组策略限制用户可以运行的程序

导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了？一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘）？%USERPROFILE%表示 C:\Documents and Settings\当前用户名？%HOMEPATH% 表示 C:\Documents and Settings\当前用户名%ALLUSERSPROFILE%表示 C:\Documents and Settings\All Users%ComSpec%表示 C:\WINDOWS\System32\？%APPDATA%表示 C:\Documents and Settings\当前用户名\Application Data？%ALLAPPDATA%表示 C:\Documents and Settings\All Users\Application Data？%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT%表示 C:\WINDOWS？%WINDIR% 表示 C:\WINDOWS？%TEMP% 和 %TMP%表示 C:\Documents and Settings\当前用户名\Local Settings\Temp？%ProgramFiles%表示 C:\Program Files？%CommonProgramFiles%表示 C:\Program Files\Common Files？关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠：1个或0个字符几个例子*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

Win7组策略技巧：限制程序运行1如果不想让办公室的同事在你电脑上运行QQ或是阿里旺旺等程序，但如果不让同事安装的话，也会伤了和气，那怎么办呢？我们完全可以通过Windows 7系统来限制指定的程序运行，通过使用Windows 7系统新增的AppLocker功能(应用程序控制策略)，就可以使用它轻松创建对某个程序的限制策略。

比如你要禁止QQ运行，可以这么做：单击“开始”→在“搜索程序和文件”框中键入secpol.msc→按 Enter键→打开本地安全策略→找到应用程序控制策略→AppLocker→右侧空白区域右键菜单→创建新规则→进入新规则向导。

“权限”步骤：操作设为“拒绝”，用户可以选择“Everyone(全部人)”或者是指定帐户。

“条件”步骤：最保险的就是通过“发布者”的条件来做限制，也就是说，现在的大型软件的相关程序都是经过软件发布者签名的，利用这个规则，就可以限制所有拥有该签名的程序，这就避免了“路径”规则的修改路径后即可运行，或者是”文件哈希“规则的换个版本可运行的规避手段。

为了方便演示，这里我们选“发布者”。

“发布者”设置：“浏览”找到QQ的主程序文件，选择后会自动出现该程序的相关信息，在滑动按钮中我们选择“发布者”。

“例外”设置：经过上一步设置后，所有带有腾讯官方签名的程序都将无法运行，比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件，甚至包含了安装程序，如果需要单独允许某个程序运行，可在这里将其添加成例外程序。

“名称”设置：最后一步就是设置规则名称，你可以帮这条规则起个易于识别的名称。

如果你是当前创建的是第一条规则，那么在完成后会有个默认规则创建提示，需点击“是”，允许创建默认规则，以免你设置的规则使得系统文件程序遭到限制。

成功创建规则后，当用于企图运行带有腾讯官方签名的任何程序时，操作都将被拦截。

这个规则无论用户如何更改文件路径、版本都能生效。

如果设置AppLocker规则无效，请单击“开始”→在“搜索程序和文件”框中键入services.msc→按 Enter键→打开“服务”，找到找到Application Identity项，将其启动类型设为“自动”，然后按“启动”，就可让规则生效。

组策略之软件限制策略——完全教程与规则示例导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE% 表示C:\Documents and Settings\当前用户名%HOMEPATH% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%ComSpec% 表示C:\WINDOWS\System32\cmd.exe%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符几个例子*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

修改注册表或组策略，禁止运行指定程序对于windows 专业版，可以在组策略里面操作，禁止运行指定的程序：运行gpedit.msc ，启动组策略，打开“用户配置”→“管理模板”→“系统”；点击“系统”目录，在右边窗口中找到“不要运行指定的windwos应用程序”，双击打开，进入“不要运行指定的windwos应用程序属性”窗口；选中“已启用”，再点击“显示”按钮，进入“显示内容”窗口，点击“添加”按钮；在“添加项目”窗口中，输入应用程序的准确名称：如QQ.EXE 等等。

确定，返回“组策略”主界面。

或这再次点击“添加”按钮，添加下一个程序。

如果是Home家庭版，没有组策略，需要在注册表里面操作，方法如下：注册表里面，相关的键项是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer\DisallowRun如果没有这个键项，就手动添加这个键项。

