电脑 来宾用户只能访问而不能更改

限制驱动器的使用

如果我们不想让别人使用我们的驱动器，如系统盘C盘，光驱等，可以进行如下操作：

1.在开始菜单的“运行”对话框中，输入“gpedit.msc”，打开“组策略”设置窗口。

2.在“组策略”设置窗口中，依次打开 “本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项。

3.在右边的设置窗口中，选择“防止从‘我的电脑’访问驱动器”项，在这个选项单击鼠标右键，选择“属性”，接着出现“防止从‘我的电脑’访问驱动器的属性”设置窗口。在其中有三个选项，分别是“未配置”、“已启用”、“已禁用”

4.我们选择“已启用”后，在下面就会出现选择驱动器的下沉列表，如果希望限制某个驱动器的使用，只要选中该驱动器就可以了。比如，我们要限制C盘的使用，选中“仅限制驱动器C”，就可以了。如果希望关闭所有的驱动器，包括光驱等，可以选中“限制所有驱动器”。

设置完毕以后，当再打开驱动器时，就会弹出禁止打开驱动器的提示框(图2)。即便是使用DIR命令、运行对话框和镜像网络驱动器对话框，也无法查看驱动器的目录。




点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略(见图1)，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。

打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。
不过我们可能还会遇到另外一个问题，当用户的口令为空时，访问还是会被拒绝。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。


在我的电脑右键菜单里选择“管理”，“本地用户和组”，“Guest”右键，在“隶属于”里添加些有特定权限的组就可以了。
如要进行更详细的设置需要通过“组策略”：在控制面板-管理工具-本地安全策略-安全设置-本地策略-用户权利指派里面指派帐户的权利，根据需要设置来宾用户的权限就可以了。回





这只有磁盘是NTFS格式才能

实现的。我在前面提到过这一点。但你没有作出回答。如果是的话，可以复制下面的命令，写入记事本，保存为:禁止guest访问硬盘。bat 双击运行即可。
@echo Y|cacls c: /t /c /p guest:r Everyone:c Administrators:f
@echo Y|cacls d: /t /c /p guest:r Everyone:c Administrators:f
@echo Y|cacls e: /t /c /p guest:r Everyone:c Administrators:f
@echo Y|cacls f: /t /c /p guest:r Everyone:c Administrators:f
@echo Y|cacls g: /t /c /p guest:r Everyone:c Administrators:f
@pause
以上是假定你的硬盘为cdefg四个盘，如果还有其它的盘，按同样的格式增加即可。

参数
CACLS filename [/t] [/e] [/c] [/G user:perm] [/r user [...]]
[/p user:perm [...]] [/d user [...]]
filename 显示ACL
/T 更改当前目录及其所有子目录中
/E 编辑ACL而不替换
/C 在出现拒绝访问错误时继续
/G user:perm 赋予指定用户访问权限
perm 可以是： R 读取
W 写入
C 更改（写入）
F 完全控制
/R user 撤销指定用户的访问权限（尽在与/E 一起用时合法）
/P user:perm 替换指定用户的访问权限
perm 可以是： N 无
R 读取
W 写入
C 更改（写入）
F 完全控制
/D user 拒绝指定用户的访问




例如

@echo Y|cacls c: /t /c /d guest:c Everyone:c Administrators:f
@echo Y|cacls d: /t /c /g guest:r Everyone:c Administrators:f
@echo Y|cacls e: /t /c /g guest:r Everyone:c Administrators:f
@echo Y|cacls f: /t /c /g guest:r Everyone:c Administrators:f
@echo Y|cacls g: /t /c /d guest:n Everyone:n Administrators:f
@pause





我都是用组策略来实现这个目的的 具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台
如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”
菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。
使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机
组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：
1）打开 Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC
并回车，运行控制台程序）。
2）在“文件”菜单上，单击“添加/删除管理单元”。
3）在“独立”选项卡上，单击“添加”。
4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。
5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通
过单击“浏览”查找所需的组策略对象。
6）单击“完成”，单击“关闭”，然

