电脑知识收藏夹

为保证Windows XP系统安全，很多朋友都在公共电脑上设置了组策略的“只运行许可的Windows应用程序”项，以此来防范外来程序对系统的破坏。而疏忽大意或为了防范他人修改组策略，一些朋友干脆连“gpedit.msc”文件也一并排除在允许运行程序之外，结果造成系统被锁死，导致无法运行所有程序，无奈之下只得重装系统。其实有因必有果，对此问题还是有解决方法的。
1.计划任务法
打开“控制面板”→“任务计划”，启动向导建立一个名为MMC的任务计划，执行的程序是“C:\Windows\System32\mmc.exe”。完成后，在任务计划窗口右击新建的MMC选择“运行”，在打开的控制台程序窗口，单击菜单栏的“文件”→“打开”，定位到“C:\Windows\System32\gpedit.msc”程序，打开组策略编辑窗口，依次展开“本地计算机策略”→“用户配置”→“管理模板”→“系统”，双击右侧窗格的“只运行许可的Windows应用程序”，在弹出的窗口将其设置为“未配置”。单击“确定”退出并关闭组策略编辑窗口，当系统弹出“是否将更改保存到gpedit.msc”询问窗口时，单击“是”确定保存，即可解锁。
2.安全模式法
其实组策略的这个限制是通过加载注册表特定键值来实现的，而在安全模式下并不会加载这个限制。重启开机后按住F8键，在打开的多重启动菜单窗口，选择“带命令提示符的安全模式”。进入桌面后，在启动的命令提示符下输入“C:\Windows\System32\mmc.exe”，启动控制台，再按照如上操作即可解除限制，最后重启正常登录系统即可解锁。此外，组策略的很多限制在安全模式下都无法生效，如果碰到无法解除的限制，不妨进入下寻找解决办法。
3.重命名程序法
设置“只运行许可的windows应用程序”策略时，需要添加允许程序到列表中，如果记住了当初设置的许可运行程序名称，并且在允许列表添加的是.com、.bat、.exe之中任意一种类型文件，比如只允许“qq.exe”运行，那么就可以打开“C:\Windows\System32”文件夹，将其中的mmc.exe程序重命名为qq.exe，再运行即可。同样如果希望保持限制，可将需要运行的程序改名为qq.exe运行，但其他人使用电脑时就只能运行QQ了。如果允许运行的程序列表中包含有regedit.exe，还可打开注册表，依次展开“HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon”分支，双击右侧窗口的Userinit子键。在打开的窗口中，将其值更改为“C:\Windows\System32\userinit.exe,mmc.exe”，来实现mmc.exe开机启动。这样修改并重启后，下次开机时即会自动运行控制台，来打开组策略编辑器进行解锁了。
4.重命名程序法
组策略的这个设置只能防止用户从 Windows 资源管理器启动程序，其实系统中的很多程序都是可以独立运行的。如开机就加载的桌面进程、系统服务、系统屏幕保护等，它都没有进行阻止，因此只要将mmc.exe替换为上述文件即可。以替换屏幕保护logon.scr为例，先打开“C:\Windows\System32\dllcache”文件夹，找到logon.scr文件将它复制到D:\盘下，然后在“C:\windows\System32\dllcache”文件夹中删除这个屏保文件，来防止系统的文件保护功能阻止我们更改和删除系统文件，这时系统会弹出“系统文件已被更改为无法识别版本，请插入WinXP SP2光盘修复”的询问窗口，单击“取消”。接着打开“C:\Windows\System32”文件夹，找到logon.scr文件将其删除，并将mmc.exe重命名为logon.scr。
回到桌面，在空白处右击选择“属性”，在弹出窗口中，单击“屏幕保护程序”标签，接着在屏幕保护列表中选择“logon”，单击“预览”，此时虽然系统会提示找不到所选文件，但在后台却启动了控制台程序“mmc.exe”，对其设置解除限制即可。注意在完成操作后，最好将d:\logon.scr文件复制回原文件夹。
5.组合键启动法
虽然系统所有程序都被锁死，但按下Ctrl+Alt+Del组合键却可以启动任务管理器。既然通过组合键可以启动taskmgr.exe程序。那么只要使用mmcexe替换taskmgr.exe，即可启动组策略进行解锁。同上，先进入“C:\Windows \System32\dllcache”文件夹，找到taskmgr.exe程序将其重命名为taskmgr1.exe，再进入“C:\Windows\System32”文件夹，找到并将taskmgr.exe文件重命名为taskmgr1.exe。现在将mmc.exe文件重命名为taskmgr.exe，这时再按下Ctrl+Alt+Del组合键后，便会发现启动了控制台程序。设置组策略后，将任务管理器恢复回原名称即可。

以前在网吧安装软件时被人家的安全策略限制了，我废了九牛二虎之力才解除了限制，不过现在这个方法已经不行了，人家组策略里面的“软件限制策略”里就没有关于软件的任何限制了，但是我要安装火狐浏览器，还有瑞星卡卡都不行，分别弹出如下警告：

我查看了事件查看器，内容分别如下：

事件ID：866

描述：对 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7zS56.tmp\setup.exe 的访问被您的管理员根据位置用路径 C:\Documents and Settings\Administrator\Local Settings\Temp\*\*.exe 上的策略规则 {8156dd45-e093-4a3e-9755-373534393432} 限制了