在右边窗口新建字符串值，数值为准备禁止的程序名称。

或者，把以下内容修改一下，就是把"1"="xxxxx.exe" 里面的xxxxx修改成需要禁止的程序名，比如，如果要禁用QQ程序，就设置为："1"="QQ.exe" 等；如果要继续禁用其他程序，比如，还要禁用QQ游戏程序，在"1"="QQ.exe" 下添加一行，把1改为2 ……，把QQ.exe改成其他程序，如下例所示："2"="QQGame.exe"然后，把以下蓝色文字内容拷贝到记事本里面，另存为DisallowRun.reg文件（或者先保存为DisallowRun.txt文件，然后修改后缀.txt为.reg 。

在文件夹选项，查看里面，把“隐藏已知文件类型的扩展名”取消，才可以修改后缀），注意，其中的xxxxx表示需要禁止的程序的名字，然后，双击这个DisallowRun.reg文件导入注册表即可生效，QQ或QQ游戏就无法打开了：Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\DisallowRun]"1"="xxxxx.exe"。

组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。

其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。

在Windows 2003域控制器限制用户运行特定程序
∙浏览：1562
∙|
∙更新：2011-09-13 15:18
故障现象：某单位局域网基于Windows域管理模式，域控制器运行Windows Ser ver 2003系统，且所有客户计算机全部运行Windows XP系统。

由于工作需要，准备让所有登录到域控制器的用户只能运行指定的程序。

请问这个目标能不能实现，具体应该如何操作？
解决方法：这个目标完全可以实现，请按如下步骤操作：
步骤/方法
1. 1
第1步，打开“组策略编辑器”窗口，在左窗格中依次展开“用户配置/管理模板”目录，并单击选中“系统”选项。

然后在右窗格中双击“只运行许可的Windows应用程序”选项，打开“只运行许可的Windows应用程序属性”对话框。

选中“已启用”单选框，并单击“显示”按钮，如图2008120535所示。

图2008120535 “只运行许可的Windows应用程序属性”对话框
2. 2
第2步，在打开的“显示内容”对话框中单击“添加”按钮，打开“添加项目”对话框。

然后在“输入要添加的项目”编辑框中输入具体程序的可执行文件名称（如QQ.exe），并连续单击“确定”按钮使设置生效，如图2008120536所示。

图2008120536 添加程序文件名称
END。

手把手教你 gpedit.msc和可执行文件被限制解除方法运行gpedit.msc限制网络连接时却提示设置了“只运行许可的Windows应用程序”后退出组策略后无法执行任何的非指定可行程序，包括gpedit.msc亦不能运行，全部弹出“本次操作由于这台计算机的限制而被取消。

请与您的系统管理员联系”。

一般情况下只能在安全模式下解决问题。

弄了半天,找到了在XP在正常模式下解决的方法：1、开始——运行——%systemroot%\system32，用搜索功能把找到的mmc.exe 和taskmgr.exe复制后保存至另一位置（例如把taskmgr.exe复制至D盘根目录下留作备份,把mmc.exe复制一份至桌面上)2、改名桌面上的mmc.exe为taskmgr.exe3、开始——运行——%systemroot%\system32\dllcache，把桌面上的taskmgr.exe复制一份至该文件夹。

4、开始——运行——%systemroot%\system32，一样把桌面上的taskmgr.exe 复制一份覆盖至该文件夹。

注：3和4在复制过程中如果出现文件保护窗口可以直接取消其保护提示。

5、右击任务栏——打开任务管理器，现在出现的不是任务管理器而是控制台mmc 了。

6、在MMC窗口中——文件——添加/删除管理单元——添加——双击“组策略对象编辑器”——完成——关闭——确定。

7、现在展开“本地计算机”策略——用户配置——管理模块——系统——只运行许可的Windows应用程序——修改为“已禁用”或“未配置”就可以了。

在“开始→运行”中输入gpedit.msc，打开组策略编辑器。

找到“计算机配置→管理模板→网络→QoS数据包调度程序”，选择右边的“限制可保留带宽”，选择“属性”打开限制可保留带宽属性对话框，选择“禁用”即可。

经过这样重新设置就可以释放保留的20％的带宽了。

这个方法懂电脑的人都知道,专业版的哦,家庭的版的没有预留不用管,相信大多数人用的是专业版的,大家说BT下载速度总是不稳定,即使有很多种子网速还是慢.还有就是,在下载东西,网速占用很高的时候,同时浏览网页速度也变的很慢.其实只要把20%带宽释放,上网站就不会很慢了,这对ADSL来说很重要.这个20%的道理是这样的：例如你下载东西，这个服务打开后，就会自动给你保留20%的带宽，方便你浏览网页或者做其它的。

