特定情况下，用户也可以申请将加密文档解密之后进行外发。

∙提供了代理管理员的设定，方便管理员外出时审批工作的正常进行。

文档操作审计与备份∙完整记录和查询加解密、解密/外发申请、解密/外发审批、保密属性调整等文档操作。

∙结合IP-guard原有的文档安全保护功能，记录文档的创建、修改、重命名、复制、删除、外发、上传、下载等操作。

∙在文档外发或解密之前对其进行完整备份以防意外损失，同时提供更完整的审计。

服务稳定性保证∙采用虚拟计算技术，确保文档不会在加密过程中因断电、死机等情况意外损坏。

∙设置备用授权服务器，在主服务器宕机时即时投入使用，有效保证系统的连续运转。

∙在文档备份服务器上明文备份加密文档，以保证在意外出现时用户的文档依然可用。

本次操作由于这台计算机的限制而被取消.请与您的系统管理员联系中毒或策略配置不当时在使用系统某些工具时(甚至连右键都不行)会出现:本次操作由于这台计算机的限制而被取消.请与您的系统管理员联系.这种情况大多是由某些恶意代码或病毒导致.解决方法纵说不一,大概可以分为以下几种:一:运行“gpedit.msc”（组策略）时，系统会提示:，本次操作由于计算机的限制而取消，请与管理员联系还有我发现有时运行其他程序也会报同样的错误，但我是以管理员身份登录的。

请问我该怎么办？解决方法:查看是否设置了“只运行许可的Windows应用程序”的策略，而且未将gpedit.msc本身添加入允许系统运行的程序.打开命令提示符输入:mmc c:\windows\system32\gpedit.msc 回车即可）。

如果CMD也被禁止，可以通过以下方法来恢复，重启计算机，在启动时按下F8键，选择“带命令行提示的安全模式”启动，系统会自动运行CMD命令窗口，现在你可以在提示符下运行:mmc c:\windows\system32\gpedit.msc，这将打开组策略。

展开“用户配置→管理模板→系统”，在右侧找到“只运行许可的Windows应用程序”策略，将它设置成“未配置”，再“确定”即可.二:方法1、将下面三行代码存为一个扩展名为.reg的文件，例如un.reg，然后双击该文件，将内容导入注册表即可——[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000方法2、运行gpedit.msc，然后打开“本地计算机”策略——用户配置——系统分支后，双击禁用注册表编辑工具，选择启用为不能使用regedit.exe及regedt32.exe，选择禁用为可以使用regedit.exe及regedt32.exe。

限制电脑安装程序、只允许电脑运行指定应用程序的方法2014/1/21大多企业在计算机使用方面往往有严格的规范，一是为了防止电脑变成娱乐工具影响正常的工作，二是出于网络和计算机的安全考虑，限制一些软件、程序的安装运行或者只允许使用特定的应用程序，实现上述要求的方法不少，但其中最简单、使用最普遍的是通过一个软件——大势至USB端口管理系统（百度搜索即可下载试用）。

在电脑上安装这个小工具之后，可以实现对计算机一些硬件设备（USB端口、网卡、光驱等）的禁用，同时也可以做到限制某些程序的安装和运行，是一款功能比较全面的电脑保护工具。

大势至USB端口管理系统通过软件界面可以了解到它的大致功能，操作也是非常简单的，勾选相应的控制选项即可，例如要禁止qq运行，则勾选“禁止打开的程序”并单击“设置禁止程序列表”添加“qq”即可，设置只允许打开的程序以此类推。

总之，通过这一软件来保护电脑的系统安全还是十分方便的。

如果不想在电脑安装软件，那么win7系统同样可以通过修改注册表的方式实现这一要求，详细步骤如下：1、首先在开始菜单搜索框里输入“regedit”，回车启动注册表编辑器，接着定位到：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer；2、接着在Explorer上右击鼠标，新建--DWORD (32位)值，将其命名为DisallowRun，注意大小写。

