利用组策略对于进行管理（限制软件运行）

域组策略是通过它可以对域中所有的与部分指定的计算机或域用户进行统一管理。


实验要求：要求人事部的成员不能访问记事本。

    禁止技术部的人访问画图。
准备实验：准备两台虚拟机，一台虚拟机安装DC和DNS，另一台虚拟机作为客户端进行验证，并且两台虚拟机要求在同一个网段，要确保客户端已经加入了域中。
开始实验：首先在DC上新建两个组织单位，一个叫技术部，一个叫人事部。

点击开始→管理工具→Active Directory用户和计算机,在Users中新建两个组织单位。

    在人事部中新建一个叫zhangsan的用户。

在技术部中新建一个叫lisi的用户。

    点击   开始→管理工具→组策略管理，在组策略对象中新建一个名叫test的GPO，并拖入人事部中，右击人事部中的test进行编辑。
    展开用户配置→策略→Windows设置→安全设置→软件限制策略，右击创建软件限制策略→其他规则，比较常用的是路径规则和哈希规则，这里我们先用路径规则。

找到记事本程序的路径：C:\windows\system32\notepad.exe。安全级别设为“不允许”。

    在客户端上切换名为zhangsan的用户，在开始里面打开记事本，可以看到提示

    证明记事本已经被禁止。

    在技术部里面我们可以用哈希规则来禁用画图。

    操作和禁止人事部里面的记事本一样。

    画图程序的路径：C:\windows\system32\mspaint

    在客户端上切换到lisi的用户，再打开画图的时候显示

    看到画图程序被禁止，实验成功。

原文地址：https://blog.51cto.com/13423207/2412574

时间： 2024-11-08 10:52:54

利用组策略对于进行管理（限制软件运行）的相关文章

域环境下利用组策略实现统一管理

域环境下利用组策略实现统一管理 1) 组策略配置准备工作: 域控---新建---组织单位 Network 添加账户hansongwei 新建组策略对象注:win 2003与win 2008 的区别 Win 2003[管理工具][Directory Active 用户和计算机]选择整个域或者某个组织单位,右键单击,[属性]---[组策略] Win2008 [管理工具][组策略管理] 本实例以win 2003为例新建---组策略对象 networkGPO 编辑 networkGPO 做相

利用组策略提升域用户安装exe布置的软件

背景: 利用组策略安装软件有两个格式,分别是MSI和EXE. msi:部署MSI软件是不需要用管理员的权限进行安装的,但是MSI的软件凤毛麟角,都要自己通过封装来把EXE重新打包MSI. exe:部署exe通过写简单的zap脚本来部署,但是有些软件是需要管理员的权限来安装的.所以导致很多exe安装的软件还是需要管理员来安装. 为了解决这个方法,可以利用组策略来提升权限来安装部署的exe软件. 1,在相关的组建立GPO. 2,编辑GPO,打开计算机配置-策略-管理模板-windows组件-wind

利用组策略分发软件

如何在网络环境下实现软件的统一安装,这是一个在网络管理中经常遇到的棘手问题,而通过组策略可以轻松解决这个问题.实现软件的统一安装与部署是组策略提供的强大功能,其缺点是通过组策略只能分发以MSI为扩展名的安装程序包实验环境:两台原始干净的虚拟机,一台安装域控服务器,另一台作为客户机,并且要加入域.域控服务器的IP地址为:192.168.15.7客户机的IP地址为:192.168.15.5 首选dns为192.168.15.7在DC上创建的域为17w2.com准备一个软件安装包实验目的:利用组策略

server2008R2WSUS部署使用组策略进行统一管理

注意:本步骤为域用户通过组策略统一设置WSUS服务器.如果不是域用户,而是单独的工作组用户,可以通过本地组策略来设置. 1) 以域管理登陆DC01服务器. 2) 打开"Active Directory 用户和计算机". 3) 右键选择新建"组织单元". 使用命令将加入域的计算机重定向到指定的OU redirusr ou=WSUS,dc=vip-corp,dc=com 将计算机加入到域后,已经进入指定的OU内打开"管理工具---组策略管理",找到

利用组策略更改本地账户密码

所有用户加入域后,采用域账户,将用户原来使用的administrator 统一更改密码,防止用户自己继续使用administrator账户. windows 2008R2 组策略新增了首先项功能,丰富了组策略功能,许多原来需要脚本执行的策略,可以直接利用首先项执行.注:xp系统需安装KB943729.exe补丁使用组策略--计算机策略. 只能在以下计算机上 GPMC 的"组策略管理编辑器"窗口中的"用户或计算机配置"下的新"首选项"文件夹中配置

组策略应用之部署bginfo软件

在公司局域网使客户端技术支持人员,更快处理客户端问题,技术人员往往通常远程控制客户端来解决问题,但我们在电话里让普通用户告诉其IP地址, 说了大半天时间有时候还不知道从哪里看IP:下面我们通过公司域环境环境中使用Bginfo软件,通过脚本和组策略来实现所面的系统信息: 官方下载地址:https://technet.microsoft.com/en-us/sysinternals/bb897557 为实现域客户端桌面显示主机名.IP地址信息和登录名的过程大致如下: 1.用bginfo生成配置文件b

解决win10打开组策略弹出管理模板对话框问题

今天win10企业版更新完系统,打开组策略编辑器时弹出管理模板对话框问题 1.问题描述打开组策略编辑器时弹出管理模板对话框问题 2.解决方法 1)window+x 打开命令提示符(管理员) 2)输入命令,takeown /F " C:\Windows\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx" /A 3)成功后,找到C:\Windows\PolicyDefinitions\Microsoft-Windows

利用组策略API 编辑GPO(Group Policy Object)

用windows自带的GPO Editor编辑修改,然后利用注册表监控器regFromApp监视注册表的改动,就知道某个策略修改了注册表的哪个字段了. 下面是禁止U盘访问的例子: 1 #include <gpedit.h> 2 #include <windows.h> 3 #include <objbase.h> 4 #include <comdef.h> 5 #include <sstream> 6 #include <iostream&

组策略部署软件-计算机配置和用户配置的区别

在活动目录中,利用组策略来部署软件分为计算机配置和用户配置,这其中有什么区别呢? 计算机配置:在GPO链接的组中的所有计算机,在开机的时候,会部署软件. 用户配置: 已分配:在用户登录的时候会在桌面上加载一个快捷方式,双击的时候会自动安装. 已分布:在用户登录的时候,不会在桌面上作任何改变,只会在用户点击获得程序(从网络上安装程序)的时候,才会显示软件,用户可以自己选择安装.