|
第二回合 管理员将mmcexe也加入到上述禁止运行列表中使用户无法打开任何MMC管理控制台 用户开始/运行cmd键入mmc将会打开控制台下文件/添加删除管理单元添加组策略对象编辑器/本地计算机策略取消限制 说明用户在CMD方式下直接键入gpeditmsc仍不能运行此解法的知识点来自这条策略的说明标签 第三回合 管理员将cmdexe也禁止运行 用户重新启动计算机按F选择带命令行的安全模式登录进来后在CMD方式下键入mmc将会打开控制台下文件/添加删除管理单元添加组策略对象编辑器/本地计算机策略取消限制 第四回合 管理员一看不行了还是借助于基于域的组策略吧将用户计算机加入到域不给用户本地管理员的口令要求用户使用一个域用户帐号(为不影响用户的其它正常应用可将其加入到客户机的Power Uers组)并将此域用户帐号放到一个OU中链接组策略设置上述限制 用户手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序 第五回合 管理员因为默认情况下若用户手动修改注册表中的组策略设置值若策略未变组策略不负责强制改回管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理设置成即使尚未更改组策略对象也进行处理执行强制性的周期性刷新策略 用户用户修改程序文件名以避开策略的限制(尤其是对非MS的应用程序) [] [] [] [] [] [] [] |