3、接着双击这个新建的DWORD值，将其数值改为1，到这一步，注册表里的程序限制功能已经打开，接下去就是指定限制对象了。

4、然后返回注册表左侧，仍然在Explorer上右击，选择新建--项，并同样命名为DisallowRun；5、在这个DisallowRun项上，右键新建一个字符串值，名称可以随意，然后双击它编辑字符串；6、在数据数值里填上任意你想要阻止运行的程序启动文件名称，确定后就可以尝试运行一下刚刚被设置禁止运行的程序了。

电脑应用程序安装方法
电脑应用程序安装方法？
一；只有管理员才能安装应用程序；（提高应用程序安全）右键单击程序安装文件单击菜单中以管理员身份运行输入管理员身份密码单击是
二；应用程序安装路径规划；
注明；默认应用程序，存盘为C 盘，为了磁盘内存平衡电脑运行速度，必须分区存放应用程序文件
如游戏存 D 盘。

其它存 E 盘，等。

以千千静听5，5，2 Unicode 菜单，安装程序单击浏览，选择目录指定文件夹
D;/Program, files或E;/program files 单击确定即可更改，安装路径。

A,程序文件路径规划与更改移动。

开始；计算机组织选定目标确定安装位置
三；应用程序的安装方式；
说明；从移动存储介质安装（以CD DVD 采取以下操作）把光盘插入，CD 自动打开向导，自动
播放，单击运行Setuup,exe ih
右击DVD PW 骑动器GFSV 单击打开光盘文件夹打开双击，setup.exe.
四；自动播放功能开启与关闭；
开始控制面板硬件和声音自动播放。

五；从移动U 盘安装应用程序；
双击桌面计算机图标setup.ese winrar,ex。

如何用组策略禁止用户安装程序及删除程序（包括系统管理员也要禁止）？运行gpedit.msc用户配置-->控制面板-->添加或删除程序-->删除"添加或删除程序",改为已启用防止用户使用“添加或删除程序”。

这个设置从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目。

“添加或删除程序”允许用户安装、卸载、修复并添加和删除Window s 2000 Professional 的功能和组件以及种类很广的Window s 程序。

发行或分配给用户的程序出现在“添加或删除程序”中。

如果停用或不配置这个设置，所有用户都可以使用“添加或删除程序”。

处于启用状态时，这个设置的优先级高于这个文件夹中的其它设置。

这个设置不防止用户用其它工具和方法安装或卸载程序。

内置管理员帐号是不可以降级的。

只可以禁用。

组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限【软件限制策略】即可实现。

软件限制策略更多地应用到已经安装的程序，用来阻止其运行。

你可以尝试添加这样几条条策略：文件名为*setup*.exe，阻止；文件名为"*.msi"，阻止。

这样字就可以阻止微软Windows Installer安装程序格式的安装包进行安装，但是缺点是如果是E XE可执行文件进行的安装，那么用户将Setup.exe改名即可以安装了。

软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

原帖由pils于 2008-11-16 22:42 发表软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

不可以的，不允许的优先级要高于允许策略。

▉▉▉▉▉▉▉▉▉▉▉▉▉ 99%运行services.msc运行services.msc，将Windows Installer设为已禁用即可。

组策略中"禁止用户安装"为什么不起作用？在我的工作中我不想让别人在我的电脑上安装其他的软件，我于是我打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止用户安装".可是计算机重起后，我试着安装软件还是能安装上，我不想通过在“管理员”设置一个受限用户来控制这种情况！请问怎样通过组策略或其他的技巧来实现，谢谢！Windows Installer 是系统的一个安装服务程序，它负责由应用程序启动的安装服务。

如何设置受限用户的权限当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user 账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。

一、限制用户对文件的访问权限如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。

通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。

如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。

例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。

具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。

（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。

（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。

（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。

（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。

要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。

系统配置方法电脑在启动时会自动寻找config.sys这个文件，如果没有它，电脑就按默认的方式运行，但这种默认的方式在大部分情况下都不是最适合电脑使用的，所以我们应对电脑进行设置，比如设置对扩展内存的使用，加载光驱驱动程序等。

