按需配置 不同用戶不同組策略

陳楚杰

挑戰(zhàn)題描述

為了阻止舍友們用我的電腦玩QQ游戲，我使用組策略方法進行限制。不過這樣自己需要運行這些程序時，每次還得進到組策略編輯器里取消限制，用完又得恢復限制，實在麻煩。組策略里有沒有只限制他人而不限制自己的方法？（題號：20150406）

解題思路

在Vista以前版本的Windows系統(tǒng)中，所有用戶的組策略是一樣的。只有當該計算機處于公司的域環(huán)境，才可以通過AD活動目錄中的每個用戶所在的OU配置組策略，使不同用戶在同一臺計算機上登錄有不同的組策略設(shè)置。但本挑戰(zhàn)題只為限定一個程序的使用，要到域環(huán)境中設(shè)置有點得不償失。而在Windows 7及同年服務器版Windows之后的版本中，則可以非常簡單地為不同用戶配置不同的組策略，不需要費時費力去改NTFS默認的權(quán)限。Windows 7在家庭網(wǎng)絡(luò)的工作組模式中，可以為多個用戶建立各自不同的本地GPO（組策略對象）。

解題方法

為不同用戶配置多個本地組策略，可參考以下步驟操作。

首先按Win+R組合鍵調(diào)出運行對話框，輸入“MMC”并按回車鍵，打開MMC管理控制臺，然后點擊菜單“文件→添加/刪除管理單元”，在彈出的對話框中，選中“組策略對象編輯器”（圖1）。點擊“添加”按鈕，接著會彈出使用組策略向?qū)υ捒颍瑔螕羝渖系摹盀g覽”又會彈出瀏覽組策略對象對話框，切換到“用戶”選項卡（圖2），選擇本機每個用戶或根據(jù)管理員組和非管理員組進行修改即可。重復上面的步驟，在MMC管理控制臺中為多個用戶添加組策略，并進行編輯（圖3）。本挑戰(zhàn)題的目的是限制QQ游戲程序，只需在對應用戶的組策略中進行限制即可。

【擴展方法一】

通過使用Windows 7系統(tǒng)新增的AppLocker功能（應用程序控制策略），也可以輕松創(chuàng)建對某個程序的限制策略。

在運行對話框中輸入“secpol.msc”，按回車鍵，將打開“本地安全策略”窗口，展開左側(cè)“應用程序控制策略→AppLocker→腳本規(guī)則”，再在右側(cè)空白區(qū)域右擊，從右鍵菜單中選擇“創(chuàng)建新規(guī)則”打開創(chuàng)建腳本規(guī)則向?qū)Т翱冢▓D4）。

點擊“下一步”進入“權(quán)限”設(shè)置步驟，操作設(shè)置為“拒絕”，可以選擇你想要禁用某程序的那個賬戶。繼續(xù)“下一步”進入“條件”步驟，比較保險的是通過“發(fā)布者”的條件來做限制，也就是說，現(xiàn)在的大型軟件的相關(guān)程序都是經(jīng)過軟件發(fā)布者簽名的，利用這個規(guī)則，就可以限制所有擁有該簽名的程序，這就避免了“路徑”規(guī)則的修改路徑后即可運行，或者是“文件哈希”規(guī)則的換個版本即可運行的規(guī)避手段。“發(fā)布者”設(shè)置中，通過“瀏覽”找到QQ的主程序文件，選擇后會自動出現(xiàn)該程序的相關(guān)信息，在滑動按鈕中我們選擇“發(fā)布者”。接下來是“例外”設(shè)置，經(jīng)過上一步設(shè)置后，所有帶有騰訊官方簽名的程序都將無法運行，比如QQ、QQ音樂、QQ影音、QQ游戲等騰訊系列軟件，甚至包含了安裝程序。如果需要單獨允許某個程序運行，可以在這里將其添加成例外程序。

最后一步的“名稱”設(shè)置，就是設(shè)置規(guī)則名稱，你可以幫這條規(guī)則起個易于識別的名稱。

如果是當前創(chuàng)建的第一條規(guī)則，那么在完成后會有個默認規(guī)則創(chuàng)建提示，需點擊“是”，允許創(chuàng)建默認規(guī)則，以免你設(shè)置的規(guī)則使得系統(tǒng)文件程序遭到限制。

成功創(chuàng)建規(guī)則后，當用于企圖運行帶有騰訊官方簽名的任何程序時，操作都將被攔截。這個規(guī)則無論用戶如何更改文件路徑、版本都能生效。

如果要設(shè)置AppLocker規(guī)則生效，可在運行對話框中輸入“services.msc”，按回車鍵后打開“服務”窗口，找到“Application Identity”項，將其啟動類型設(shè)為“自動”，然后按“啟動”，就可以讓規(guī)則生效了。

上述方法僅限于Windows 7及完整版本的Windows 8（Windows 8低級版本沒有安全組策略）。

【擴展方法二】

如果題主的電腦系統(tǒng)不滿足上述方法中所提的條件，還可以通過直接修改注冊表的方法來實現(xiàn)。

以Windows XP為例，在任意隱藏的文件夾中新建記事本并重命名為“Ban qq game.reg”，注意，要將文件擴展名txt修改為reg。然后右擊它，選擇“編輯”，在打開的記事本中輸入以下內(nèi)容并保存：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼DisallowRun]

"1"="QQGame.exe"

這一文件的意思就是，在注冊表中添加禁用程序QQGame.exe，若有多個禁用程序則依次添加：

"2"="XXX.exe"

同樣新建“Restore qq game.reg”文件，輸入以下內(nèi)容并保存：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼DisallowRun]

"1"=-

當要禁用QQGame時，雙擊“Ban qq game.reg”，完成設(shè)置。當自己想要使用，需要解禁時，則雙擊“Restore qq game.reg”即可。

小提示

在“計算機策略”中的“用戶配置”與對應用戶的組策略中的“用戶配置”沖突時，是以對應用戶的組策略中“用戶配置”中的設(shè)置為優(yōu)先采用的。