在域内用组策略限制软件运行

公司里有时候会要求限制一些软件在电脑上运行，比如CS，以免公司员工在下面玩游戏

不用上网行为管理之类的，我们只用域本身的组策略可不可以实现呢，答案是可以的！

我们就用飞秋这个软件来简单说一下：

组策略有优先级，记住这些规则：

计算机策略覆盖用户策略；

不同层次的策略产生冲突时，子容器上的gpo优先级高；

同一容器上多个gpo产生冲突时，处于gpo列表最高位置的gpo优先级最高。

本地策略<站点<域<OU；

所以你本地策略优先级是最低的！

运行dsa.msc或在管理工具里打开Active Directory用户和计算机

我们假如要给BB这个组织单位（OU）做一个禁止飞秋的限制策略，可以右建它，属性，里面找到组策略

  

因为我之前装了组策略管理工具

所以它会强制你使用这个工具，点击打开，

看下它里面

装完这个之后，在管理工具里也可以找到它，你直接打开它就行

我已经在BB下面建了一个stop feiq的策略

打开看下，右键策略，点编辑就行

我们看到我在定义在用户配置下了，计算机配置下也可以，不过OU里要有你要的计算机才行

一共有4种规则

我建了一个路径规则和哈希规则：

路径规则就是程序所在的位置，程序换一个位置就不起作用了。

哈希规则只是对固定的一个版本有效，换一个版本就不起作用了，只要找到程序，打开就可以了！

还有证书规则，有证书的程序，在属性里可以导出证书，在打开程序的时候，有证书的程序，也可以自动识别到证书

再有就是区域规则，针对IE里的站点的！

所以，证书规则是最好的！

这是哈希规则创建时的情况

安全级别里一般都默认不受限，否则，在这个策略管辖范围内的所有人所有软件都不能运行了，而不论你定的什么规则！

这个强制里面，可以指定受限对象和受限类型

 

如果不对管理员应用规则，就可以在这里设置

从上面这个图我们可以看到BB这个OU的策略要比域里的默认策略优先级高，所以会先执行

设置完规则记得运行gpupdate /force这个命令，更新组策略，客户端也要执行这个命令，或者干脆注销或重启，不然它有个生效的时间，域控制器5分钟更新一次，客户机90分钟更新一次

在客户机上可以执行rsop.msc查看执行结果有没有生效，当然如果生效，运行程序时会提示你

如果客户机是WIN7，在服务器执行gpupdate /force时会要求你注销才能生效

当然WIN7的提示和XP的提示有点区别，区别就是没有这么多字了，哈哈！

如果多个OU应用同一个策略,可以在创建完一个后剩下的都链接现有GPO就可以了!

 

一般情况下，域中的组策略会从父容器传递到子容器，使用 Active Directory 用户和计算机可查看这一点。组策略不会从父域继承到子域，例如，从 wingtiptoys.com 到 sales.wingtiptoys.com。“Active Directory 域和信任关系”（可用于管理这种类型的关系）与组策略无关。

也就是说如果如果一个OU里面还有OU，里面的OU都会默认执行上层OU的策略，如果不想应用上面的策略，就可以设置阻止继承，“阻止策略继承”选项只能在域和组织单位上设置，而不能在单个组策略对象上设置。

 

上面如果勾选阻止策略继承，假如上层OU做了与这个策略相反策略，比如允许执行飞秋软件，则上层策略也不会覆盖这个策略，如果上层OU没做这样的策略，则默认也不会覆盖这个策略

如果上层OU要强制下层OU使用它的策略，哪怕你下层OU做了相反的策略，那我们可以这样设置

在上层OU策略中，选项打开，选中“禁止替代”复选框后，就会强迫所有子策略容器继承父策略，即使这些策略与子策略相冲突，或者即使已为子容器设置了“阻止继承”选项。

如果你做了一个错的策略，把所有人都限制了，包括域管理员，肿么办呢，我就遇到过这，哎，伤不起

运行mmc,文件，添加或删除管理单元，添加，组策略对象编辑器，添加，然后浏览，可以在相应的OU下找到你定义的策略，你可以直接把它删除了，或再编辑都是可以的！