组策略执行顺序优先级到底哪个组策略最终生效

组策略执行顺序优先级到底哪个组策略最终生效

(2008-12-25 16:32:45)

转载

分类：Win2003AD

标签：

组策略

组策略的应用次序是本地->站点->域->OU，如果策略有冲突，则后应用的生效。因为Default Domain Controller policy是OU策略，所以它会覆盖Default Domain Policy的设定，最终生效的是OU上的策略。

主域控上的本地策略和Default Domain Policy冲突|本地策略、域策略以及域控制器策略的区别。我的主DC上的本地策略是独立于默认域策略和默认域控策略的设置。我在默认域策略和默认域控策略禁止了密码复杂性策略，而修改主DC上本地策略启用了密码复杂性策略。可结果却是:域上所以的用户包括管理员和客户端账户都启用密码复杂性策略。反之亦然,就是以主DC上的本地安全策略为准。

我想正常情况下,DC上的本地安全策略应该跟从Default Domain Policy 或者Default Domain Control

Policy里的设置(并且相应部分的配制项应该是灰色的,不可修改的状态)环境

如下:主DC:win2003，2台额外域控:Win2k。dcdiag /v 一切正常，策略更新并重新启动所有DC数次,并观察了几天。我的default domain policy 属性设置的为link enabled且enforced。但是发现主DC上本地安全策略仍旧为可编辑状态，并且当DC的本地安全策略(账号策略)与default domain policy冲突时以DC的本地安全策略为准.是否有什么故障?请问如何设置使DC本地安全策略遵从default domain policy中相应的策略

回答：首先，由于DC之间都是互相同步的，所以您修改了一台dc上的密码策略，它将会同步到域中其它所有dc。那么，您可以认为dc本地策略等同于默认域控制器策略。

再者，由于域中所有用户都会登录到dc，从dc获取安全策略，那么修改dc上的密码复杂性策略，就有

可能影响到所有域账户。

为了避免理解岐义性，以及避免出现不可预测的情况，建议您在且只在域一级设置密码策略。

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

C# 禁止windows程序重复运行的两种基本方法

一般的如果运行一个软件、让他处于运行状态，然后我们再去打开这个程序时就会提示我们“程序已启动或者不能重复启动此程序”，比如QQ对战平台 ，就限制一台机子启动两个QQ 对 战平台，那么他在C#中是如何实现的呢？ 一般有两种方法，我是用的是第一种 方法1： 在项目的第一个窗体的启动事件中 如form1_load() 中添加如下语句 =================================这是什么分割线 ==================================== #region 判断系统是否已启动 System.Diagnostics.Process[] myProcesses = System.Diagnostics.Process.GetProcessesByName("这里是你的程序进程名");//获取指定的进程名 if (myProcesses.Length > 1) //如果可以获取到知道的进程名则说明已经启动 { MessageBox.Show("程序已启动！"); Application.Exit(); //关闭系统 } #endregion ================================================================================ === 好了 这样就可以达到防止用户第二次启动此程序的目的了 当然你也可以把它编辑成一个类 或生成一个dll文件 调用它。 方法2. 在项目的启动引导文件 Program.cs中加入判断语句 ============================================这是什么分割线 ================================================= using System.Linq; using System.Windows.Forms; namespace XiaoZhiSoft { static class Program { ///

如何禁止游戏运行

如何禁止游戏运行 如果你使用的是Windows 2000/XP，可以在组策略中禁止用户运行指定的程序。以Windows 2000为例，启动Windows 2000组策略，依次展开“用户配置”→“管理模板”→“系统”子键，此时可以看到一个“不要运行指定的Windows应用程序”选项，双击该选项，在“策略”选项卡中选择“启用”选项，启动Windows 2000禁止运行指定应用程序的功能，单击“不允许的应用程序的列表”中的“显示”按钮，打开列表框，在列表框中单击“添加”，打开“添加项目”窗口，然后在该窗口中输入需要禁止运行的程序名（可以不输入路径），比方说要禁用注册表编辑器，则输入Regedit.exe，接着点击“确定”，即可禁止该应用程序的运行。如果有多个应用程序要禁用，只需重复上面的步骤，将所有需要禁止运行的应用程序都添加进去，最后单击“确定”按钮，关闭窗口，你的设置就生效了。此后，这些指定的应用程序就不能运行了。 搜狐游戏\Unwise.exe 泡泡游戏\Hall.exe 边锋网络游戏世界\asdegame.exe 浩方对战平台\GameClient.exe 中国游戏中心在线游戏\iGame.exe 互动竞技中心\cngame.exe QQ游戏\QQGame.exe CS1.5中文硬盘版\cstrike.exe -console CS1.6 中文版\cstrike.exe" QQ幻想\liveupdate.exe QQTang\Client.exe 传奇世界\woool.exe 大话西游2\xy2.exe 封神榜\FSOnline.exe 剑侠情缘\JXOnline.exe JxOnline2\Jxonline2.exe 街头篮球\FSBox.exe 劲乐团\O2Jam.exe 劲舞团 v1.6\patcher.exe 魔兽世界\World of Warcraft\Launcher.exe 泡泡堂\ca.exe 盛大富翁\INSTALL.LOG 联众世界\share\GLWorld.exe E块冒险\GameLobby.exe \仙境传说\RoClientPK.exe 宝贝Q\GameBuddy\GameBuddy.exe 飚车\CTRUpdate.exe 超级舞者\sdoupdate.exe 锤锤Online\ChuiChuiOnline\ChuiChuiOnlineLauncher.exe 刀剑Online\刀剑Online.exe 飞飞\FlyFF.exe

