我在用着Windows 8 专业版。我正在尝试创建一个功能非常有限的 Windows 帐户。该帐户仅具有:
远程桌面访问
Shell 由我们自己的内部应用程序替换
访问
FileZilla我们内部应用程序将为他们启动的一个 FTP 客户端(当前)(在命令行上发送登录信息)
我不希望它们能够运行任何其他应用程序。我已禁用任务管理器并替换了 shell,因此它们目前运行其他应用程序的唯一方法是从内部运行FileZilla,因为它允许您“打开”EXE(运行它)或打开其他应用程序的其他文件。
我试过组策略编辑器,据我所知,它所做的只是不允许管理员用户运行应用程序。但对非管理员用户没有影响。我见过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun,但我需要白名单,而不是黑名单,而且我认为这只适用于 Explorer 启动的进程,而不是其他应用程序FileZilla。
我希望黑名单也能使用 EXE 的完整路径,而不仅仅是名称。因为用户将拥有 FTP 能力,以及重命名文件的能力(但系统或程序文件文件夹中没有任何内容,因为这是一个受限帐户)。
我还尝试转到 C 盘的根目录并Deny execute/traverse在文件系统级别添加“ ”权限,但我收到大量有关拒绝访问许多文件夹的错误,例如c:\windows甚至 下的内容c:\users。然后我开始转到每个子文件夹并添加该权限,但这花了很长时间,我仍然收到大量拒绝访问错误(我是从管理员帐户执行此操作的)。
更新——包含已接受的答案,以及我找到的信息这里,我得到了我所需要的。
启动 MMC(Microsoft 管理控制台)。在“开始”菜单搜索框或命令提示符窗口中输入 mmc,或者您也可以使用“运行…”功能。
选择文件并从下拉菜单中选择添加/删除管理单元...。
出现“添加或删除管理单元”对话框。在左侧窗格中,突出显示组策略对象编辑器,然后单击添加 >;。
现在将出现“选择组策略对象”对话框。单击“浏览…”按钮。切换到“用户”选项卡并在列表中选择“非管理员”。单击“确定”。
组策略对象现在应显示“本地计算机非管理员”。单击“完成”。
一旦我能够使用上述步骤为一个用户设置策略,我只需转到“管理模板->系统->仅运行指定的 Windows 应用程序”。我已经尝试过,但缺少有关如何仅为一个用户编辑策略的部分,而不是“仅限管理员用户”(这对我来说似乎是一个奇怪的默认设置)。
答案1
为了进一步阐述其他人所说的内容,执行此操作的“正确”方法是通过 GPO。您可能需要查看软件包“使用 GPMC 的组策略常见场景“,它是一组用于在各种情况下锁定工作站的组策略脚本。我相信您正在寻找 AppStation 脚本。
GPMC 不再使用,但脚本仍然是执行此操作的很好的起点模板。
应用站
当您需要高度受限的配置且仅包含少量应用程序时,可以使用 AppStation 方案。此方案适用于“垂直”应用程序,例如营销、索赔和贷款处理以及客户服务方案。
AppStation 场景有以下特点:
- 允许用户进行最低限度的定制。
- 允许用户访问适合其工作角色的少量应用程序。
- 不允许用户添加或删除应用程序。
- 支持自由就座。
- 提供简化的桌面和开始菜单。
- 用户对本地计算机的写访问权限受到限制,并且只能将数据写入其用户配置文件和重定向文件夹。
- 高度安全。
任务站
当您需要专用于运行单个应用程序的计算机时,请使用 TaskStation 场景,例如在制造车间、作为订单的输入终端或在呼叫中心。
TaskStation 场景与 AppStation 场景类似,但有以下变化:
- 它只安装了一个应用程序,当用户登录时自动启动。
- 没有桌面或“开始”菜单。
亭
在公共区域使用此方案,例如机场,乘客可在此办理登机手续并查看航班信息。由于计算机通常无人值守,因此需要高度安全。
Kiosk 场景有以下特点:
- 是一个公共工作站。
- 仅运行一个应用程序。
- 仅使用一个用户帐户并自动登录。系统在每次会话开始时自动重置为默认状态。
- 无人值守运行。
- 高度安全。
- 操作简单,无需登录程序。
- 不允许用户更改默认用户或系统设置。
- 不将数据保存到磁盘。
- 始终处于开启状态(用户无法注销或关闭计算机)。
使用 Kiosk 方案的工作站类似于 TaskStation,但用户是匿名的,因为他们都共享一个用户帐户,该帐户在计算机启动时自动登录。这是通过按照本文档后面描述的方式修改 Kiosk 计算机来实现的。无法进行任何自定义,也不会保留任何用户状态。
尽管用户会话通常是匿名的,但用户可以登录到特定于应用程序的帐户,例如通过 Internet Explorer 登录到基于 Web 的应用程序(假设 Internet Explorer 是启动时启动的“信息亭应用程序”)。
专用应用程序可以是业务线 (LOB) 应用程序、Internet Explorer 中托管的应用程序或其他应用程序,例如 Microsoft Office 中提供的应用程序。默认应用程序不应是 Windows Explorer 或任何其他类似 shell 的应用程序。Windows Explorer 允许对计算机的访问权限比 Kiosk 计算机的访问权限要多。请确保命令提示符已禁用,并且您用于此目的的任何应用程序都无法访问 Windows Explorer。
应仔细检查用于信息亭场景的应用程序,以确保它们不包含允许用户绕过系统策略的“后门”。例如,它们不应允许用户访问访问文件系统的应用程序。理想情况下,您应仅使用符合“Windows 2000 应用程序规范”、经过 Windows 认证且在允许用户访问禁止功能之前检查组策略设置的应用程序。较旧的应用程序通常不会感知组策略,因此请尝试禁用允许用户绕过管理策略的任何功能。
注册表项跑步和运行一次通过相关策略设置在 Kiosk 场景中禁用。
答案2
最好的方法是通过 GPO 软件限制策略Zoredache 评论,但是如果您没有域,本地 GPO 编辑器的功能就不会那么强大,对您来说也没有那么大用处。
实现此目的的最简单(尽管不是完美)的方法是执行以下操作:
- 将第三方应用程序(如 Filezilla 和您的专有程序)安装到 根目录下的文件夹中
C:/,例如C:/Apps。授予您的用户对此文件夹的权限。 - 拒绝您的用户访问
C:/Program Files和C:\Program Files (x86)文件夹。 - 删除“开始”菜单中的所有文件夹和快捷方式,只保留您批准的应用程序的条目或者 完全删除“开始”菜单并仅使用桌面图标。