继续域控组策略工作:
本节介绍限制用户只能运行指定的程序。
一:只运行指定的 Windows 应用程序
我只模拟配了一个程序,实际要根据需要配置的。
二:防止从"我的电脑"访问驱动器
不知道这是bug还是设计如此,反正限制的是应用程序的文件名,没有路径,没有MD5验证,随便想运行什么的话,直接把执行程序的名字改成许可的就又可以运行了,那么我们要防止使用文件资源管理器来改程序名。
三:绑定策略到OU
1.计算机策略
以前设置的策略主要是计算机策略,将策略绑定到对应的组织单位即可。
如下策略绑在组织单位上
那么这两台计算机就可以接收到对应的策略了。
2用户策略
如果用户还在Users里面,是无法生效的,简单处理,我将这两个自动登录计算机使用的自动登录用户也 放这个OU里面,生效实现软件限制策略。
结语:
貌似规范的做法应该是把用户也分组管理,用户策略绑用户组织,计算机策略绑计算机组织。