我教授 Visual Studio 编程。我们想在终端服务器上运行它。问题是,每当我们编译程序时,Windows 都会拒绝启动创建的 exe 文件。(我甚至不知道有阻止所有 exe 文件的功能。而且当我们进行编程时,这并不好笑。)显示一个消息框,说运行 exe 文件被组策略阻止。它适用于 .NET 和普通 Win32 exe 程序。问题是我们的 IT 管理员说他们不知道为什么会发生这种情况以及如何关闭阻止。有人可以帮忙吗?
答案1
首先,我希望您的终端服务器是虚拟机。在继续之前,请确保您有虚拟机的干净快照。您的一个学生将利用运行任意应用程序的能力并搞砸您的服务器。您应该定期恢复快照,并且始终在应用补丁或安装或升级软件之前立即恢复。然后在完成后但在任何人可以使用服务器之前拍摄快照。这样,当有人破坏您的服务器时,您所要做的就是恢复快照。
有几种方法可以限制程序运行。
在组策略中,有两个区域需要查看
Policies -> Windows Settings -> Security Settings
:Application Control Policies
和Software Restriction Policies
。还有
RestrictRun
注册表项。最后,第三方应用程序可以使用注册表项
Appinit_DLLs
。
答案2
所有 exe 文件,包括 calc.exe、notepad.exe 和 explorer.exe,还是只是一些 exe 文件?对此有不同的方法。
如果您尝试阻止您熟悉的单个可执行文件,则可以使用以下设置从 GPO 中禁用它:用户配置/管理模板/系统/不运行指定的 Windows 应用程序
另一个选项是仅指定您想要允许的应用程序使用:用户配置/管理模板/系统/仅运行指定的 Windows 应用程序对于安装了许多应用程序的系统或企业环境,这可能需要大量工作才能填充。
上述两个设置均未考虑到用户可以随意命名他们的 exe 文件,因此将 mydangerousapp.exe 重命名为 explorer.exe 将使其成为完全合法的可执行文件。