允许一个 Windows 用户只执行 2 个应用程序

Question

我正在使用Windows 8 专业版。我正在尝试创建一个非常有限的 Windows 帐户。该帐户将只有：

1. 远程桌面访问

2. Shell 被我们自己的内部应用程序取代

3. 访问FileZilla我们的内部应用程序将为他们启动的一个 FTP 客户端（当前）（在命令行上发送登录信息）

我不希望他们能够运行任何其他应用程序。我已经禁用了任务管理器并替换了外壳，所以他们目前可以运行其他应用程序的唯一方法是从内部FileZilla，因为它允许您“打开”一个 EXE（运行它）或打开其他应用程序的其他文件。

我尝试了Group Policy Editor，据我所知，它不允许管理员用户运行应用程序......但对非管理员用户没有影响。我见过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun，但我需要一个白名单，而不是黑名单，而且我认为这仅适用于 Explorer 启动的进程，而不适用于FileZilla.

我希望黑名单也使用 EXE 的完整路径，而不仅仅是名称。由于用户将具有 FTP 功能和重命名文件的功能（但系统或程序文件文件夹中没有任何内容，因为这是一个受限帐户）。

我也试着去到C盘的根目录，并添加一个“Deny execute/traverse在文件系统级别”的权限，但我得到吨关于访问的大量文件夹类似的否认错误，c:\windows并且下甚至东西c:\users。然后我开始转到每个子文件夹并添加该权限，但这需要很长时间，而且我仍然收到很多拒绝访问的错误（我是从管理员帐户执行此操作的）。

更新 - 使用接受的答案，加上我在这里找到的信息，我得到了我需要的东西。

启动 MMC（Microsoft 管理控制台）。在开始菜单搜索框或命令提示符窗口中键入 mmc，或者您可以使用“运行...”功能。

选择文件并从下拉菜单中选择添加/删除管理单元...。

将出现添加或删除管理单元对话框。在左侧窗格中，突出显示组策略对象编辑器并单击添加 >;。

现在将出现“选择组策略对象”对话框。单击浏览...按钮。切换到用户选项卡并在列表中选择非管理员。单击确定。

组策略对象现在应显示“本地计算机非管理员”。单击完成。

一旦我能够使用上述步骤为一个用户设置策略，我只需转到“管理模板->系统->仅运行指定的 Windows 应用程序”。我已经尝试过了，但是缺少关于如何仅为一个用户编辑策略的部分，而不是“仅限管理员用户”（这对我来说似乎是一个奇怪的默认设置）。

Answer 1

为了进一步阐述其他人所说的，“正确”的方法是通过 GPO。您可能需要查看“ Group Policy Common Scenarios Using GPMC ”包，它是一组组策略脚本，用于在各种情况下锁定工作站。我相信您正在寻找 AppStation 脚本。

GPMC 不再使用，但脚本仍然是执行此操作的起点的非常好的模板。

应用站

AppStation 方案在您需要仅具有少数应用程序的高度受限的配置时使用。在“垂直”应用程序中使用此场景，例如营销、索赔和贷款处理以及客户服务场景。

AppStation 场景具有以下特点：

• 允许用户进行最少的自定义。
• 允许用户访问适合其工作角色的少量应用程序。
• 不允许用户添加或删除应用程序。
• 支持自由就座。
• 提供简化的桌面和开始菜单。
• 用户对本地计算机的写访问权限受到限制，并且只能将数据写入他们的用户配置文件和重定向的文件夹。
• 是高度安全的。

工作站

当您需要专用于运行单个应用程序的计算机时，请使用 TaskStation 方案，例如在制造车间、作为订单的输入终端或在呼叫中心。

TaskStation 场景与 AppStation 场景类似，有以下变化：

• 它只安装了一个应用程序，它会在用户登录时自动启动。
• 没有桌面或开始菜单。

亭

在公共区域使用此场景，例如在乘客办理登机手续和查看其航班信息的机场。由于计算机通常无人值守，因此需要高度安全。

Kiosk 场景具有以下特点：

• 是公共工作站。
• 只运行一个应用程序。
• 仅使用一个用户帐户并自动登录。系统会在每个会话开始时自动重置为默认状态。
• 运行无人看管。
• 是高度安全的。
• 操作简单，无需登录程序。
• 不允许用户更改默认用户或系统设置。
• 不将数据保存到磁盘。
• 始终开启（用户无法注销或关闭计算机）。

使用 Kiosk 方案的工作站类似于 TaskStation，但用户是匿名的，因为他们都共享一个在计算机启动时自动登录的用户帐户。这是通过以本文档稍后描述的方式修改 Kiosk 机器来实现的。无法进行自定义，也不会保留用户状态。

尽管用户会话通常是匿名的，但用户可以登录到特定于应用程序的帐户，例如通过 Internet Explorer 登录到基于 Web 的应用程序（假设 Internet Explorer 是启动时启动的“信息亭应用程序”）。

专用应用程序可以是业务线 (LOB) 应用程序、托管在 Internet Explorer 中的应用程序或其他应用程序，例如 Microsoft Office 中可用的应用程序。默认应用程序不应是 Windows 资源管理器或任何其他类似 shell 的应用程序。与 Kiosk 计算机相比，Windows 资源管理器允许更多地访问计算机。确保命令提示符已禁用，并且无法从用于此目的的任何应用程序访问 Windows 资源管理器。

应仔细检查用于信息亭场景的应用程序，以确保它们不包含允许用户规避系统策略的“后门”。例如，它们不应允许用户访问访问文件系统的应用程序。理想情况下，您应该只使用符合“Windows 2000 应用程序规范”、经过 Windows 认证并且在允许用户访问禁止的功能之前检查组策略设置的应用程序。较旧的应用程序通常不会识别组策略，因此请尝试禁用任何允许用户绕过管理策略的功能。

注册表项Run和RunOnce在 Kiosk 方案中通过关联的策略设置被禁用。