策略组禁止软件安装.docx
《策略组禁止软件安装.docx》由会员分享,可在线阅读,更多相关《策略组禁止软件安装.docx(21页珍藏版)》请在冰豆网上搜索。
策略组禁止软件安装
ThismodelpaperwasrevisedbyLINDAonDecember15,2012.
策略组禁止软件安装
策略组禁止软件安装
策略可是好东西,禁止软件安装
开始——运行:
——“组策略”、“计算机配置”、“管理模板”、“Windows组件”、“WindowsInstaller”中选择1)
“禁用WindowsInstaller”、(已经启用)
2)“禁止用户安装”(已经启用)
组策略可是好东西
你可以通过自己编写规则来最大限度阻止病毒运行,相当于一层防火墙.
举例来说说吧
U盘病毒盛行,你可用I:
\.exe和I:
\来阻止其运行,很不错吧
还有一些简单规则最有效抗病毒\
这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统还原文件夹保护好了,就算中毒了,也没事!
级别:
学者
2月12日20:
00在WindowsXP中只有管理员登陆才能安装软件,如果是从客户登陆就不能安装,其他的功能几乎一样。
你在自己的机子上就开放Client用户,给别人使用然后自己使用管理员登陆。
这样就可以禁止他人在你的机子上安装软件,当然对自己是没有限制的
WindowsXP客户端的软件限制策略:
1、运行组策略管理模板---Windows组件----WindowsInstaller---禁止用户安装--属性---已启用---禁止用户安装2、右击我的电脑--管理(或者打开管理工具里的服务也行)---服务---WindowsInstaaler--改成禁用---就行了。
也可以用Winlock来设置
降低权限为user即可
-----------------------------------------
内置管理员帐号是不可以降级的。
只可以禁用。
组策略中没有这样的设置,可以结合楼上的说法,禁用内置管理员帐号,给用户普通用户权限
-------------------------------------------
WindowsXP组策略&应用组策略限制垃圾软件的安装和运行
一、组策略的基本知识>
>
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。
此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置InternetExplorer。
>
本文重点介绍的是WindowsXPProfessional的本地组策略的应用。
组策略对本地计算机可以进行两个方面的设置:
本地计算机配置和本地用户配置。
所有策略的设置都将保存到注册表的相关项目中。
对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。
>
访问本地组策略的方法有两种:
第一种方法是命令行方式;第二种方法是通过在MMC控制台中选择GPE插件来实现的。
>
>
1、组策略编辑器的命令行启动
您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“”,然后单击“确定”按扭即可启动WindowsXP组策略编辑器。
(注:
这个“组策略”程序位于“C:
\WINNT\SYSTEM32”中,文件名为“”。
)>
>
在打开的组策略窗口中(如图1所示),可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。
另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。
那么在不同子键下进行相同项目的设置有何区别呢?
这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。
例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。
设置时需注意这一点。
>
2、将组策略作为独立的MMC管理单元打开>
>
若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:
>
(1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。
打开Microsoft管理控制台窗口。
>
(2)选择“文件”菜单下的“添加/删除管理单元”命令。
(3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。
>
(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。
>
(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象。
>
(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。
>
特别提示:
倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。
二、“任务栏”和“开始”菜单相关选项的删除和禁用
在“‘本地计算机’策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。
如图4所示。
>
1、给“开始”菜单瘦瘦身>
如果您觉得WindowsXP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。
在右侧窗格中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。
您只要将不需要的菜单项所对应的策略启用即可。
现在以删除“我的文档”图标为例,具体操作步骤为:
(1)在策略列表窗格中用鼠标双击“从「开始」菜单中删除‘我的文档’图标”设置选项。
(2)在弹出窗口的“设置”选项卡中,选择“已启用”单选按扭,然后单击“确定”按扭即可。
2、保护好你的个人隐私>
出于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,您只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
3、保护好“任务栏”和“开始”菜单的设置
>
倘若您不想随意让他人更改“任务栏”和“开始”菜单的设置,您只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当您用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