指定程序禁止运行组策略(开始-运行-输入gpedit.msc)-用户配置-管理模板-系统-不要运行指定的windows应用程序,选已启用-显示-添加你要禁止的应用程序(如abc.exe) 然后确定。

改注册表禁止别人运行程序防止用户非法运行或者修改程序，导致整个计算机系统处于混乱状态，我们可以通过修改注册表来达到让用户只能使用指定的程序的目的，从而保证系统的安全。

1、在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer键值；2、在对应Explorer键值右边的窗口中，新建一个DWORD串值，名字取为“RestrictRun”，把它的值设为“1”；3、在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值，然后将“1”，“2”、“3”等字符串的值设置为我们允许用户使用的程序名。

例如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE，则用户只能使用word、记事本、写字板了，这样我们的系统将会做到最大的保障，也可以限制用户运行不必要的软件了。

通过修改注册表禁止运行某些程序通过修改注册表禁止运行某些程序，可进行如下操作：（1）打开“注册表编辑器”。

（2）选择HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer 注册表项。

（3）单击右键，在弹出的快捷菜单中选择“新建”∣“DWORD 值”命令，新建一个类型为REG_DWORD 的值项。

（4）将该值项命名为“DisallowRun”。

（5）双击该值项，在弹出的“编辑DWORD 值”对话框中的“数值数据”文本框中修改数值为“1”，“基数”选项组中选择“十六进制”选项。

解除组策略设置限制&windows xp组策略常用设置详解按照微软的说法，如果你启用这个设置，用户只能运行你加入‚允许运行的应用程序列表‛中的程序，而我们在应用程序列表中加入程序的时候只是简单地输入了可以运行程序的文件名。

明白了吧?就是说只可以运行命名为‚指定文件名‛的程序，而不是指定的程序。

拿这台机子来说，Word能运行吗?当然能啦!其它程序呢?当然就不能啦。

那把其它程序的文件名改为Winword.exe，能运行吗?当然……当然就可以运行啦!说白了，任何命名为Winword.exe的程序都可以运行!那还有什么好限制的，明明是唬人嘛。

所以，破除限制方法可如下设置：切到C:\WINDOWS\system32下，将mmc.exe文件名更改为Winword.exe，双击打开。

‚文件->打开‛C:\WINDOWS\system32下gpedit.msc，在‚用户配置‛中选择‚管理模块‛中的‚系统‛，在右边的窗口中找到‚只运行允许的Windows 应用程序‛，双击打开。

将‚已启用‛更改为‚未配置‛，确定，大功告成!=========================================================== 任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。

其它项目出现，但文件夹会被隐藏。

这个设置是为了转发文件夹而设计的。

被转发的文件夹会出现在「开始」菜单的主要区域中。

但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。

因为两个同样的文件夹可能会让用户觉得混乱，您可以使用这个设置来隐藏用户指定文件夹。

请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。

如果您启用这个设置，在「开始」菜单中的上方区域不会出现任何文件夹。

如果用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不会出现在「开始」菜单中。

1.限制使用应用程序(Windows 2000/XP/2003)顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”，双击之后启用此策略，然后点击下面的“允许的应用程序列表”中的“显示”按钮。

会弹出一个“显示内容”的对话框，在这里单击“添加”按钮，然后添加你允许运行的应用程序即可。

以后一般用户就只能运行“允许的应用程序列表”中的程序，其他程序就无法运行了！2.禁用注册表编辑器(Windows 2000/XP/2003)为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。

具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。

此策略被启用后，用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。

如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。

基于具体步骤差不多，就二为一解决这两个问题。

首先，开机时按F8键进入安全模式选项，选择其中的“带命令行提示的安全模式”，进入后打开命令提示符窗口，输入“mmc”(Microsoft管理控制台)，按Enter键就打开了该程序。

接下来，点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”)，在出现的对话框中点击“添加”按钮，选定其中的“组策略”,点击“添加”，会出现“欢迎使用组策略向导”窗口，点“下一步”直到最后单击“完成”按钮即可，关闭可添加的管理单元列表，然后在“添加/删除管理单元”对话框中点击“确定”按钮，在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”，把它给展开，接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。

具体步骤就不多说了，大家可以参考文章开头相关内容进行操作。

注意，您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。

组策略禁用电脑程序以QQ为例附运行命令首先进入组策略，开始-运行，输入gpedit.msc，进入组策略。

如上图：用户配置-管理模板-系统-不要运行指定的windows应用程序，双击打开下下面的对话框选择’已启动’ ,点击’显示’,弹出显示内容，点击添加，再输入框中输入要禁止的应用程序，如QQ.exe,注意这里要输入的是应用程序的启动程序，要全称+扩展名。