后单击“确定”。组策略管理单元即打开要编辑
的组策略对象。
对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没
有其他标签项目。
通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置
功能，让管理员的工作更轻松和高效。
在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状
态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。它们
分别是：已启用、未配置、已禁用。
四、“桌面”设置
Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我
们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例：
位置：“组策略控制台→用户配置→管理模板→桌面”
1．隐藏桌面的系统图标（Windows 2000/XP/2003）
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，
也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中
将“隐藏桌面上'网上邻居'图标”和“隐藏桌面上的Internet Explorer图标”两个策略
选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用
即可；当启用了“删除桌面上的'我的文档'图标”和“删除桌面上的'我的电脑'图标”
两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让
“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。
2．退出时不保存桌面设置（Windows 2000/XP/2003）
此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌
面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，
不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3．屏蔽“清理桌面向导”功能（Windows XP/2003）
“清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用
或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁
用或不配置此设置，“清理桌面向导”会按照默认设置每隔60 天运行一次。
打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。
4．启用/禁用“活动桌面”（Windows 2000/XP/2003）
“活动桌面”是Windows 98（及以后版本）或安装了I

E 4.0的系统中自带的高级功能，
最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全
和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以
轻松达到这一要求。具体*作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示：如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置，
则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”
设置（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，Active
Desktop 就会被禁用，并且这两个策略都会被忽略。
以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板
→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。
五、个性化“任务栏”和“开始”菜单
在图6所示窗口的右侧，显示了“任务栏”和“开始”菜单的有关组策略配置项目。下
面我们来看具体的实例：
位置：“组策略控制台→用户配置→管理模板→任务栏和开始菜单”
1．给“开始”菜单减肥（Windows 2000/XP/2003）
如果觉得Windows 的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单
中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到'Windows
Update'的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除'我的文
档'图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。
2．保护好“任务栏”和“开始”菜单（Windows 2000/XP/2003）
如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台
右侧窗格中的“阻止更改'任务栏和开始菜单'设置”和“阻止访问任务栏的上下文菜
单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出
现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟
和“任务栏”按钮，弹出菜单会隐藏。
3．禁止“注销”和“关机”（Windows 2000/XP/2003）
当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”*作，那么可将
组策略控制台右侧窗格中的“删除开始菜单上的'注销'”和“删除和阻止访问'关机'
命令”两个策略启用。
这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框□按
“Ctrl+Alt+Del”会出现这个对话框□中的“关机”选项 。另外需要注意的是，此设置虽
然可防止用户

用 Windows 界面来关机，但无法防止用户用其他第三方工具程序来将
Windows 关闭。
提示：如果启用了“删除开始菜单上的'注销'”，则会从“开始菜单选项”删除“显
示注销”项目。用户无法将“注销”项目还原到开始菜单（只能通过手工修改注册表的方
法）。这个设置只影响开始菜单，它不影响 “Windows 任务管理器”对话框上的“注销”
项目（因此需要同时启用“删除和阻止访问'关机'命令”），而且不妨碍用户用其它方法
注销。
4．利用组策略保护个人文档隐私（Windows 2000/XP/2003）
Windows有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便
用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和
打开过哪些文件），有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最
近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略
设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设
置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重
新出现在“文档”菜单和应用程序的“文件”菜单中。
六、IE 设置手到擒来
微软的Internet Explorer 让我们可以轻松地在互联网上遨游，但要想用好Internet
Explorer，则必须将它配置好。在IE 浏览器的“Internet选项”窗口中，提供了比较全面
的设置选项（例如：“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），
但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。下面来看具体实例：
位置：“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer（需
添加inetres.adm 模板文件）”
1．禁用“在新窗口中打开”菜单项（Windows 2000/XP/2003）
出于对安全的考虑，有时候我们有必要屏蔽IE 的一些功能菜单，组策略提供了丰富的
设置项目，比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用'在新窗口中
打开'菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏
览器菜单”，然后打开“禁用'在新窗口中打开'菜单项”并设置为“启用”。启用该策略
后，用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时，该命令将不起作用。
该策略可与“'文件'菜单禁用'新建'菜单项”一起使用，后者禁止用户通过单击“文
件”菜

单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器（“新建→窗口”项目
已经无法使用）。
提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系
统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出
广告窗口的效果。
2．限制IE 浏览器的保存功能（Windows 2000/XP/2003）
在使用IE 浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能
将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的
保存功能进行限制。那么如何才能实现呢?可以这样*作：打开“组策略控制台→用户配置
→管理模板→Windows 组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的
“'文件'菜单：禁用'另存为...'菜单项”、“'文件'菜单：禁用另存为网页菜单项”、
“'查看'菜单：禁用'源文件'菜单项”和“禁用上下文菜单”等策略项目全部启用即
可。
如果不希望别人对IE 浏览器的设置随意更改，可以将“'工具'菜单：禁用'Internet
选项...'”策略启用。另外，根据个人的需要，在该窗格中还可以禁用其他项目。
3．禁用“Internet 选项”控制面板（Windows 2000/XP/2003）
上面提到了“禁用Internet 选项”的功能，使用该功能可以达到阻止别人对IE随便设
置的目的。而这种方法无法具体禁用Internet 选项中的控制模板项目，因此给具体应用带
来麻烦。通过下面的组策略设置方法，则可以实现这一要求：
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet
Explorer→Internet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安
全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规
页”并设置为“启用”。然后我们再打开Internet 选项控制面板，会发现“常规”项目已
经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能
的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置
位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改
主页设置”、“禁用更改颜色设置”等策略。
4．禁止修改IE 浏览器的主页（Windows 2000/XP/2003）
如果不希望他人对自己设定的IE 浏览器主页进行随意更改的话，可以打开“组策略控
制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”，然后选择“禁
用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录