4、禁止“注销”和关机
当计算机启动以后,倘若您不希望这个用户再进行关机和注销操作,那么必须将右侧窗格中的“删除「开始」菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
提示:
倘若您在“开始”菜单上删除了“注销”,“注销<用户名>”项目就不会出现在“开始”菜单。
这个设置还从“‘开始’菜单选项”删除“显示注销”项目。
结果是,您无法将“注销<用户名>”项目还原到“开始”菜单。
>
>
三、桌面相关选项的删除和禁用
WindowsXP的桌面就像你的办公桌一样,有时需要进行整理和清洁,有了组策略编辑器,这项工作将变得易如反掌,您只要在“‘本地计算机’策略”中,逐级展开“用户配置”→“管理模板”→“桌面”分支,即可在右侧窗格中显示相应的策略选项。
>
1、隐藏桌面的系统图标>
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
>
若要隐藏桌面上的“网上邻居”和“InternetExplorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的InternetExplorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
>
2、禁止对桌面的某些更改
>
如果您不希望别人随意改变计算机桌面的设置,请在右侧窗格中将“退出时不保存设置”这个策略选项启用。
当您启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
四、禁止访问“控制面板”>
如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(),在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。
>
此项设置可以防止“控制面板”程序文件()的启动。
其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。
另外,这个设置将从“开始”菜单中删除“控制面板”。
同时这个设置还从Windows资源管理器中删除“控制面板”文件夹。
>
特别提示:
如果您想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
>
五、防止用户使用“添加或删除程序”
>
在“控制面板”中,“添加或删除程序”项目允许您安装、卸载、修复并添加和删除WindowsXP的功能和组件以及种类很广的Windows程序。
发行或分配给用户的程序将出现在“添加或删除程序”中。
倘若您阻止其他用户安装和卸载程序,请在“‘本地计算机’策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格中启用“删除‘添加/删除程序’程序”策略选项。
>
>
启用这个设置将从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目;这个设置不防止用户用其他工具和方法安装或卸载程序。
>
>
六、在WindowsXp中设置用户权限>
>
当多人共用一台计算机时,在WindowsXP中设置用户权限,可以按照以下步骤进行:
1、运行组策略编辑器程序()。
>
>
2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限指派”分支。
3、双击需要改变的用户权限。
单击“增加”,然后双击想指派给权限的用户帐号。
连续两次单击“确定”按扭。
>
>
七、在WindowsXP中实现远程关机>
>
在WindowsXP中,新增了一条命令行工具“shutdown”,其作用是“关闭或重新启动本地或远程计算机”。
利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以实现定时关机、远程关机。
该命令的语法格式如下:
>
shutdown[-i|-l|-s|-r|-a][-f][-m[\\ComputerName]][-txx][-c"message"][-d(u)[p]:
xx:
yy]
【上面的()实为[],由于和帖子语法重复故改为()】>
>
其中,各参数的含义为:
>
-i显示图形界面的对话框。
-l注销当前用户,这是默认设置。
>
-mComputerName优先。
>
-s关闭计算机。
-r关闭之后重新启动。
-a中止关闭。
除了-l和ComputerName外,系统将忽略其它参数。
在超时期间,您只可以使用-a。
>
-f强制运行要关闭的应用程序。
-m[\\ComputerName]指定要关闭的计算机。
-txx将用于系统关闭的定时器设置为xx秒。
默认值是20秒。
>
-c"message"指定将在“系统关闭”窗口中的“消息”区域显示的消息。
最多可以使用127个字符。
引号中必须包含消息。
-d(u)[p]:
xx:
yy列出系统关闭的原因代码。
>
【上面的()实为[],由于和帖子语法重复故改为()】>
>
首先,我们来看一下该命令的一些基本用法:
>
1、注销当前用户>
shutdown-l>
该命令只能注销本机用户,对远程计算机不适用。
>
2、关闭本地计算机
shutdown-s
3、重启本地计算机>
shutdown-r>
4、定时关机>
shutdown-s-t30>
指定在30秒之后自动关闭计算机。
5、中止计算机的关闭>
有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown-a来中止。
如:
>
shutdown-s–t300设定计算机在5分钟后关闭。
Shutdown–a取消上述关机操作。
>
以上是shutdown命令在本机中的一些基本应用。
前面我们已经介绍过,该命令除了关闭、重启本地计算机外,更重要的是它还能对远程计算机进行操作,但是如何才能实现呢?
>
在该命令的格式中,有一个参数[-m[\\ComputerName],用它可以指定将要关闭或重启的计算机名称,省略的话则默认为对本机操作。
您可以用以下命令来试一下:
>
shutdown–s–m\\sunbird-t30
>
在30秒内关闭计算机名为sunbird的机器;注:
sunbird为局域网内一台同样装有WindowsXP的电脑。
>
但该命令执行后,计算机sunbird一点反应都没有,但屏幕上却提示“Accessisdenied(拒绝访问)”。
>
>
为什么会出现这种情况呢?
