(最近更新:2018-3-29)
通过AppLocker组策略限制云终端用户运行与安装软件
- AppLocker组策略为Windows系统自带组策略,用于限制指定用户或用户组运行和安装指定路径的应用程序。
- 一般情况下,只有admin管理员才有权限安装程序。云终端用户为普通用户,无法自行安装程序,但绿色软件或某些软件安装包(例如,搜狗浏览器)不需要admin管理员权限也能运行和安装,因此使用AppLocker组策略直接限制用户打开应用程序,能更有效限制云终端用户擅自使用其他程序。
- 注意:
- AppLocker组策略需与用户账户控制(UAC)搭配使用,可参考《用户账户控制(UAC)》开启UAC;
- 设置Applocker前请规范软件安装路径,务必将软件安装在C:\Program Files或C:\Program Files (x86)路径下,因为Program Files文件夹是系统创建的文件夹,专门用来存放应用程序,有特定的权限限制,普通用户无法随意读写;
- AppLocker适用操作系统:Windows 7(旗舰版、企业版),Windows 8.1 企业版,Windows 10(专业版,企业版),Server 2008R2(Standard、企业版、Datacenter),Server 2012R2(Standard、Datacenter),Server 2016(Standard、Datacenter)。
Applocker配置简易步骤:
- Application Identity服务项设置为自启
- 进入本地组策略编辑器—AppLocker
- 可执行规则,Windows安装程序规则,脚本规格都创建默认规则
- AppLocker开启配置规则强制
- 重启主机,组策略生效
下载详细文档