禁止Windows用户使用cmd、powershell、注册表、*.bat脚本、修改网卡IP等操作
如果你想让你的计算机或域控用户的计算机禁止使用cmd、powershell、注册表、bat脚本、修改网卡IP等操作
1. 使用本地组策略(如果是本地用户)
如果是非域用户,如果你在Windows 10 Pro或更高版本上,可以使用本地组策略(Local Group Policy)来限制访问。
- 打开“本地组策略编辑器”(
gpedit.msc
)。 - 导航到“用户配置” > “管理模板” > “系统”。
- 编辑策略设置:
- 禁止访问命令提示符:在“用户配置” > “管理模板” > “系统”下,找到“阻止访问命令提示符”策略并启用它。
- 禁止访问命令提示符:找到“阻止访问注册表编辑工具”策略并启用它。
- 不要运行指定的Windows应用程序:同样在“用户配置” > “管理模板” > “系统”下,找到“不要运行指定的Windows应用程序”策略。启用此策略,并添加
cmd.exe
、powershell.exe
、powershell_ise.exe
、pwsh.exe
等应用程序的路径。(这些都是在C:\Windows\System32\
路径下的进程,就不需要写绝对路径了。)
- 配置可能重启后才能生效。
2. 使用GPO组策略(如果是域控用户)
在域控服务器Server上,打开组策略管理,找到对应的域GPO组策略(网上找来的图)
- 打开组策略编辑器:在域控制器或具有组策略管理权限的计算机上,打开“组策略管理编辑器”(
gpmc.msc
)。 - 导航到目标组策略对象:找到并编辑应用于目标用户或用户组的组策略对象(GPO)。
- 编辑策略设置:
- 禁止访问命令提示符:在“用户配置” > “策略” > “管理模板” > “系统”下,找到“阻止访问命令提示符”策略并启用它。
- 禁止访问命令提示符:找到“阻止访问注册表编辑工具”策略并启用它。
- 不要运行指定的Windows应用程序:同样在“用户配置” > “策略” > “管理模板” > “系统”下,找到“不要运行指定的Windows应用程序”策略。启用此策略,并添加
cmd.exe
、powershell.exe
、powershell_ise.exe
、pwsh.exe
等应用程序的路径。(这些都是在C:\Windows\System32\
路径下的进程,就不需要写绝对路径了。)
- 用户强制刷新设置:用户侧使用
gpupdate /force
命令,立即与主控服务器联系,请求同步最新的域策略。(系统可能需要一些时间来完成策略的更新和应用)
3. 配置成功后的效果
1、执行cmd命令截图:
2、执行注册表命令截图:
3、执行powershell命令效果截图:
4. 防止用户修改IP地址
启用“禁止访问LAN连接的属性”
在“用户配置” > “管理模板” > “网络” > “网络连接”下,找到“禁止访问LAN连接的属性”策略并启用它。
修改后效果:禁止修改IP属性