组策略9-禁用命令行CMD
出于安全考虑有些部门需要禁用CMD的运行,
首先在组策略管理中的组策略对象里新建立一个名为“禁用CMD”的GPO,”源 Starter GPO”选择“无”,如下图
接下来右键编辑该名为“禁用CMD”的GPO。打开“组策略管理编辑器”
依次展开“用户配置”--“策略”--“管理模板”--“系统”,在右侧可以看到“阻止访问命令提示符”,状态是“未配置”,如下图
双击“阻止访问命令提示符”,选择“已启用”, 在选项中有个问题,“是否也要禁用命令提示符脚本处理?” 默认选择的“否”,这里我们修改为“是”,之后确定。 如下图
返回到“组策略管理”界面中,右击要应用该策略的OU,本环境要应用到测试账户中,因此右击测试账户,选择“链接现有GPO”,
在打开的“选择GPO”界面中选择刚刚编辑完成的“禁用CMD”,然后确定
检验该策略是否生效
在“测试账户”OU中含有鲁肃的账户lus,用该账户登录客户端PC
运行CMD发现提示“命令提示符已被系统管理员停用,请按任意键继续…” , 如下图
按任意键退出
我们再新建一个黄忠用户huangz,看看与之前建立的登录及运行BAT脚本添加桌面常用图标,看看与本次建立的策略是否冲突。
登录后发现并没有生存桌面图标。
经过多次测试发现与“阻止访问命令提示符”设置中的选项有关
这里如果选择“是”则之前设置的自动生成桌面图标则不能运行,同时也应该注意系统升级或某些软件的安装与升级有的需要重启时运行本身的bat程序。
改问题解决的方法有3种:
- 将这里的选择改为“否”。 则新生成的用户都能进行桌面图标的生成。影响:cmd并没有完全的禁用,在电脑启动时是可以加载的cmd运行命令(未验证)。
- 单独设置一个组,将新用户单独设置一个组当首次登陆后生成了桌面图标则立即将其移动到引用了禁用CMD策略的组里面。 影响:电脑多次注销,用户到其他电脑上登录又会没有桌面图标。
- 不考虑是否生成桌面图标,用户单个设置。
终上所述这里暂时选择“否”。之后服务器使用gpupdate /force强制更新策略,客户端注销重新登录发现桌面图标再此出现。