使用 Windows 中的软件限制策略,我可以阻止用户启动不需要的软件。我的问题是,我可以为不同的用户组设置不同的规则吗?
我希望有一个“标准”组可以启动C:\Windows和C:\Programs(以及其他目录)中的所有程序,还有一个“来宾”组只能启动极少数程序。但是,到目前为止,我只找到了实现一组规则的方法。
目前我使用c't 工具限制器似乎无法做到这一点。此外,我找到的 Microsoft 网站没有提供任何相关信息。我使用 Windows 10 Professional。感谢您的帮助。
答案1
设想
您想阻止所有销售部门员工安装软件、打开便携式应用程序和 PowerShell,但不阻止公司其他员工。
指导
- 在 AD 中创建 OU 结构,例如:company.com > users > sales
- 将您的用户添加到该 OU
- 在组策略管理中,展开您的 OU,company.com > 用户 > 销售,然后右键单击销售文件夹并选择“在此域中创建 GPI,并在此处链接...”
- 现在右键单击您刚刚创建的新策略并“编辑...”。
- 确保在“用户配置”而不是“计算机配置”下创建策略(“用户配置”>“策略”>“Windows 设置”>“安全设置”>“软件限制策略”)
示例政策
Enforcement > All users except local administrators
Designated File Types > Remove: LNK
Designated File Types > Add: PSH, PS1, PSM1, PSD1, APPX, AppxBundle, WSF, FNT, FON, OTF, TTF, PS, GADGET, CAB
Security Levels > Disallowed
附加规则:
不受限制(非常重要)
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
其他不受限制
%USERPROFILE%\AppData\Local\Microsoft\OneDrive
%USERPROFILE%\AppData\Local\Google
%USERPROFILE%\AppData\Local\Mozilla Firefox
%USERPROFILE%\AppData\Local\Mozilla Thunderbird
%USERPROFILE%\AppData\Local\BraveSoftware
%USERPROFILE%\AppData\Local\Opera
受限制的*
C:\Windows\System32\WindowsPowerShell
C:\Windows\SysWOW64\WindowsPowerShell
*不要在限制中使用环境变量,否则可能会出现绕过的情况