目标

允许“学生”组中的用户执行%WINDIR%/SYSTEM32/osk.exe

---

错误

This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.  

---

背景

域配置非常严格。虽然并不完美，但域的运行方式是，程序只能在白名单基础上启用。

---

配置

Active Directory（AD）配置

• 学生政策

  • 计算机配置

  • 政策

    • Windows 设置
    • ...

    • 安全设定

      • ...
      • 软件限制策略
      • ...
      • 附加规则

        | 名称 | 类型 | 安全级别 | 描述 | 上次修改日期 | 
        
        |----------------------------------------+--------------+----------------+-------------+-------------------------| 
        
        | %windir%\SYSTEM32\osk.exe | 路径 | 不受限制 | | 2017 年 12 月 21 日上午 10:11:58 | 
        
        | %WINDIR%\SYSTEM32\OskSupport.dll 路径 | 不受限制 | | | 2017 年 12 月 21 日上午 10:13:13 |
        
        

    • ...

    • 应用程序控制策略

      • 应用程序锁
      • 可执行规则

         
        | 操作 | 用户 | 名称 | 条件 | 例外 |
        | 拒绝 | EDUSRV0\Students | C:\Program Files\Windows Photo Viewer | 路径 | |
        | 允许 | EDUSRV0\Students | %windir%\System32\osk.exe | 路径 | |
        

    • ...

    • 管理模板：从本地计算机检索的策略定义 (ADMX 文件)。

文本太长，无法在这里甚至 Pastebin 中保存！

• 用户配置
  • 政策
    • ...
    • Windows 设置
    • 安全设定
      • 软件限制策略
      • 附加规则

https://pastebin.com/raw/C4AciNXA

---

屏幕截图