如果您的电脑出现Windows使用不了、游戏报告内存不够、光驱找不到、无法连接网络等等错误，合理修改config.sys也许能解决一半以上的问题。

config.sys是文本文件，可以用任何编辑器编辑修改。

如果你增添、更改或删除config.sys 文件中的任一配置命令，则这种改变只在下一次启动DOS时才有效。

系统配置文件内核本身也可以看成是一个“程序”。

为什么内核需要配置文件？内核需要了解系统中用户和组的列表，进而管理文件权限（即根据权限判定特定用户（UNIX_USERS）是否可以打开某个文件）。

注意，这些文件不是明确地由程序读取的，而是由系统库所提供的一个函数读取，并被内核使用。

例如，程序需要某个用户的（加密过的）密码时不应该打开/etc/passwd 文件。

相反，程序应该调用系统库的getpw() 函数。

这种函数也被称为系统调用。

打开/etc/passwd 文件和之后查找那个被请求的用户的密码都是由内核（通过系统库）决定的。

除非另行指定，Red Hat Linux 系统中大多数配置文件都在/etc 目录中。

配置文件可以大致分为下面几类：访问文件/etc/host.conf 告诉网络域名服务器如何查找主机名。

（通常是/etc/hosts，然后就是名称服务器；可通过netconf 对其进行更改。

）/etc/hosts 包含（本地网络中）已知主机的一个列表。

如果系统的IP 不是动态生成，就可以使用它。

对于简单的主机名解析（点分表示法），在请求DNS 或NIS 网络名称服务器之前，/etc/hosts.conf 通常会告诉解析程序先查看这里。

/etc/hosts.allow 请参阅hosts_access 的联机帮助页。

给Windows 7 加把安全锁 AppLocker 的实际应用随着计算机和互联网的普及，各种病毒和木马也越来越多，特别是一些新型病毒和木马，往往在杀毒软件提供有效查杀方法前就已经对用户利益造成了严重损害，而在越来越多的重要数据和信息存储在电脑当中的情况下，电脑的安全问题就更显重要。

在Windows7当中，我们可以利用系统自带的AppLocker功能进一步提升系统安全性，做到既不影响平时的正常操作，又可以有效防范恶意程序的运行！启用AppLocker 别忘记运行服务首先，用鼠标右键点击计算机，依次选择“管理→服务”，找到“Application Identity”服务并设为自动启动。

这一步非常重要，因为只有设置为自动启动才能使AppLocker生效。

然后在开始菜单中的搜索框中输入“gpedit.msc”启动组策略编辑器。

依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略”，就可以看到一个名为AppLocker的相关设置项目。

选择这个设置项目以后，在右侧窗口可以看到“可执行规则”、“Windows安装程序规则”和“脚本规则”三种类型(如图1所示)。

在每一种规则上单击鼠标右键都可以创建新规则，就可以根据自己的需要，创建相应的操作规则——提示：第一次使用AppLocker，配置完成后必须重新启动电脑才能使策略生效。

牛刀小试让闪存病毒无计可施平时我们经常要用到闪存，利用它传输或共享一些文件。

可是现在闪存病毒十分猖獗，也常常导致我们的系统反复中毒。

这时我们就可以利用AppLocker创建一条相应的规则，避免闪存病毒对系统的入侵破坏。

闪存病毒传播的一个关键文件就是“AutoRun.inf”，所以只需要禁止这个文件的运行就可以了。

首先我们在左侧窗口列表中选中“脚本规则”，然后在右侧窗口单击鼠标右键选择“创建新规则”命令，这时系统就会弹出“创建脚本规则”的窗口。

在窗口的“操作”中选择“拒绝”，然后在“用户或组”里面选择“Everyone”，再点击“下一步”按钮。