教你如何在电脑上面限制安装软件

教你如何限制安装软件！ 一运行gpedit.msc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户： gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限

谈在windows server 中使用软件限制策略

在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。要创建此默认安全级不的特例，能够创建针对特定软件的规则。能够创建以下几种规则：?哈希规则 ?证书规则 ?路径规则

? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略，能够执行以下任务： ?操纵能够在计算机上运行的程序。例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上，仅同意用户运行特定的文件。例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

Windows组策略中软件限制策略规则编写示例

Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行，一般是创建诸如： C:\Program Files\*.* 不允许 这样的规则，看起来是没有问题的，但在特殊情况下则可能引起误伤，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果此目录 下存在如https://www.wendangku.net/doc/c718277295.html, 这样的目录（如C:\Program Files\https://www.wendangku.net/doc/c718277295.html,\Site Map https://www.wendangku.net/doc/c718277295.html,），同样可以和规则匹配，从而造成误伤，解决方法是对规则进行修改：C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录，从而不会造成误伤。 上网安全的规则 我们很多时候中毒，都是在浏览网页时中的毒，在我们浏览网页时，病毒会通过浏览器漏洞自动下载到网页缓存文件夹中，然后再将自身 复制到系统敏感位置，比如windows system32 program files等等目录下，然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件，基于此，我们可以创建如下规则： %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器，同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法： U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高，也不会对U盘的正常操作有什么限制。 CMD限制策略

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

在Windows 7禁止某个程序运行

在Windows 7禁止某个程序运行 时间:2010-11-09来源:Zhhuu 作者:Zhhuu 点击:725次 本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序。 1.按Win+R键启动运行框，输入regedit并单击确定。进入 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer（如果没有就自己创建一个）（图1） 图1 2.右键单击右侧窗格并选择“新建→DWORD (32-位)值”。命名新值为DisallowRun（图2）。

图2 3.双击该值并将它的值更改为1。单击确定关闭对话框（图3）。 图3

4.在Explorer上右键单击并选择“新建→项”。该新项也命名为DisallowRun（图4）。 图4 5.右键单击右侧窗格并选择“新建→字符串值”（图5）。

图5 6.你可以命名为任何你喜欢的名称（例如：测试，程序1，程序2…）。双击它并输入你想要禁用的程序名称。（你必须包括exe扩展名。例如：chrome.exe）（图6） 图6 7.注销系统才能生效。当你启动该已禁用程序，你会得到这样的提示（图7）： 图7 8.要恢复程序，只需简单地删除字符串值即可。 注：每个字符串值允许你禁用一个程序。你可以重复5、6步骤禁用更多程

序。 请确保你提供的程序的exe名称是正确的否则将无法正常工作。你可以通过右键单击其快捷方式找到正确的exe的名称，选择属性并看到目标（图8）。 图8 (责任编辑：Zhhuu)

