禁止Windows用户使用cmd、powershell、注册表、*.bat脚本、修改网卡IP等操作

如果你想让你的计算机或域控用户的计算机禁止使用cmd、powershell、注册表、bat脚本、修改网卡IP等操作

1. 使用本地组策略（如果是本地用户）

如果是非域用户，如果你在Windows 10 Pro或更高版本上，可以使用本地组策略（Local Group Policy）来限制访问。

1. 打开“本地组策略编辑器”（gpedit.msc）。
2. 导航到“用户配置” > “管理模板” > “系统”。
3. 编辑策略设置：
   1. 禁止访问命令提示符：在“用户配置” >  “管理模板” > “系统”下，找到“阻止访问命令提示符”策略并启用它。
   2. 禁止访问命令提示符：找到“阻止访问注册表编辑工具”策略并启用它。
   3. 不要运行指定的Windows应用程序：同样在“用户配置” > “管理模板” > “系统”下，找到“不要运行指定的Windows应用程序”策略。启用此策略，并添加cmd.exe、powershell.exe、powershell_ise.exe、pwsh.exe等应用程序的路径。（这些都是在C:\Windows\System32\路径下的进程，就不需要写绝对路径了。）
4. 配置可能重启后才能生效。

 

2. 使用GPO组策略（如果是域控用户）

在域控服务器Server上，打开组策略管理，找到对应的域GPO组策略（网上找来的图）

1. 打开组策略编辑器：在域控制器或具有组策略管理权限的计算机上，打开“组策略管理编辑器”（gpmc.msc）。
2. 导航到目标组策略对象：找到并编辑应用于目标用户或用户组的组策略对象（GPO）。
3. 编辑策略设置：
   • 禁止访问命令提示符：在“用户配置” > “策略” > “管理模板” > “系统”下，找到“阻止访问命令提示符”策略并启用它。
   • 禁止访问命令提示符：找到“阻止访问注册表编辑工具”策略并启用它。
   • 不要运行指定的Windows应用程序：同样在“用户配置” > “策略” > “管理模板” > “系统”下，找到“不要运行指定的Windows应用程序”策略。启用此策略，并添加cmd.exe、powershell.exe、powershell_ise.exe、pwsh.exe等应用程序的路径。（这些都是在C:\Windows\System32\路径下的进程，就不需要写绝对路径了。）
4. 用户强制刷新设置：用户侧使用gpupdate /force命令，立即与主控服务器联系，请求同步最新的域策略。（系统可能需要一些时间来完成策略的更新和应用）

 

3. 配置成功后的效果

1、执行cmd命令截图：

2、执行注册表命令截图：

3、执行powershell命令效果截图：

 

4. 防止用户修改IP地址

启用“禁止访问LAN连接的属性”

在“用户配置” > “管理模板” > “网络” > “网络连接”下，找到“禁止访问LAN连接的属性”策略并启用它。

修改后效果：禁止修改IP属性