AppLocker组策略限制云终端用户运行与安装软件-vCloudPoint.PDFVIP

《AppLocker组策略》 微信公众号 AppLocker组策略 限制云终端用户运行与安装软件 AppLocker组策略功能说明： AppLocker组策略为Windows系统自带组策略，用于限制指定用户或用户组运行 和安装指定路径的应用程序。 一般情况下，只有 admin管理员才有权限安装程序。云终端用户为普通用户，无 法自行安装程序，但绿色软件或某些软件安装包 （例如，搜狗浏览器）不需要 admin 管理员权限也能运行和安装，因此使用 AppLocker组策略直接限制用户打开应用程序， 能更有效限制云终端用户擅自使用其他程序。 指导文档系统环境： Windows 7 x64 旗舰版 磁盘分区： C盘——系统+软件盘 D盘——公共盘 E盘——私有盘 温馨提示：  AppLocker组策略需与用户账户控制 （UAC）搭配使用，可参考 《用户账户控 制 （UAC）》开启 UAC；  设置 Applocker前请规范软件安装路径，务必将软件安装在 C \Program Files或 C \Program Files (x86)路径下，因为 Program Files文件夹是系统创建的文件 夹，专门用来存放应用程序，有特定的权限限制，普通用户无法随意读写；  AppLocker适用操作系统：Windows 7 （旗舰版、企业版），Windows 8.1 企 业版，Windows 10企业版，Server 2008R2 （Standard、企业版、Datacenter）， Server2012R2（Standard、Datacenter），Server2016（Standard、Datacenter）。 Applocker配置简易步骤： 1) Application Identity 服务项设置为自启 2) 进入本地组策略编辑器—AppLocker 3) 可执行规则，Windows安装程序规则，脚本规格都创建默认规则 4) AppLocker开启配置规则强制 5) 重启主机，组策略生效 - 1- 目录 AppLocker限制云终端用户详细步骤- 3 - 附加 1：允许运行其他路径的应用程序- 16 - 附加 2：限制指定用户/用户组使用某个软件- 19 - 附加 3：Win10/Server 2016 Application Identity 开启方式- 24 - -2 - AppLocker限制云终端用户详细步骤 1) admin账号运行 services.msc 2) 进入服务，右键 Application Identity，进入属性 -3 - 3) 启动类型设置为自动，并启动服务 4) admin账号运行 gpedit.msc，进入本地组策略编辑器 -4 - 5) 找到AppLocker （本地计算机策略-计算机配置-Windows设置-安全设置-应用程 序控制策略-AppLocker） 6) 选中可执行规则，在右边栏空白处右键，选择创建默认规则 （默认规则为：用户只 能运行 C\Program Files或 C\Program Files (x86)路径下的应用程序） -5- 7) 选中Windows安装程序规则，在右边空白处右键，创建默认规则 注意：如想更有效防止用户安装程序，需自行手动将所有磁盘盘符设置为拒绝安装，步 骤 8~20 为创建新规则，禁止云终端用户在 C、D、E盘安装软件 8) 右键空白处，创建新规则 -6- 9) 下一步 10) 选择拒绝，并选择需要拒绝的用户组 -7 - 11) 点击高级 12) 立即查找，选中vMatrixServerRemoteUsers，确定 - 8- 13) 再次确认选对用户组，确定 14) 确认选择了拒绝，下一步