域环境下利用组策略分别禁止两个客户机不能访问记事本和画图工具

实验环境：三台原始的干净的虚拟机
搭建好的DC服务器：IP地址为：172.19.11.1
装备一台已经加入域的客户机：IP地址为：172.19.11.5， DNS为：172.19.11.1。
在DC上创建的域为17w2.com
实验目的：在域环境下禁止jishubu的lisi访问记事本，在与环境下禁止renshibu的zhangsan访问画图工具。
实验步骤：

1. 首先配置DC在开始处的管理工具处选择Active Directory 用户和计算机，在此处对DC进行配置。
2. 右击域选择新建组织单位，新建一个jishubu ,（如果在创建组织单位时复选中了"防止容器被意外删除"复选框，那么这个OU将无法被随意删除）。

并在技术部下创建用户lisi，点击下一步。

在下列框中输入密码，为了不让用户下次登录时，再输入一个新的密码，可以选择勾选密码永不过期，然后点击下一步。

3. 右击域选择新建组织单位，新建一个renshibu ,并在人事部中新建一个用户zhangsan ,操作步骤同上所示。

4. 创建完成后，在开始-->管理工具-->打开组策略管理，如下图所示的界面。

5. 在 "组策略对象"上右击新建一个名为test 的GOP，点击确定。

6. 然后就可以按住左键将GPO拖动组织单位jishubu上，组策略便会对相应的对象生效。

7. 首先对jishubu进行设置，右击test选择编辑，进入如下图所示的组策略管理编辑器。

8.展开"用户配置"-->"策略"-->"Windows设置"-->"安全设置"-->"软件限制策略"，在软件限制策略上右击选择"创建软件限制策略"命令

9. 然后在下方会多出"安全级别"和"其它规则"两个项目，右击"其他规则"，可以选择创建4中不同的软件限制规则（最常用的是路径规则和哈希规则）。

10. jishubu我们通过路径规则来对软件进行限制，在打开对话框中输入要限制的记事本程序的路径C:\Windows\System32\notepad.exe，且安全级别设为"不允许"，点击确定。

11. 然后以jishubu员工lisi的身份在客户机上登录进行验证，当打开记事本时出现警告提示。记事本成功地被禁用。

12. 对renshibu进行设置，在 "组策略对象"上右击新建一个名为tes1t 的GOP，点击确定。

13. 然后就可以按住左键将GPO拖动组织单位renshibu上，组策略便会对相应的对象生效。

14. 右击test1，选择编辑，然后展开"用户配置"-->"策略"-->"Windows设置"-->"安全设置"-->"软件限制策略"，在软件限制策略上右击选择"创建软件限制策略"命令，然后，在下方会多出"安全级别"和"其它规则"右击"其他规则"选择新建哈希规则。

15.单击"浏览"找到要禁用的mspaint.exe，系统会自动生成他的哈希值，安全级别为不允许，点击应用。

16.规则设置成功后，然后以renshibu员工zhangsan的身份在客户机上
登录验证，并打开画图工具时出现警告提示，画图工具成功地被禁用。

实验结束。

实验中需要注意的事项：
执行策略时会有延迟，延迟时间的长短不确定。
所以减缓延迟的策略的方法：（1）强制执行策略（在服务器端）、
（2）刷新策略，在客户端执行gpudate/force.