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

修改注册表禁止程序运行

修改注册表或组策略，禁止运行指定程序 对于windows 专业版，可以在组策略里面操作，禁止运行指定的程序： 运行gpedit.msc ，启动组策略，打开“用户配置”→“管理模板”→“系统”； 点击“系统”目录，在右边窗口中找到“不要运行指定的windwos应用程序”，双击打开，进入“不要运行指定的windwos应用程序属性”窗口； 选中“已启用”，再点击“显示”按钮，进入“显示内容”窗口，点击“添加”按钮； 在“添加项目”窗口中，输入应用程序的准确名称：如QQ.EXE 等等。确定，返回“组策略”主界面。或这再次点击“添加”按钮，添加下一个程序。 如果是Home家庭版，没有组策略，需要在注册表里面操作，方法如下： 注册表里面，相关的键项是 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer\DisallowRun 如果没有这个键项，就手动添加这个键项。 在右边窗口新建字符串值，数值为准备禁止的程序名称。 或者，把以下内容修改一下，就是把"1"="xxxxx.exe" 里面的xxxxx修改成需要禁止的程序名，比如，如果要禁用QQ程序，就设置为： "1"="QQ.exe" 等； 如果要继续禁用其他程序，比如，还要禁用QQ游戏程序，在"1"="QQ.exe" 下

添加一行，把1改为2 ……，把QQ.exe改成其他程序，如下例所示："2"="QQGame.exe" 然后，把以下蓝色文字内容拷贝到记事本里面，另存为DisallowRun.reg文件（或者先保存为DisallowRun.txt文件，然后修改后缀.txt为.reg 。 在文件夹选项，查看里面，把“隐藏已知文件类型的扩展名”取消，才可以修改后缀），注意，其中的xxxxx表示需要禁止的程序的名字，然后，双击这个DisallowRun.reg文件导入注册表即可生效，QQ或QQ游戏就无法打开了： Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\DisallowRun] "1"="xxxxx.exe"

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

通过组策略可以实现禁止安装软件

通过组策略可以实现禁止安装软件，当然通过注册表也是可以实现的，现发2个注册表文件来实现软件的禁止安装与否，有兴趣的可以下载，不需要钱的，放心好了。不想下载的话，也可以自己做一个REG文件。方法如下，新建一个TXT文档，把这些：Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头，最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源：自由天空技术论坛，原文链接：https://www.wendangku.net/doc/c718277295.html,/thread-14291-1-1.html 使用方法：将下述代码保存为：*.bat ，*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

禁止电脑开机时软件自动启动的两种方法

禁止电脑开机时软件自动启动的两种方法 编外：如果安装了360等安全辅助工具的话操作更加方便。 中关村在线 摘要：大家通常会感觉到新装的电脑在使用了一段时间后，会变得越来越慢，特别是开机的时候。这是因为安装了很多软件后，这些软件会自动加载在开机时启动。启动项增多，不仅影响启动速度，而且占用资源。既然我们知道了其中的原由，就有办法解决禁止软件的自动启动。 很多朋友通常会感觉到新装的电脑在使用了一段时间以后，就会变得越来越慢，特别是在开机的时候，要等好几分钟才能对电脑进行操作。这是因为我们在安装了很多软件以后，这些软件就会自动加载在开机的时候启动。这样，久而久之我们安装的软件越来越多开机启动程序也就跟着增多，这样不仅影响机器的启动速度，而且非常占用系统资源，使得整机的性能都下降，这是我们不愿意看到的。 既然我们知道了其中的原由，就有办法解决禁止软件的自动启动。目前常用的方法有：用Windows命令禁止;直接修改注册表。那么就让我们分别来看一下。 一、用Windows命令禁止软件的自动启动 这个方法相对来说就比较简单一些。点击“开始”—“运行”(或者直接用WIN+R也可以)，接着输入“msconfig”敲回车(如图1)。在系统配置实用程序的窗口中选择“启动”的页面(如图2)。同样，在这里列出了很多开机时候自动启动的程序，你可以把它们前面的小勾取消就可以了，点确定。接着，系统会提示你是否要重新启动，因为只有重新启动以后才能生效。

图1 图2 二、修改注册表彻底禁止软件的自动启动 有的朋友常会发现，明明禁止了某软件的启动，可是它有自动加载了，很是烦人(如R ealplayer)。遇到这种情况我们可以用修改注册表来彻底禁止软件的自动启动。这种方法一般不推荐刚刚接触电脑的新手，因为稍有不慎你就可能出错，从而使系统出错而崩溃。 点击“开始”—“运行”输入“regedit”打开注册表编辑器，切换到 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun先清理掉你不想启动的程序,注意不要乱删。 然后在Run上点右键—权限—高级—添加—输入everyone—确定。然后把设置数值的拒绝勾上(其他都不要勾，这样不会影响到你想要启动的程序)然后确定。同样的方法把H KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun也搞定。 这样，任何软件都无法自动添加到启动了。除非你想，只要删掉权限里面的everyon e即可。这样还可以从一定程度上防止木马程序，因为大多数木马也是加在这里，无法随系统启动当然也无法搞破坏了。