我需要锁定一个工作站,以便名为“Assistant1”的本地用户无法启动除记事本之外的任何应用程序。
谁能告诉我从哪里开始?
操作系统是 Windows XP SP2 或 SP3。计算机连接到域,用户是非管理员的本地用户(属于来宾组)
答案1
对于 Windows XP,多年来推荐的解决方案是使用Windows SteadyState,这是 Microsoft 直接提供的工具。Microsoft 不再提供此工具的下载,但您可以从第三方下载网站获取它。
您还可以阅读上面链接的维基百科文章,了解有关可能的替代方案的信息;一些 Steady State 替代方案(通常需要花钱)可用于 Windows XP。
请注意,您几乎肯定需要对 PC 的管理访问权限,仅用于安装和配置软件以锁定系统。此后,您不需要管理员帐户;您可能可以禁用它。
还请注意,Windows XP 几乎完全不受支持,因此,如果 SteadyState 不能满足您的需求或您无法找到下载,那么升级并探索较新版本的 Windows 和替代的稳定状态程序可能是明智之举。
答案2
你可能想看看这个包“使用 GPMC 的组策略常见场景“,它是一组用于在各种情况下锁定工作站的组策略脚本。我相信您正在寻找 AppStation 或 TaskStation 脚本。
应用站
当您需要高度受限的配置且仅包含少量应用程序时,可以使用 AppStation 方案。此方案适用于“垂直”应用程序,例如营销、索赔和贷款处理以及客户服务方案。
AppStation 场景有以下特点:
- 允许用户进行最低限度的定制。
- 允许用户访问适合其工作角色的少量应用程序。
- 不允许用户添加或删除应用程序。
- 支持自由就座。
- 提供简化的桌面和开始菜单。
- 用户对本地计算机的写访问权限受到限制,并且只能将数据写入其用户配置文件和重定向文件夹。
- 高度安全。
任务站
当您需要专用于运行单个应用程序的计算机时,请使用 TaskStation 场景,例如在制造车间、作为订单的输入终端或在呼叫中心。
TaskStation 场景与 AppStation 场景类似,但有以下变化:
- 它只安装了一个应用程序,当用户登录时自动启动。
- 没有桌面或“开始”菜单。
亭
在公共区域使用此方案,例如机场,乘客可在此办理登机手续并查看航班信息。由于计算机通常无人值守,因此需要高度安全。
Kiosk 场景有以下特点:
- 是一个公共工作站。
- 仅运行一个应用程序。
- 仅使用一个用户帐户并自动登录。系统在每次会话开始时自动重置为默认状态。
- 无人值守运行。
- 高度安全。
- 操作简单,无需登录程序。
- 不允许用户更改默认用户或系统设置。
- 不将数据保存到磁盘。
- 始终处于开启状态(用户无法注销或关闭计算机)。
使用 Kiosk 方案的工作站类似于 TaskStation,但用户是匿名的,因为他们都共享一个用户帐户,该帐户在计算机启动时自动登录。这是通过按照本文档后面描述的方式修改 Kiosk 计算机来实现的。无法进行任何自定义,也不会保留任何用户状态。
尽管用户会话通常是匿名的,但用户可以登录到特定于应用程序的帐户,例如通过 Internet Explorer 登录到基于 Web 的应用程序(假设 Internet Explorer 是启动时启动的“信息亭应用程序”)。
专用应用程序可以是业务线 (LOB) 应用程序、Internet Explorer 中托管的应用程序或其他应用程序,例如 Microsoft Office 中提供的应用程序。默认应用程序不应是 Windows Explorer 或任何其他类似 shell 的应用程序。Windows Explorer 允许对计算机的访问权限比 Kiosk 计算机的访问权限要多。请确保命令提示符已禁用,并且您用于此目的的任何应用程序都无法访问 Windows Explorer。
应仔细检查用于信息亭场景的应用程序,以确保它们不包含允许用户绕过系统策略的“后门”。例如,它们不应允许用户访问访问文件系统的应用程序。理想情况下,您应仅使用符合“Windows 2000 应用程序规范”、经过 Windows 认证且在允许用户访问禁止功能之前检查组策略设置的应用程序。较旧的应用程序通常不会感知组策略,因此请尝试禁用允许用户绕过管理策略的任何功能。
注册表项跑步和运行一次通过相关策略设置在 Kiosk 场景中禁用。