我正在尝试使用本地 GPO 设置具有应用程序限制的 PC。我选择的方法是使用“仅运行指定的 Windows 应用程序”。我的问题是:Windows 中批处理文件使用的可执行文件是什么?这是因为我想在启用此 gpo 时允许运行批处理文件。最好指定允许运行哪些批处理文件。
表格说明
- 组策略对象 (管理控制台)
- 用户配置 -> 管理模板 -> 系统 -> 仅运行指定的 Windows 应用程序
- 如何
file.bat
与其他可执行文件一起包含以允许运行?换句话说,file.exe
与运行 bat 文件有什么关系?
答案1
Windows 中批处理文件使用的可执行文件是什么?
它实际上是 COMMAND.COM 或 cmd.exe。
当运行批处理文件时,shell 程序(通常是 COMMAND.COM 或 cmd.exe)会读取该文件并执行其命令(通常逐行执行)。
了解明确禁止 command.com 或 cmd.exe 不是一个好主意可能会有所帮助。Windows 无法启动 COMMAND.COM 或 cmd.exe 会导致未定义的行为。
这是因为我想允许在启用此 GPO 时运行 bat 文件。最好指定允许运行哪些批处理文件。它不能是 (cmd.exe),因为它在本地 GPO 中的“指定”列表中,并且仍然不允许执行批处理文件。我如何将 file.bat 与其他可执行文件一起包含以允许运行?
如果您允许执行 cmd.exe,但 .bat 文件仍然被阻止,则您很可能阻止了用户访问命令提示符。
此外,如果用户可以访问命令提示符 Cmd.exe,则此设置不会阻止他们在命令窗口中启动不允许使用 Windows 资源管理器启动的程序。
解决您的问题的方法是使用批处理脚本以外的其他脚本。如果您要使用 PowerShell,则可以允许执行此操作,