Windows XP 客户端的软件限制策略三
管理员可能要禁止大多数用户运行某些程序,但允许管理员运行所有这些程序。例如,管理员可能有一台多个用户通过终端服务器连接的共享计算机。管理员希望用户只运行计算机上的特定应用程序,但希望本地 Administrators 组中的成员能够运行所有程序。可以使用“跳过管理员”强制选项来执行此操作。
如果在链接到 Active Directory 中的对象的 GPO 中创建了软件限制策略(而不是使用“跳过管理员”选项),则 Microsoft 建议拒绝将此 GPO 上的“应用组策略”权限授予 Administrators 组。因为未下载不应用于管理员的 GPO 设置,因此这将降低网络通信量。
注意:本地安全策略对象中定义的软件限制策略无法过滤用户组。这种情况下,请使用“跳过管理员”选项。
要打开“跳过管理员”选项,请执行下列操作:
在上图 6.9 中的“强制属性”对话框中,选择“除本地管理员以外的所有用户”。
定义可执行文件
下图 6.10 中的“指派的文件类型属性”对话框中列出了软件限制策略控制的文件类型。指派的文件类型被视为可执行文件。例如,屏幕保护文件 (。scr) 便被视为可执行文件,因为在 Windows 资源管理器中双击该文件时,它将作为程序加载。
软件限制策略规则只适用于“指派的文件类型属性”对话框中列出的文件类型。如果环境使用要应用规则的文件类型,请将该文件类型添加到列表中。例如,对于 Perl 脚本文件,可以选择将 .pl 以及其他与 Perl 引擎关联的文件类型添加到位于“指派的文件类型属性”对话框中“常规”选项卡下的“指定的文件类型:”列表中。
图 6.10
“指派的文件类型属性”对话框
本示例删除了文件类型 .mdb,并添加了 .ocx.下表列出了指派的文件类型。
表 6.3:指派的文件类型
| 文件扩展名 | 文件描述 |
| 。ade Microsoft Access | 项目扩展名 |
| 。adp Microsoft Access | 项目 |
| 。bas Visual Basic | 类模块 |
| 。bat | 批处理文件 |
| 。chm | 已编译的 HTML 帮助文件 |
| 。cmd Windows NT | 命令脚本 |
| 。com MS-DOS | 应用程序 |
| 。cpl | 控制面板扩展名 |
| 。crt | 安全证书 |
| 。exe | 应用程序 |
| 。hlp Windows | 帮助文件 |
| 。hta HTML | 应用程序 |
| 。inf | 安装信息文件 |
| 。ins Internet | 通信设置 |
| 。isp Internet | 通信设置 |
| 。js JScript | 文件 |
| 。jse JScript | 编码的脚本文件 |
| 。lnk | 快捷方式 |
| 。mde Microsoft Access MDE | 数据库 |
| 。msc Microsoft Common Console | 文档 |
| 。msi Windows Installer | 程序包 |
| 。msp Windows Installer | 修补程序 |
| 。mst Visual | 测试源文件 |
| 。ocx ActiveX | 控件 |
| 。pcd Photo CD | 图像 |
| 。pif MS-DOS | 程序的快捷方式 |
| 。reg | 注册表项 |
| 。scr | 屏幕保护程序 |
| 。sct Windows | 脚本组件 |
| 。shs | 外壳片段对象 |
| 。url Internet | 快捷方式(统一资源定位器) |
| 。vb VB | 文件 |
| 。vbe VBScript | 编码的脚本文件 |
| 。vbs VBScript | 脚本文件 |
| 。wsc Windows | 脚本组件 |
| 。wsf Windows | 脚本文件 |
| 。wsh Windows | 脚本主机设置文件 |
已知问题
如果将软件限制策略配置为限制 16 位程序(如 command.com 或 edit.com),用户仍然可以启动该程序,即使他们没有运行该程序的权限。要解决此问题,可以在环境中的客户端上安装 Windows XP Professional Service Pack 1.ww.xker.com(新客网)
最新相关文章发表评论