域组策略是通过它可以对域中所有的与部分指定的计算机或域用户进行统一管理。

    实验要求:要求人事部的成员不能访问记事本。
    禁止技术部的人访问画图。

    准备实验:准备两台虚拟机,一台虚拟机安装DC和DNS,另一台虚拟机作为客户端进行验证,并且两台虚拟机要求在同一个网段,要确保客户端已经加入了域中。

    开始实验:首先在DC上新建两个组织单位,一个叫技术部,一个叫人事部。

    点击   开始→管理工具→Active Directory用户和计算机,在Users中新建两个组织单位。

利用组策略对域进行管理(限制软件运行)_第1张图片

    在人事部中新建一个叫zhangsan的用户。

利用组策略对域进行管理(限制软件运行)_第2张图片
利用组策略对域进行管理(限制软件运行)_第3张图片
在技术部中新建一个叫lisi的用户。
利用组策略对域进行管理(限制软件运行)_第4张图片

利用组策略对域进行管理(限制软件运行)_第5张图片

    点击   开始→管理工具→组策略管理,在组策略对象中新建一个名叫test的GPO,并拖入人事部中,右击人事部中的test进行编辑。
    展开用户配置→策略→Windows设置→安全设置→软件限制策略,右击创建软件限制策略→其他规则,比较常用的是路径规则和哈希规则,这里我们先用路径规则。

利用组策略对域进行管理(限制软件运行)_第6张图片

找到记事本程序的路径:C:\windows\system32\notepad.exe。安全级别设为“不允许”。

利用组策略对域进行管理(限制软件运行)_第7张图片

    在客户端上切换名为zhangsan的用户,在开始里面打开记事本,可以看到提示

利用组策略对域进行管理(限制软件运行)_第8张图片

    证明记事本已经被禁止。

    在技术部里面我们可以用哈希规则来禁用画图。

    操作和禁止人事部里面的记事本一样。

利用组策略对域进行管理(限制软件运行)_第9张图片

    画图程序的路径:C:\windows\system32\mspaint

利用组策略对域进行管理(限制软件运行)_第10张图片

    在客户端上切换到lisi的用户,再打开画图的时候显示

利用组策略对域进行管理(限制软件运行)_第11张图片

    看到画图程序被禁止,实验成功。