使用组策略限制软件运行示例

一、组策略应用示例1、隐藏电脑的驱动器位置：用户配置\管理模板\Windows组件\Windows资源管理器\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。

位置：用户配置\管理模板\系统\2、禁用注册表位置：用户配置\管理模板\系统\3、禁用控制面板位置：用户配置\管理模板\系统\如果你只想显示隐藏某些配置，就选择下面的如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看Windows\System32里以cpl结尾的文件。

4、隐藏文件夹选项平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：位置：用户配置\管理模板\Windows组件\Windows资源管理器\5、关闭缩略图缓存有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。

位置：用户配置\管理模板\Windows组件\Windows资源管理器\6、去除开始菜单中的“文档”菜单开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单：位置：用户配置\管理模板\Windows组件\任务栏和“开始”菜单\7、隐藏‘屏幕保护程序“”选项卡有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。

位置：用户配置\管理模板\控制面板\显示8、禁止更改TCP/IP属性我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。

位置：用户配置\管理模板\网络\网络连接把下面两项设为启用：9、删除任务管理器可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。

在XP中如何禁止安装软件一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以二用超级兔子三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----击打开，将启动类型改为已禁止这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi 的肯定不能安装的四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行进管理员帐户：gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以六设置用户权限给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限禁用Windows Installer服务。

server组策略之软件限制策略教程xx年xx月xx日•软件限制策略的基础•软件限制策略的配置•软件限制策略的常见问题及解决方案•软件限制策略的实例应用目录01软件限制策略的基础软件限制策略是一种Server组策略，用于限制用户在服务器上使用和安装软件的权限。

根据限制范围，软件限制策略可分为基本策略和详细策略两种类型，其中基本策略限制用户使用某个软件类别，而详细策略则限制用户使用特定的软件应用程序。

定义与分类策略位置及配置软件限制策略在组策略中的位置计算机配置>管理模板>系统>软件限制策略。

在软件限制策略中，可以配置三种类型的策略灰名单、黑名单和白名单。

其中灰名单是介于黑名单和白名单之间的软件，黑名单是禁止使用的软件，白名单是可以使用的软件。

软件限制策略的规则包括：所有用户、所有软件、所有位置、所有版本、所有应用程序。

在例外中，可以添加允许使用某个软件应用程序的规则，以覆盖软件限制策略中的限制。

策略规则和例外02软件限制策略的配置软件限制策略可以通过配置文件和路径限制，控制特定软件或文件夹的访问权限，保障系统安全性。

总结词文件和路径限制是软件限制策略最常用的手段之一。

管理员可以通过在组策略中设置“软件限制策略”-“不允许指定的软件访问”或“只允许指定的软件访问”两个选项，来实现对特定软件或文件夹的访问控制。

详细描述文件和路径限制总结词哈希值限制是通过配置文件或文件夹的哈希值，实现对特定文件的访问控制，进一步增强系统安全性。

详细描述哈希值限制是一种更为高级的软件限制策略方法。

管理员可以通过在组策略中设置“软件限制策略”-“基于哈希值的软件限制策略”选项，并添加相应的哈希值来实现对特定文件的访问控制。

哈希值限制总结词证书限制是通过配置数字证书，实现对软件的签名和身份认证，提高软件的安全性和可信度。

详细描述证书限制通常用于对软件发布者的身份进行验证和确认。

管理员可以通过在组策略中设置“软件限制策略”-“证书限制”选项，并添加相应的证书来验证软件的签名和身份，从而实现对软件的访问控制。

组策略禁用电脑程序以QQ为例附运行命令首先进入组策略，开始-运行，输入gpedit.msc，进入组策略。

如上图：用户配置-管理模板-系统-不要运行指定的windows应用程序，双击打开下下面的对话框选择’已启动’ ,点击’显示’,弹出显示内容，点击添加，再输入框中输入要禁止的应用程序，如QQ.exe,注意这里要输入的是应用程序的启动程序，要全称+扩展名。