设置”、
“更改颜色设置”和“更改Internet 临时文件设置”等项目的禁用功能。
启用此策略后，在IE 浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主
页”区域的设置将变灰。
提示：如果设置了位于“组策略控制台→用户配置→管理模板→Windows 组件
→Internet Explorer→Internet Explorer 控制面板”中的“禁用常规页”策略，则无须
设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。
5．自定义IE 工具栏（Windows 2000/XP/2003）
IE 工具栏的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表
的方法，不过并不直观，现在我们用“组策略”可以更方便地达到效果，打造属于我们自己
的IE。
打开“组策略控制台→用户配置→Windows 设置→Internet Explorer 维护→浏览器用
户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，可以自定义浏览器工具
栏的背景图片，点击“浏览”选择一个BMP的位图文件即可（注意：工具栏背景应该与工具
栏大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。
接下来，我们要在IE 的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里
也可以很轻松地完成。
点击“添加”，在“工具栏标题”中输人“我的QQ”，在“工具栏*作”中选择QQ 程序
的路径，最后再选择好“颜色图标”和“灰度图标”的路径（如果你不知道怎么提取这两个图标，
可以请EXeScope 这个软件来帮忙，在各大站点都可以下载）。设置完成后点“确定”，再次
打开IE 后就可以看到修改的效果了。






最佳答案 来宾账户（guest）或者受限用户（user）的权限设置2009-12-23 18:21来宾账户（guest）或者受限用户（user）的权限设置标签：it 分类：计算机应用

当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。

一、限制用户对文件的访问权限
如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权

限，该用户也就失去了运行该应用程序的能力。
例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：
（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。
（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。
（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。
（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。
（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。
要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。
对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。


二、启用“不要运行指定的Windows应用程序”策略
在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：
（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中；
（2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。
（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。
（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序

的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。
这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。
提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。


三、设置软件限制策略
软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置
1、访问软件限制策略
作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限

制策略的访问方式有两种：
（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。
（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略
首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。
3、设置默认的安全级别
新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：
（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；
（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。
该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。
4、设置策略的作用范围和对象
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。设置的方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；
（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。
5、制定规则
只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下：
散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止

对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。制定方法如下：
（1）、点击“软件限制策略”下的“其它规则”，在“其他规则”上单击右键，或在右侧窗格的空白区域单击右键，选择“新散列规则”。
（2）、点击“浏览”，指定要标识的文件或程序，例如cmd.exe，确认后，在文件散列中可以看到计算出来的散列，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方法同散列规则。
路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。
6、维护可执行代码的文件类型
不论是那种规则，它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规则共享的。某些情况下，管理员可能需要删除或添加某种类型的文件，以便规则能够对这类文件失去或产生作用，这就需要我们来维护“指派的文件类型”属性。方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“指派的文件类型”属性项目；
（2）、如果新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；如果要删除一种文件类型，单击列表中的制定类型，点击“删除”。
7、利用规则的优先级灵

活控制程序的运行
四种规则的优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序，那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序，那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面，但是也限制了我们所需要的那些部分，复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外，其他全部不允许/不受限制”这样的效果，这也许才是我们真正需要的安全级别。
提示：软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则，而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中，那么最终这个程序是不允许运行的。要取消对程序的限制，需要将相关的规则删除：在“其他规则”中的规则列表中，在要删除的规则上点击右键，选择“删除”即可。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看，限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制，作用的范围可以是所有类型的文件和文件夹，但是这种方法受到应用环境的限制。采取基于策略的措施，不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略，对于要限制的用户对象作用范围来讲都是用户组，不能针对具体的用户进行设置，要么是所有的用户，要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高，在XP系统中都可以进行实施。另外，基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识，对于程序的运行具有很高的可控性


别的你可以上网去找