点击确定后就禁止了QQ在本电脑上的运行。

再运行QQ，就会弹出一下窗口。

附‘运行’下的命令：winver 检查Windows版本wmimgmt.msc 打开Windows管理体系结构(wmi)wupdmgr Windows更新程序wscript Windows脚本宿主设置write 写字板winmsd 系统信息wiaacmgr 扫描仪和照相机向导winchat xp自带局域网聊天mem.exe 显示内存使用情况msconfig.exe 系统配置实用程序mplayer2 简易widnows media playermspaint 画图板mstsc 远程桌面连接mplayer2 媒体播放机magnify 放大镜实用程序mmc 打开控制台mobsync 同步命令dxdiag 检查directx信息drwtsn32 系统医生devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理程序diskmgmt.msc 磁盘管理实用程序dcomcnfg 打开系统组件服务ddeshare 打开dde共享设置dvdplay dvd播放器net stop messenger 停止信使服务net start messenger 开始信使服务notepad 打开记事本nslookup 网络管理的工具向导ntbackup 系统备份和还原narrator 屏幕“讲述人”ntmsmgr.msc 移动存储管理器ntmsoprq.msc 移动存储管理员操作请求netstat -an （tc）命令检查接口syncapp 创建一个公文包sysedit 系统配置编辑器sigverif 文件签名验证程序sndrec32 录音机shrpubw 创建共享文件夹secpol.msc 本地安全策略syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码services.msc 本地服务设置sndvol32 音量控制程序sfc.exe 系统文件检查器sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令tourstart xp简介（安装完成后出现的漫游xp程序）taskmgr 任务管理器eventvwr 事件查看器eudcedit 造字程序explorer 打开资源管理器packager 对象包装程序perfmon.msc 计算机性能监测程序progman 程序管理器regedit.exe 注册表rsop.msc 组策略结果集regedt32 注册表编辑器rononce -p 15秒关机regsvr32 /u *.dll 停止dll文件运行regsvr32 /u zipfldr.dll 取消zip支持cmd.exe cmd命令提示符chkdsk.exe chkdsk磁盘检查certmgr.msc 证书管理实用程序calc 启动计算器charmap 启动字符映射表cliconfg sql server 客户端网络实用程序clipbrd 剪贴板查看器conf 启动netmeetingcompmgmt.msc 计算机管理cleanmgr 垃圾整理ciadv.msc 索引服务程序osk 打开屏幕键盘odbcad32 odbc数据源管理器oobe/msoobe /a 检查xp是否激活lusrmgr.msc 本机用户和组logoff 注销命令iexpress 木马捆绑工具，系统自带nslookup ip地址侦测器fsmgmt.msc 共享文件夹管理器utilman 辅助工具管理器gpedit.msc 组策略以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\输入CMD\输入对应的相关实用程序:. 打开C:＼Documents and Settings＼XXX(当前登录Windows XP的用户名).. 打开Windows XP所在的盘符下的Documents and Settings文件夹…打开“我的电脑”选项。

windows组策略只运⾏指定的Windows应⽤程序继续域控组策略⼯作：
本节介绍限制⽤户只能运⾏指定的程序。

⼀：只运⾏指定的 Windows 应⽤程序
我只模拟配了⼀个程序，实际要根据需要配置的。

⼆：防⽌从"我的电脑"访问驱动器
不知道这是bug还是设计如此，反正限制的是应⽤程序的⽂件名，没有路径，没有MD5验证，随便想运⾏什么的话，直接把执⾏程序的名字改成许可的就⼜可以运⾏了，那么我们要防⽌使⽤⽂件资源管理器来改程序名。

三：绑定策略到OU
1.计算机策略
以前设置的策略主要是计算机策略，将策略绑定到对应的组织单位即可。

如下策略绑在组织单位上
那么这两台计算机就可以接收到对应的策略了。

2⽤户策略
如果⽤户还在Users⾥⾯，是⽆法⽣效的，简单处理，我将这两个⾃动登录计算机使⽤的⾃动登录⽤户也放这个OU⾥⾯，⽣效实现软件限制策略。

结语：
貌似规范的做法应该是把⽤户也分组管理，⽤户策略绑⽤户组织，计算机策略绑计算机组织。