我們發(fā)現(xiàn)Windows 7增加了不少新功能，比如：XP模式和Bitlock To Go，誠然，這些功能可以使得用戶的升級更加方便、數(shù)據(jù)安全性更高，但是，管理員卻還在尋找多用戶環(huán)境下靈活限制程序運(yùn)行的工具。以往的組策略經(jīng)過復(fù)雜操作也能實(shí)現(xiàn)這一目的，而Windows 7則可以讓管理員從繁重的勞動(dòng)中解脫出來了，它的AppLocker（應(yīng)用程序控制策略）可以很方便地配置多用戶的程序、文件、腳本運(yùn)行的策略。AppLocker基于組策略管理和配置，這更加適用于網(wǎng)絡(luò)環(huán)境的部署。

　　一、啟用AppLocker有講究在進(jìn)行AppLocker策略配置前，我們需要做必需的準(zhǔn)備工作。我們在開始菜單的搜索框輸入“Services.msc命令啟動(dòng)服務(wù)窗口，接著我們在該窗口查找到Application Identity服務(wù)，該服務(wù)確定并驗(yàn)證應(yīng)用程序的標(biāo)識，禁用此服務(wù)將阻止強(qiáng)制執(zhí)行 AppLocker，默認(rèn)情況下該服務(wù)時(shí)手動(dòng)并停止的，因此，只有啟動(dòng)了該服務(wù)才能正常使用AppLocker策略，我們可以將其“啟動(dòng)類型設(shè)置為“自動(dòng)，再點(diǎn)擊“啟動(dòng)按鈕即可啟動(dòng)成功了（如圖1）。

做好以上的準(zhǔn)備工作，我們就可以在開始菜單搜索框輸入“Gpedit.msc命令啟動(dòng)組策略編輯器來設(shè)置AppLocker策略了。我們可以在組策略編輯器依次進(jìn)入“計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-應(yīng)用程序控制策略-AppLocker菜單來設(shè)置（如圖2）。

二、限制用戶使用某個(gè)程序這里，我們就通過AppLocker來建立限制用戶使用某個(gè)程序的策略吧。比如：我們希望王蓉這個(gè)用戶不能使用Maxthon瀏覽器。我們可以這樣來做。首先，在左側(cè)選擇“可執(zhí)行規(guī)則，在右側(cè)空白窗口處右鍵單擊選擇“創(chuàng)建新規(guī)則命令，接著會(huì)彈出“創(chuàng)建可執(zhí)行規(guī)則的窗口（如圖3），只需點(diǎn)擊“下一步按鈕即可。

接著在窗口中選擇操作為“拒絕，點(diǎn)擊“用戶或組下的“選擇按鈕，在彈出的“選擇用戶或組窗口點(diǎn)擊“高級按鈕，在彈出窗口點(diǎn)擊“立即查找按鈕，在下面找到王蓉用戶確定即可（如圖4）。

回到原來的窗口，點(diǎn)擊“下一步按鈕（如圖5）。

在創(chuàng)建主要條件步驟，我們選擇“發(fā)布者條件（Maxthon已經(jīng)由軟件發(fā)布者簽名，否則可以考慮選擇“文件哈希條件，如圖6），點(diǎn)擊“下一步按鈕。

在出現(xiàn)的窗口，這時(shí)我們可以限制用戶使用Maxthon2.5.0.0版本，而不能限制用戶使用其他的版本，我們只需將“文件版本旁的滑竿上移一格到“文件名即可限制使用Maxthon的任意版本了（如圖7）。

如果Maxthon更改了程序名，這個(gè)限制依然會(huì)失效，不過，我們再將滑竿上移到“產(chǎn)品名就可以繼續(xù)限制了（如圖8）。

同理，當(dāng)產(chǎn)品名變化時(shí)，我們再將滑竿上移到“發(fā)布者就可以繼續(xù)保持限制了，一般情況滑竿上移到“文件名即可，點(diǎn)擊“下一步按鈕；接著，我們點(diǎn)擊“創(chuàng)建按鈕即可完成策略建立了，規(guī)則建立過程中會(huì)建議同時(shí)創(chuàng)建默認(rèn)規(guī)則（當(dāng)默認(rèn)規(guī)則未建立時(shí)，如圖9），確定即可。