事件ID：866

描述：对 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\KaKaTmp\install.exe 的访问被您的管理员根据位置用路径 C:\Documents and Settings\Administrator\Local Settings\Temp\*\*.exe 上的策略规则 {8156dd45-e093-4a3e-9755-373534393432} 限制了

我不知道什么意思，就直接到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下把所有的文件都删除了，有些删除不掉，我就用删除器强制删除了，但是还是安装不了上述文件。

敬请高手支招（解决办法，用留言方式列出即可），不胜感激！

你好，你的问题其实很简单，因为系统为了安全限制了临时文件夹程序，不允许任何程序在临时文件夹里运行，解决办法是，把你下载的东西存其他地方，比如桌面上，都是可以的，这是组策略的路径限制，看你的软件应该是自动放到临时文件夹去的，你可以手动的把它移到其他文件夹执行就可以了，或者去组策略里解除限制，因为操作烦琐，所以我建议你直接把它存桌面上比较方便。

问：

我单位机房一共有50台电脑(没有服务器), 没有还原卡, 只装了还原精灵,但是发现有的时候不起作用, 电脑经常被人篡改系统属性之类的设置, 因此我想利用winxp的本地安全策略来限制用户对系统的修改但是遇到了些问题, 还请各位大侠帮忙解决.

我在xp下创建了2个用户, 管理员(带密码登录), 实习人员(受限用户), 本来想利用受限用户来限制用户修改系统设置, 但是发现这个受限用户还是不够猛.

所以我尝试使用gpedit.msc组策略来修改"本地计算机"策略中的"计算机配置"和"用户配置", 首先我使用管理员登录的, 在我配置了"计算机配置"和"用户配置"后, 发现我没有办法将我设置好的配置导出(因为我想导入其它49台电脑), 另外就是发现这些设置已经生效了,超级郁闷....管理员这个帐号也被限制了, 还有就是没有办法还原成初始状态~~真菜啊....

后来又尝试了使用mmc的控制台来添加了一个新的"本地计算机"策略来配置系统, 这个可以保存, 但是不知道怎么导入到其他电脑中?

所以请教:

1.gpedit.msc是不是只能针对本机来设置系统属性的? 比如我用管理员登录, 只能设置本机中的属性, 无论我是用管理员登录还是实习人员(受限用户)登录的结果都是一样? 还是我用管理员登录, 设置好后只是针对实习人员(受限用户)产生影响,而对管理员用户没有影响?

2.mmc可以制作模板, 如果我添加了一个新的"本地计算机"策略模板, 那么这个模板是不是设置好后, 在保存后是直接生效的? 还是需要怎么样导入使用?

3.我怎么将我设置好的模板导入到其它电脑中? 其它电脑只有管理员用户, 是不是也需要在建立一个实习人员(受限用户)才可以的?

答：

假如没有做域环境 建议你就用还原卡，每次开机就还原。
microsoft有软件叫Windows SteadyState，或者可以帮到你
Windows SteadyState 是微软推出的一款免费的产品，针对共享计算机(Sharing PC)，或一些处于工作组环境下面非域环境下面单独计算机(Stand-Alone Client)的管理。从而使得在小规模的局域网环境中计算机的好很好的保护，大大减少恶意软件，病毒的威胁，最大限度的减低风险。

http://www.microsoft.com/china/windows/products/winfamily/sharedaccess/whatis/diskandsystemprotection.mspx
用户模式下，对WINDOWS的限制：

     a) 会话计时：如果选择如图示的两项，将有效的防止客户端超时使用计算机。

     b) WINDOWS限制：可以对开始菜单、系统等做详细限制。本人以为有如下亮点：

         A、防止更改Explorer高级注册表设置。

         B、防止访问命令提示符。

         C、防止访问注册表编辑器。

         D、防止访问任务管理器。

         E、防止访问管理控制台实用程序。

         F、只允许运行Windows和Program Files  文件夹中的程序。

         G、禁用系统工具和其它管理工具。

         H、隐藏指定驱动器。

二、Windows自动更新：此处也为一大亮点。

    SteadyState可以在磁盘保护开启的情况下对系统进行安全更新。安全更新后，自动的将更新后的系统数据保存到“永久磁盘”数据中。比一般的第三方硬盘保护卡有优势。

三、磁盘保护：

   只能保护系统盘数据，非系统分区不能保护。但可以使用NTFS安全特性限制在非系统盘的数据存储。或者使用上述的只允许运行Windows和Program Files  文件夹中的程序。来限制运行非系统盘的程序。

四、补充说明

   上述对WINDOWS系统的限制，大部分是通过修过注册表、软件限制策略完成的。

   SteadyState 提高了组策略模板，存放位置在软件安装目录的ADM文件夹中，文件名为 SCTSettings.adm。我们可以将SteadyState的组策略模板导入到域中，通过域来统一部署限制。

   在域中，我们还可以对用户的文档目录指定重定向，可以重定向到网络共享中。还可以做更详细的软件限制策略。例如添加一个软件限制策略：限制运行D盘的程序