我正在使用Windows 8 专业版。我正在尝试创建一个非常有限的 Windows 帐户。该帐户将只有:
远程桌面访问
Shell 被我们自己的内部应用程序取代
访问FileZilla我们的内部应用程序将为他们启动的一个 FTP 客户端(当前)(在命令行上发送登录信息)
我不希望他们能够运行任何其他应用程序。我已经禁用了任务管理器并替换了外壳,所以他们目前可以运行其他应用程序的唯一方法是从内部FileZilla,因为它允许您“打开”一个 EXE(运行它)或打开其他应用程序的其他文件。
我尝试了Group Policy Editor,据我所知,它不允许管理员用户运行应用程序......但对非管理员用户没有影响。我见过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun,但我需要一个白名单,而不是黑名单,而且我认为这仅适用于 Explorer 启动的进程,而不适用于FileZilla.
我希望黑名单也使用 EXE 的完整路径,而不仅仅是名称。由于用户将具有 FTP 功能和重命名文件的功能(但系统或程序文件文件夹中没有任何内容,因为这是一个受限帐户)。
我也试着去到C盘的根目录,并添加一个“Deny execute/traverse在文件系统级别”的权限,但我得到吨关于访问的大量文件夹类似的否认错误,c:\windows并且下甚至东西c:\users。然后我开始转到每个子文件夹并添加该权限,但这需要很长时间,而且我仍然收到很多拒绝访问的错误(我是从管理员帐户执行此操作的)。
更新 - 使用接受的答案,加上我在这里找到的信息,我得到了我需要的东西。
启动 MMC(Microsoft 管理控制台)。在开始菜单搜索框或命令提示符窗口中键入 mmc,或者您可以使用“运行...”功能。
选择文件并从下拉菜单中选择添加/删除管理单元...。
将出现添加或删除管理单元对话框。在左侧窗格中,突出显示组策略对象编辑器并单击添加 >;。
现在将出现“选择组策略对象”对话框。单击浏览...按钮。切换到用户选项卡并在列表中选择非管理员。单击确定。
组策略对象现在应显示“本地计算机非管理员”。单击完成。
一旦我能够使用上述步骤为一个用户设置策略,我只需转到“管理模板->系统->仅运行指定的 Windows 应用程序”。我已经尝试过了,但是缺少关于如何仅为一个用户编辑策略的部分,而不是“仅限管理员用户”(这对我来说似乎是一个奇怪的默认设置)。