我知道这是可以做到的,而且我也在努力,但收效甚微。我认为我想要的组策略是“不运行指定的 Windows 应用程序” - 我可以启用它并将我想要的 .exe 添加到不运行的程序列表中。
我已在本地计算机上尝试过此操作,方法是运行 gpedit.msc,转到“用户配置”>“管理模板”>“系统”,然后选择该策略并编辑和启用它。这样做可以验证它是否有效,因为我无法运行指定的 .exe(XenAppWeb.exe),所以这很棒。
我已经创建了一个 GPO,用于在域控制器上的 GP 管理中执行相同的操作,我们将该操作集中化、强制执行、应用于 OU,并将我们的一台机器放入此 OU 进行测试。我让它在那里待了 3 天,运行 gpupdate /force,当我尝试在这台机器上运行 XenAppWeb.exe 时,它仍然允许我正常运行。
我可以查看什么来解决这个问题?
我应该注意,我正在尝试在 Windows XP 机器(虚拟机)上实施此策略
谢谢,迈克
答案1
一个替代方案是使用软件限制策略(计算机配置 -> Windows 设置 -> 安全设置),而不是“不运行指定的 Windows 应用程序”用户策略。这还将为您提供更多灵活性,让您可以更灵活地选择要阻止的应用程序。
请记住,任何黑名单方法都可以绕过。如果您想确保无法绕过限制,则需要在白名单模式下使用软件限制策略,即指定允许运行的应用程序,而不是不允许运行的应用程序。
答案2
如果您在 GPO 的某些部分设置限制策略,User Configuration那么这将不起作用,除非用户帐户对象位于您应用该策略的 OU 中(或者您启用了环回处理)。
将设置转移到Computer Configuration策略部分,假设您希望无论谁登录这些系统都应用该策略。