使用组策略的计算机配置中的设置有“软件限制策略”,在计算机配置设置的软件策略和登录的用户没有关系。如果想禁止用户运行特定应用程序,可以使用组策略中的用户配置下的软件限制策略和禁止用户运行特定程序名称的的程序两种方法。
如果基于程序的名称限制,如果用户更改可执行文件的名称,限制失效。基于软件哈希值来限制,需要针对同一软件的不同版本创建多个软件限制策略。比如Windows 7下的记事本和Window XP的记事本程序需要创建两个软件限制策略。
使用哈希规则禁止培训部用户运行记事本软件。为了在DCServer上浏览到eduPC1上notepad.exe文件,需要关闭Windows 7的防火墙。
1. 如图4-148所示,在eduPC上以管理员身份登录,点击“开始”à“运行”,输入wf.msc,点击“确定”。
2. 如图4-149所示,在出现的高级安全Windows防火墙对话框,点中“本地计算机上的高级安全Windows防火墙”,可以看到详细窗口,公用配置文件是活动的,点击“Windows 防火墙属性”。
图 4-148打开高级Windows 防火墙 图 4-149 查看活动的配置文件
3. 如图4-150所示,在出现的高级安全Windows防火墙-本地计算机属性对话框,在公用配置文件标签下,防火墙状态选择“关闭”,点击“确定”。
4. 如图4-151所示,在DCServer上以域管理员登录,打开组策略管理工具,在出现的组策略管理工具对话框,右击链接在培训部组织单元的组策略“eduGPO”,点击“编辑”。
图 4-150 关闭防火墙 图 4-151 编辑组策略
5. 如图4-152所示,在出现的组策略管理编辑器对话框,在用户配置下,右击“软件限制策略”,点击“创建软件限制策略”。
6. 如图4-153所示,可以看到“不受限的”是默认的设置。
图 4-152 创建软件限制策略 图 4-153 默认不受限
7. 如图4-154所示,右击“其他规则”,点击“新建哈希规则”。
8. 如图4-155所示,在出现的新哈希规则对话框,点击“浏览”。
图 4-154 新加哈希规则 图 4-155 浏览exe
9. 如图4-156所示,在出现的打开对话框,文件名输入\\10.7.10.233\c$\Windows\notepad.exe,点击“打开”。这样能够浏览到安装了Windows 7的edupc1上的记事本程序。
10. 如图4-157所示,安全级别选择“不允许”。
图 4-156 选择Windows7的记事本程序 图 4-157 不允许运行
11. 如图4-158所示,在eduPC1上,以培训部用户韩立辉登录。
12. 如图4-159所示,点击记事本程序,提示此程序被组策略阻止,点击“确定”。
图 4-158 登录验证组策略 图 4-159 软件限制策略生效
13. 如图4-160所示,在eduPC1上,以市场部组织单元张辉登录,
14. 如图4-161所示,点击“记事本”程序,能够打开。可见针对用户的软件限制策略和登录的用户有关,与计算机无关。
图 4-160 换用户登录 图 4-161 能够登录
15. 如图4-162所示,在marketPC1上,以培训部用户韩立辉登录。
16. 如图4-163所示,点击“开始”à“附加”à“记事本”,能够打开记事本程序。因为Windows 7和Windows XP的记事本程序版本不一样。所以针对Windows 7上的记事本哈希值进行的软件限制,对WindowsXP无效。
图 4-162 登录 图 4-163 能够运行
广告