组策略限制用户可以运行的程序

1.禁用Windows安装程序
对于计算机管理员来说，比较担心的是用户在计算机上随便安装程序，造成系统性能下降甚至感染病毒.其实利用组策略的“禁用Windows 安装服务”即可解决问题。这个策略可以防止用户在系统上安装软件或允许用户只安装系统管理员提供的程序。
在组策略编辑器窗口的左侧窗格中逐级展开“本地计算机策略/计算机配置/管理模板/Windows组件/Windows 安装服务”，然后在右侧窗格中用鼠标双击“禁用Windows 安装服务”策略项，在弹出的属性窗口的“策略”选项卡中选择“启用”，然后在“禁用Windows 安装服务”下拉列表框中选择策略项即可。
其中“从不”选项表示 Windows 安装服务处于完全启用状态，用户可以安装和升级软件；
其中“只用于非经管理的应用程序”选项允许用户安装系统管理员分配的（在桌面上提供的）或发行的（添加到“添加/删除程序”的）程序；
而“总是”选项表示Windows安装服务处于停用状态。
要注意的是，该策略只影响采用标准的“Windows安装程序”的软件安装（常见的如后缀为*.msi的安装程序），不会阻止用户使用其他方法安装和升级软件。但是我们可以使用指定用户可运行的软件方法进一步限制用户。
2.指定可运行的软件
在Windows 2000/XP中可以通过组策略来限制用户在计算机上运行的 Windows 程序。如果你启用这个策略，用户只能运行你加入“允许运行的应用程序列表”中的程序。
首先在组策略编辑器窗口的左侧窗格中逐级展开“本地计算机策略/用户配置/管理模板/系统”，然后在右侧窗格中用鼠标双击“只运行许可的Windows应用程序”策略项，弹出“只运行许可的Windows应用程序属性”窗口。在“策略”选项卡中选择“启用”选项，然后单击下面的“显示”按钮即弹出“显示内容”对话窗口，单击“添加”按钮，弹出“添加项目”对话框，在文本框内输入要禁用的程序的绝对路径，单击“确定”按钮即可将它添加到列表中。
采用同样的方法，将其他的程序也添加到列表中，这样系统除了能够运行列表中指定的程序外，其他的应用程序是不能运行的。
注意：如果用户可以访问“命令提示字符”(Cmd.exe) 的话，这个策略无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序，不过可以通过以下方法来阻止用户访问命令提示符。操作步骤如下：
首先在组策略编辑器窗口的左侧窗格中逐级展开“用户配置/管理模板/系统”，然后在右侧窗格中将“停用命令提示符”策略项启用即可。
以上这个设置并没有完全阻止他人访问命令提示符，这是因为用户依旧可以利用“运行”来执行

“cmd.exe”进入“命令提示符”状态。因此，“cmd.exe”这个命令也是应该被屏蔽掉的。方法是逐级展开“用户配置/管理模板/系统”分支，然后在右侧窗格中用鼠标双击“不要运行指定的 Windows应用程序”策略项，然后在该策略项的“属性”窗口中选择“已启用”选项，再单击“显示”按键，在弹出的“显示内容”对话框中添加“cmd.exe”，这样该应用程序就被屏蔽掉了。
3.禁用控制面板中的程序
为防止他人随意更改你的电脑设置，可以利用组策略禁用控制面板的项目或者删除添加到系统中的控制面板项目。
首先在组策略编辑器窗口的左侧窗格中逐级展开“用户配置/管理模板/控制面板”，然后在右侧窗格中用鼠标双击“隐藏指定的控制面板应用小程序”策略项，在弹出的属性设置窗口中选择“已启用”选项，然后单击“显示”按钮。
接下来在“显示内容”窗口中单击“添加”按钮，然后在弹出的“添加项目”对话框中输入“控制面板”中想要删除的工具名称，如“desk.CPL”（显示）、 “sysdm.cpl”（系统），连续三次单击“确定”按钮退出即可。要想得到系统控制面板中的应用程序的全部文件名称，可以先查找扩展名为“.cpl” 格式的程序。