按需配置,不同用户不同组策略

陈楚杰2015-08-04 08:59应用 标签:策略 配置 用户

为了阻止舍友们用我的电脑玩QQ游戏,我使用组策略方法进行限制。不过这样自己需要运行这些程序时,每次还得进去组策略编辑器里取消限制,用完又得恢复限制,实在麻烦。组策略里有没有只限制他人而不限制自己的方法?

【解题思路】

在Vista以前版本的Windows系统中,所有用户的组策略是一样的。只有当该计算机处于公司的域环境,才可以通过AD活动目录中的每个用户所在的OU配置组策略,使不同用户在同一台计算机上登录有不同的组策略设置。但本挑战题只为限定一个程序的使用,要到域环境中设置有点得不偿失。而在Windows 7、Windows 2008/32位版及之后的版本中,则可以非常简单地为不同用户配置不同的组策略,不需要费时费力去改NTFS默认的权限。Windows 7在家庭网络的工作组模式中,可以为多个用户建立各自不同的本地GPO(组策略对象)。

【解题方法】

为不同用户配置多个本地组策略,可参考以下步骤操作。

首先按Win+R组合键调出运行对话框,输入“MMC”并按回车键,打开MMC管理控制台,然后点击菜单“文件→添加/删除管理单元”,在弹出的对话框中,选中“组策略对象编辑器”(图1)。点击“添加”按钮,接着会弹出使用组策略向导对话框,单击其上的“浏览”又会弹出浏览组策略对象对话框,切换到“用户”选项卡(图2),选择本机每个用户或根据管理员组和非管理员组进行修改即可。重复上面的步骤,在MMC管理控制台中为多个用户添加组策略,并进行编辑(图3)。本挑战题的目的是限制QQ游戏程序,只需在对应用户的组策略中进行限制即可。

201514zcl01

201514zcl02

201514zcl03

小提示:

在“计算机策略”中的“用户配置”与对应用户的组策略中的“用户配置”冲突时,是以对应用户的组策略中“用户配置”中的设置为优先采用的。

【扩展方法一】

通过使用Windows 7系统新增的AppLocker功能(应用程序控制策略),也可以轻松创建对某个程序的限制策略。

在运行对话框中输入“secpol.msc”,按回车键,将打开“本地安全策略”窗口,展开左侧“应用程序控制策略→AppLocker→脚本规则”,再在右侧空白区域右击,从右键菜单中选择“创建新规则”打开创建脚本规则向导窗口(图4)。

201514zcl04

点击“下一步”进入“权限”设置步骤,操作设置为“拒绝”,用户可以选择你想要禁用某程序的那个账户。继续“下一步”进入“条件”步骤,比较保险的是通过“发布者”的条件来做限制,也就是说,现在的大型软件的相关程序都是经过软件发布者签名的,利用这个规则,就可以限制所有拥有该签名的程序,这就避免了“路径”规则的修改路径后即可运行,或者是“文件哈希”规则的换个版本即可运行的规避手段。“发布者”设置中,通过“浏览”找到QQ的主程序文件,选择后会自动出现该程序的相关信息,在滑动按钮中我们选择“发布者”。接下来是“例外”设置,经过上一步设置后,所有带有腾讯官方签名的程序都将无法运行,比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件,甚至包含了安装程序,如果需要单独允许某个程序运行,可以在这里将其添加成例外程序。

最后一步的“名称”设置,就是设置规则名称,你可以帮这条规则起个易于识别的名称。

如果你是当前创建的第一条规则,那么在完成后会有个默认规则创建提示,需点击“是”,允许创建默认规则,以免你设置的规则使得系统文件程序遭到限制。

成功创建规则后,当用于企图运行带有腾讯官方签名的任何程序时,操作都将被拦截。这个规则无论用户如何更改文件路径、版本都能生效。

如果要设置AppLocker规则生效,可在运行对话框中输入“services.msc”,按回车键后打开“服务”窗口,找到找到“Application Identity”项,将其启动类型设为“自动”,然后按“启动”,就可以让规则生效了。

上述方法仅限于Windows 7及完整版本的Windows 8(Windows 8低级版本没有安全组策略)。

【扩展方法二】

如果题主的电脑系统不满足上述方法中所提的条件,还可以通过直接修改注册表的方法来实现。

201514zcl05

以Windows XP为例,在任意隐藏的文件夹中新建记事本并重命名为“Ban qq game.reg”,注意,要将文件扩展名txt修改为reg。然后右击它,选择“编辑”,在打开的记事本中输入以下内容并保存:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"="QQGame.exe"

这一文件的意思就是,在注册表中添加禁用程序QQGame.exe,若有多个禁用程序则依次添加:

"2"="XXX.exe"

同样新建“Restore qq game.reg”文件,输入以下内容并保存:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"=-

当要禁用QQGame时,双击“Ban qq game.reg”,完成设置。当要自己想要使用,需要解禁时,则双击“Restore qq game.reg”即可。