在网络管理中，经常会发现一些权限比较高的用户私自从网上下载，或者用自己的光盘、U盘之类的安装软件，这对于企业网络安全来说是非常危险的。以前通常是采用行政手段进行限制的，但这种方法往往使得管理员的工作不好做，往往是费力不讨好。其实可以利用组策略来限制员工运行与工作无关的软件的，这样即使他们安装了其他不允许使用的软件，也运行不了。

【经验之谈】这里要特别小心，建议不是迫不得已，不要采用这种方法，因为很可能因为配置时考虑不周而使用户，甚至包括管理员都无法执行某种种经常需要进行的管理操作。如ping操作，打开组策略编辑器的gpedit.msc，打开记事本程序，以及其他各种管理工具等都是可执行文件的。这么多，很难考虑全面的。所以，在采用这种限制方法时最好不要在域级别进行，而只是针对某个OU下的部分非管理员组成员用户。这样在出现问题时可以通过删除该GPO来实现恢复。

现以在“财务部”OU中限制该OU下的用户只允许运行word、excel、powerpoint等日常应用软件，或者不允许运行QQ、MSN等软件为例进行介绍。具体步骤如下：

（1）在GPMC中的“财务部”OU下新建并链接一个新的GPO，取名为“限制软件运行策略”。

（2）在新建的“限制软件运行策略”GPO上单击右键，在弹出菜单中选择“编辑”选项，在打开的组策略编辑器中找到“用户配置”→“管理模板”→“系统”下的“只允许运行许可的Windows应用程序”（在仅允许少量程序运行时选用）和“不要运行指定的Windows应用程序”（在仅阻止少量程序运行时选用）策略项。如图10-65所示。

图10-65  两价目用于限制运行程序的策略项

（3）如果要仅允许用户运行少量程序，则双击“只允许运行许可的Windows应用程序”项，打开如图10-66所示对话框。选择“已启用”单选项，然后单击“显示”按钮，打开如图10-67所示对话框。单击“添加”按钮，打开如图10-68所示对话框。在其中输入可执行文件，包括.exe、.bat、.msc、.msi等格式文件。把所要允许的可执行文件全部添加后单击“确定”按钮完成策略配置返回到GPMC。然后在这个GPO的“安全筛选”栏中指定要应用本策略的用户即可。应用后，如果执行不允许运行的程序，则会显示如图10-69所示错误提示。

图10-66 “只允许运行许可的Windows应用程序属性”对话框“设置”选项卡

图10-67 “显示内容”对话框

图10-68 “添加项目”对话框 

图10-69 运行未经允许的程序时的错误提示

如果是要禁止少量程序（如上班时间聊天所需的QQ、MSN之类的软件）的运行，则在图10-65所示编辑器窗口中的“不要运行指定的Windows应用程序”策略项，打开如图10-70所示对话框。在这里也要先选择“已启用”单选项，然后单击“显示”按钮，打开如图10—67所示对话框，在其中添加要限制运行的执行程序名，如QQ.exe、MSN.exe。后面的配置就与前面介绍的“只允许运行许可的Windows应用程序”策略项的配置一样了，不再赘述。结果是只要运行在里面添加了程序，就会打开如图10-69所示错误提示。

图10-70 “不要运行指定的Windows应用程序属性”对话框“设置”选项卡

当然，以上两个策略同样可以在GPMC中进行“安全筛选”配置，指定要应用该策略的用户。默认是该OU下所有经过身份认证的用户都应用本策略。如果仅要使部分用户应用，则要先删除默认添加的“Authenticated Users”选项，然后南添加要应用本策略的用户。

本文摘自《(中小型企业网络组建、配置与管理)》第十章