原来在WindowsXP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑来访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。
找到了问题的根源之后,解决的办法也很简单,您只要在客户计算机(能够被远程关闭的计算机,如上述的sunbird)中赋予guest用户远程关机的权限即可。
这可利用WindowsXP的“组策略”或“管理工具”中的“本地安全策略”来实现。
下面以“组策略”为例进行介绍:
>
1、单击“开始”按钮,选择“运行”,在对话框中输入“”,然后单击“确定”,即可打开组策略编辑器。
>
2、在“组策略”窗口的左侧窗格中逐级展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”。
>
3、在“组策略”窗口的右侧窗格中选择“从远端系统强制关机”,通过双击将其打开。
>
4、在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按扭。
5、这时在“从远端系统强制关机”的属性中便添加了一个“guest”用户,单击“确定”即可。
>
6、关闭“组策略”窗口。
>
通过上述操作后,我们便给计算机sunbird的guest用户授予了远程关机的权限。
以后,倘若您要远程关闭计算机sunbird,只要在网络中其他装有WindowsXP的计算机中输入以下命令即可:
>
shutdown-s–m\\sunbird-t30(其他参数用法同上)
这时,在sunbird计算机的屏幕上将显示一个“系统关机”的对话框,提示“系统即将关机。
请保存所有正在运行的工作,然后注销。
未保存的改动将会丢失。
关机是由sunbird\guest初始的。
”在对话框下方还有一个计时器,显示离关机还有多少时间。
在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用shutdown–a命令来中止关机任务。
>
>
八、Windows98访问WindowsXP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows2000的电脑开了共享目录,而装有Windows98的电脑却无法访问的问题。
这个在微软的官方网页上可以找到答案,提示开启Windows2000的GUEST用户就行了。
可是WindowsXP出来以后,同样的又面临这个问题,结果有些人发现这个方法不灵了,从网上邻居访问WindowsXP的共享目录不一定能被允许。
原因何在这个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是WindowsXP的一个BUG>
>
在开启了系统Guest用户的情况下,运行组策略编辑器程序,在“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒绝从网络访问这台计算机”中赫然可以看到有Guest用户!
如果在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。
>
>
环境:
中文WindowsXP,采用传统登录方式并且关闭了“文件夹选项”中的“使用简单文件共享”。
>
九、让WindowsXPProfessional的上网速率提升20%>
>
1、首先必须以系统管理员身份登入系统。
2、运行组策略编辑器程序()。
在“‘本地计算机’策略”中,逐级展开“计算机配置”→“管理模板”→“网络”→“QoS数据包调度程序”分支。
在屏幕右边会出现“QoS数据包调度程序”策略。
接着单击右边子项目的“限制可保留带宽”。
这时,左边会显示“限制可保留带宽”的详细描述。
从这里我们可了解到“限制可保留带宽”的一些基本情况。
了解之后我们就可以对“限制可保留带宽”进行设置了。
单击“限制可保留带宽”下“显示”旁边的“属性”(或者选择子项目“限制可保留带宽”,再点击右键→“属性”也可),出现“限制可保留带宽”对话框,先点击“说明”,再进一步了解“限制可保留带宽”确定系统可保留的连接带宽的百分比情况。
>
之后我们就可以对另外20%带宽进入设置了。
点击“设置”。
“设置”为我们提供了三个选择(未配置、已启用、已禁用),选择“已启用”,接着再将带宽限制旁边的%设置为0%即可,然后按确定退出。
3、单击“开始”→“连接到”→“显示所有连接”。
>
选中你所建立的连接,用鼠标右键单击属性,在出现的连接属性中单击网络,在显示的网络对话框中,检查“此连接使用下列项目”中“QoS数据包调度程序”是否已打了勾,没问题就按确定退出。
>
4、最后重新启动系统便完成对另外20%的频宽利用了
十、禁止MSNMessenger自运行>
>
在WindowsXPProfessional中,有许多系统内置的软件都没有卸载选项,引起很多电脑用户的不满。
若要禁止WindowsMessenger(以上版本)的自动运行。
您只要在“组策略”程序窗口中。
依次通过双击展开“计算机配置”→“管理模板”→“Windows组件”→“WindowsMessenger”分支,再从右边的窗口上,双击“不允许运行WindowsMessenger”,在弹出的“不允许运行WindowsMessenger属性”对话框中点击“已启用”,再单击“确定“按扭退出即可。
>
>
十一、禁用IE6浏览器的相关设置、菜单项和工具栏
在IE浏览
升级会员 