点击确定后就禁止了QQ在本电脑上的运行。

再运行QQ，就会弹出一下窗口。

附‘运行’下的命令：winver 检查Windows版本wmimgmt.msc 打开Windows管理体系结构(wmi)wupdmgr Windows更新程序wscript Windows脚本宿主设置write 写字板winmsd 系统信息wiaacmgr 扫描仪和照相机向导winchat xp自带局域网聊天mem.exe 显示内存使用情况msconfig.exe 系统配置实用程序mplayer2 简易widnows media playermspaint 画图板mstsc 远程桌面连接mplayer2 媒体播放机magnify 放大镜实用程序mmc 打开控制台mobsync 同步命令dxdiag 检查directx信息drwtsn32 系统医生devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理程序diskmgmt.msc 磁盘管理实用程序dcomcnfg 打开系统组件服务ddeshare 打开dde共享设置dvdplay dvd播放器net stop messenger 停止信使服务net start messenger 开始信使服务notepad 打开记事本nslookup 网络管理的工具向导ntbackup 系统备份和还原narrator 屏幕“讲述人”ntmsmgr.msc 移动存储管理器ntmsoprq.msc 移动存储管理员操作请求netstat -an （tc）命令检查接口syncapp 创建一个公文包sysedit 系统配置编辑器sigverif 文件签名验证程序sndrec32 录音机shrpubw 创建共享文件夹secpol.msc 本地安全策略syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码services.msc 本地服务设置sndvol32 音量控制程序sfc.exe 系统文件检查器sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令tourstart xp简介（安装完成后出现的漫游xp程序）taskmgr 任务管理器eventvwr 事件查看器eudcedit 造字程序explorer 打开资源管理器packager 对象包装程序perfmon.msc 计算机性能监测程序progman 程序管理器regedit.exe 注册表rsop.msc 组策略结果集regedt32 注册表编辑器rononce -p 15秒关机regsvr32 /u *.dll 停止dll文件运行regsvr32 /u zipfldr.dll 取消zip支持cmd.exe cmd命令提示符chkdsk.exe chkdsk磁盘检查certmgr.msc 证书管理实用程序calc 启动计算器charmap 启动字符映射表cliconfg sql server 客户端网络实用程序clipbrd 剪贴板查看器conf 启动netmeetingcompmgmt.msc 计算机管理cleanmgr 垃圾整理ciadv.msc 索引服务程序osk 打开屏幕键盘odbcad32 odbc数据源管理器oobe/msoobe /a 检查xp是否激活lusrmgr.msc 本机用户和组logoff 注销命令iexpress 木马捆绑工具，系统自带nslookup ip地址侦测器fsmgmt.msc 共享文件夹管理器utilman 辅助工具管理器gpedit.msc 组策略以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\输入CMD\输入对应的相关实用程序:. 打开C:＼Documents and Settings＼XXX(当前登录Windows XP的用户名).. 打开Windows XP所在的盘符下的Documents and Settings文件夹…打开“我的电脑”选项。

使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略（Group Policy）是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术，用于配置和管理Windows系统中的策略、安全性和资源。

组策略基于Windows管理控制台（MMC）的管理员管理单元，通过使用管理模板文件（.adm）和相关的脚本文件来实现系统设置和用户配置的自定义。

什么是组策略组策略的功能和用途配置安全设置：组策略可以配置安全设置，例如密码策略、账户锁定策略、安全审计策略等。

定制应用程序：管理员可以使用组策略来配置应用程序的运行选项，例如启动位置、数据源、默认打印机等。

控制用户配置：组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等，以及定义用户登录和注销的选项。

组策略具有以下功能和用途管理系统设置：管理员可以使用组策略来修改系统设置，例如启动和关机选项、用户权限和访问控制、安全设置等。

为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源，确保只有经过授权的应用程序可以在系统中运行，防止恶意软件的侵入和破坏。

通过限制软件的运行，可以降低系统被攻击或感染病毒的风险，提高系统的安全性和稳定性。

组策略还可以帮助管理员对系统进行集中管理和配置，减少了管理员的工作量，提高了管理效率。

02组策略基本概念组策略对象是组织单位（OU）和域（Domain）的集合，用于集中管理计算机或应用程序配置。

可以使用组策略来配置计算机或应用程序的各个方面，如软件设置、安全性和用户权限等。

理解组策略对象组策略配置文件（GPO）是存储组策略设置和链接到特定组织单位或域的容器。

每个GPO都有链接到目标组织单位或域的优先级，并且可以覆盖本地组策略设置。

组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。

限制软件运行方法方法一：通过本地安全策略限制首先准备软件证书（以 360为例）右键任何360的安装文件选择属性然后按下图依次操作导出360证书■■o n JBT 稗0用L 韩討出In]'.； 11 « L_<* 1 杆号 - 1 [坯■吉 ihdT^SA EM*尿工•:L ■tial f »(« ¥■* Chut 9 C ori* 丄 ■冇 IP A J31 REW LH 刘空箱忙TE 理 I 1. JM-c*. 唧 E Cim J - 1 - L 了崛-L - ■ JzM^rs* 4MIV&L -再在“管理工具”里找到“本地安全策略”点击打开首次使用要在“软件限制策略”上右击选择“创建软件限制策略 则”然后在控制面板中搜索“ 管理工具”点击打开 母斗云丁日:-'fr L d Jindo.v.冠可；Lv證理丁呉1^7 = ，然后在“其他规则”上右击选择“新建证书规X 二右「 吏芒工 ii**丨为凰I 自丨直』I 回EE最后点击“浏览”，选择你刚刚导出的证书，并且设置安全级别为不允许，再点击确认会弹出如下窗口，点击 是即可。