那么，創(chuàng)建了該規(guī)則后，王蓉用戶登錄系統(tǒng)運(yùn)行Maxthon是否會(huì)生效呢？我們來測試一下吧。運(yùn)行Maxthon時(shí)，彈出了禁止運(yùn)行的窗口（如圖10），這說明AppLocker已經(jīng)通過組策略生效了。

三、限制用戶安裝程序為了防止用戶隨意安裝程序，AppLocker也有相應(yīng)的策略設(shè)置。我們打算讓所有用戶都不能安裝cooliris這個(gè)瀏覽器插件。不過，該策略只能禁止用戶安裝.msi和.msp的程序。我們可以選擇“Windows安裝程序規(guī)則，然后右鍵單擊右側(cè)的窗口選擇“創(chuàng)建新規(guī)則，同樣會(huì)打開一個(gè)“創(chuàng)建Windows安裝程序規(guī)則窗口，點(diǎn)擊“下一步按鈕；我們設(shè)置操作為“拒絕，“用戶或組為“Everyone，點(diǎn)擊“下一步按鈕（如圖11）。

這里我們還是選擇限制條件為“發(fā)布者，點(diǎn)擊“下一步按鈕（如圖12）。

這時(shí)，我們可以點(diǎn)擊瀏覽按鈕找到cooliris插件的文件，點(diǎn)擊“創(chuàng)建按鈕即可完成了（如圖13）。

以后，我們運(yùn)行該安裝程序時(shí)都會(huì)彈出禁止安裝的提示（如圖14）。

　　四、不同用戶使用同程序的不同版本我們發(fā)現(xiàn)QQ已經(jīng)成為辦公不可缺少的工具，但是娛樂性還是太強(qiáng)了，我們可以通過AppLocker讓普通用戶只能使用TM辦公。我們讓管理員用戶直接使用QQ2009，而普通用戶則使用TM2009。我們就來創(chuàng)建這個(gè)規(guī)則吧。首先，在左側(cè)選擇“可執(zhí)行規(guī)則，右鍵單擊右側(cè)選擇“創(chuàng)建新規(guī)則命令，在“創(chuàng)建可執(zhí)行規(guī)則窗口點(diǎn)擊“下一步按鈕；接著在“創(chuàng)建可執(zhí)行規(guī)則窗口選擇“操作為“拒絕，選擇“用戶或組為“users（普通用戶組），點(diǎn)擊“下一步按鈕（如圖15）。

然后選擇條件類型為“發(fā)布者，點(diǎn)擊“下一步按鈕；這時(shí)點(diǎn)擊“瀏覽按鈕選擇QQ2009的可執(zhí)行程序（一般為安裝目錄/QQ/Bin/QQ.exe），勾選“使用自定義值選項(xiàng)并將文件版本選項(xiàng)設(shè)置為“及以下版本以達(dá)到限制使用任意版本QQ的目的（如圖16），點(diǎn)擊“下一步按鈕。

這時(shí)我們可以添加普通用戶可以使用的例外程序TM2009，點(diǎn)擊“添加按鈕設(shè)置為TM2009的可執(zhí)行程序即可（如圖17）。

確定之后回到原來窗口（如圖18），點(diǎn)擊“創(chuàng)建按鈕即可完成了。

建立這個(gè)規(guī)則后，普通用戶只能運(yùn)行TM2009而無法運(yùn)行QQ2009，這樣就達(dá)到了目的。

大家在使用AppLocker的時(shí)候還需要注意：默認(rèn)的規(guī)則會(huì)限制任何用戶使用非“Program Files和“Windows文件夾的程序，我們需要將第二條默認(rèn)規(guī)則的路徑設(shè)置為*（如圖19）,因?yàn)?，任何用戶默認(rèn)都是以普通用戶身份運(yùn)行的。

相信大家在熟練使用AppLocker的過程中會(huì)摸索出更多更好的經(jīng)驗(yàn)的。