要设置组策略.docxVIP

要设置组策略，先了解下系统环境变量和通配符，以及优先级环境变量在C盘为系统盘的情况下：%USERPROFILE%表示 C:\Documents and Settings\当前用户名这个文件夹%ALLUSERSPROFILE%表示 C:\Documents and Settings\All Users%APPDATA%表示 C:\Documents and Settings\当前用户名\Application Data%ALLAPPDATA%表示 C:\Documents and Settings\All Users\Application Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE%表示C:\%SYSTEMROOT%表示 C:\WINDOWS%WINDIR%表示 C:\WINDOWS%TEMP% 和 %TMP%表示 C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles%表示 C:\Program Files%CommonProgramFiles%表示 C:\Program Files\Common Files通配符?---------------表示任意单个字符*---------------任意个字符（包括0个），但不包括斜杠**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹这里是网上的例子：*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs匹配具有此扩展名的任何应用程序。C:\Application Files\*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录路径规则优先级:1.绝对路径 通配符相对路径如 C:\Windows\explorer.exe *\Windows\explorer.exe 2.文件型规则 目录型规则如若a.exe在Windows目录中，那么 a.exe C:\Windows注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。例如, *.* 就比 C:\WINDOWS 的优先级要高，如果要排除WINDOWS根目录下的程序，就需要这样做 C:\WINDOWS\*.*而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%4.若两条规则路径等效，那么合成的结果是：从严处理，以最低的权限为准。如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的”结果为“C:\Windows\explorer.exe 不允许的总的来说，就是路径越明显详细，该规则就越优先上面这些了解了以后，我们打开组策略编辑器0.JPG (51.19 K)2008-7-27 12:22:441.JPG (238.13 K)2008-7-27 12:22:444条默认规则说明整个Windows目录不受限Windows下的exe文件不受限System32下的exe文件不受限整个ProgramFiles目录不受限我们右键新建图中使用系统变量，而且是绝对路径，这样的规则优先于下面的这种基于文件名的规则这里举个例子说明绝对路径的优先性如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)就需要添加下面的两个路径规则规则1：%SYSTEMROOT%\system32\svchost.exe 或者C:\WINDOWS \system32\svchost.exe不受限的（绝对路径,优先于下面的规则）规则2：Svchost.exe不允许的（基于文件名）简单理解，规则1是规则2的例外，对于Explorer.exe, lsass.exe 也需要这样对应设置，主要是路径，千万不要没有例外哦这样，我们可以利用基于文件名的规则，限制一些仿冒的东西，如下图注意不要限制*.*.exe这样的因为有些软件带有版本号，比如srengLDR2.0.exe这样就会导致正常软件不能运行限制双后缀