■.叶户雷軽 L 不碎爭 口冒迟。

金W Iickm-i 麽咒城二网即岳為譯if*附 t> □ __ _.k<7T 恥曲 頤二?—_— 頁翅厂-二啤—— 歆任逐i 牙晴，M 卩崟士廊■ H 『•；£计舁吐名殊" 奘SL ^]ftrttEY_UD... 輕^%HKE¥_LJD...昭疋 应主锻列"晤芝丈使目娶通逐当前未执行证韦规则.星否要启用左们？注;证书规则会对计算和的性能产生负亘寥珮如果是已安装的软件还可以直接可以在点击“浏览”选择“签名的文件”直接找到你要阻止运行的软件文件路径,最后确认即可 最后还要强制证书规则，如图所示'i 祥 st> .4 SBS*”」YA 竝 YfinHm RxC_ t-Uf.llX*.:E 蚩不勺 HHilPlI_ 二话num>忖盂全* ” tt Ql 砒»s ：亡币”乂说包为齐砂.j.jriLrijiffMrjIfiiii —ff fD7j id r 二 H = A::; n#l ili ■三-昭・* 二忙寺.注意此方法会造成所有拥有该证书的软件无法运行，不想其他拥有该证书的软件无法运行可以参考方法方法二：通过组策略限制软件运行适用于只想限制特定的某个软件，而不是所有拥有该证书的其他软件，例如我只想限制QC等其他腾讯软件Win+R运行gpedit.msc打开本地组策略编辑器效果图:依次找到用户配置一一管理模版一一系统一一不运行指定的windows应用程序QQ游戏的运行，而不限制然后在不运行指定的windows应用程序窗口也点击确认即可打开“不运行指定的windows应用程序”，选择“已启用”后点击“显示弹出如下窗口在输入框中输入QQGame.exe然后点击确认（要注意大小写和扩展名）显示内容不幷许的应用程匡別夷效果图:。

打开组策略，gpedit.msc 计算机配置--windows设置---软件限制策略---其他规则---右键可新建规则
D:\Program Files\Tencent\QQGAME
C:\Program Files\Tencent\QQGAME
E:\Program Files\Tencent\QQGAME
等等
就像下面这样：
然后再右键新建散列规则：
关闭开始菜单中的运行命令：
关闭完之后就没有运行命令了！！
如果要使用运行命令的话：打开开始菜单---所有程序---附件---命令提示符--输入gpedit.msc
然后在用户配置---管理模板---任务和开始菜单---将
设置成未被配置就行了。

注意：：：
如何恢复组策略默认设置：（当组策略不能打开，被限制的时候）
你重新启动电脑然后按F8 选择带命令行提示的安全模式~~然后在命令提示符那边输入
mmc.exe
然后依次单击文件---添加/删除管理单元--添加---组策略--添加--完成--关闭--确定
然后进到那个新建的组策略把你刚设置的全取消就行了！。

组策略应用规则示例在AD中创建两个OU，上层为OU1，下层为OU2，在OU2中有一个用户USERA。

1，在OU1中做组策略设置为从桌面删除回收站，OU2为禁止访问控制面板。

因为策略没有冲突，这时USERA为OU1和OU2的策略累加，即从桌面删除回收站，又禁止访问控制面板。

2，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用）。

这时OU1和OU2的策略产生冲突，因为没有强制的设置，所以以后执行的OU2为准，那么USER为阻止访问命令提示符，禁止访问控制面板和从桌面删除回收站（已禁用）。

3，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板，而OU2选择了阻止继承。

这时的USERA为禁止访问控制面板。

4，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用），而这时的OU1设置了强制，OU2设置了阻止继承。

这时的USERA为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

因为OU1选择了强制，并且OU1和OU2还有冲突，这时强制为最高级，它会替换下层OU2中和它相冲突的策略。

在AD中创建一个OU为OU1，并在OU1中创建一个USERB。

在OU1中创建两个组策略分别为GP1和GP2，并GP1排列在GP2的上边。

1，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板，那么USERB为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

无冲突策略累加。

2，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板和从桌面删除回收站（已禁用）时。

因为GP1排列GP2的上边，那么最后USERB 为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

因为GP1在GP2上边，下边的策略先执行，上边的策略后执行，还是后执行的为准原则，所以当GP1和GP2发生冲突时，以后执行的GP1为准！⏹计算机策略覆盖用户策略⏹不同层次的策略产生冲突时，子容器上的GPO优先级高⏹同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高⏹总体原则：后执行的优先级高。