策略 CSP - ADMX_ShellCommandPromptRegEditTools

  • 项目

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

DisableCMD

范围 版本 适用的操作系统
❌ 设备
✅ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本
✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本		 
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableCMD

此策略设置阻止用户运行交互式命令提示符,Cmd.exe。 此策略设置还确定批处理文件 (.cmd 和 .bat) 是否可以在计算机上运行。

  • 如果启用此策略设置,并且用户尝试打开命令窗口,系统会显示一条消息,说明某个设置会阻止该操作。

  • 如果禁用或未配置此策略设置,用户可以正常运行 Cmd.exe 和批处理文件。

注意

如果计算机使用登录、注销、启动或关闭批处理文件脚本,或者对于使用远程桌面服务的用户,请不要阻止计算机运行批处理文件。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 DisableCMD
友好名称 阻止访问命令提示符
位置 用户配置
路径 系统
注册表项名称 Software\Policies\Microsoft\Windows\System
ADMX 文件名 Shell-CommandPrompt-RegEditTools.admx

DisableRegedit

范围 版本 适用的操作系统
❌ 设备
✅ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本
✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本		 
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableRegedit

禁用 Windows 注册表编辑器 Regedit.exe。

  • 如果启用此策略设置,并且用户尝试启动 Regedit.exe,将显示一条消息,说明策略设置会阻止该操作。

  • 如果禁用或未配置此策略设置,用户可以正常运行 Regedit.exe。

若要防止用户使用其他管理工具,请使用“仅运行指定的 Windows 应用程序”策略设置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 DisableRegedit
友好名称 阻止访问注册表编辑工具
位置 用户配置
路径 系统
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System
ADMX 文件名 Shell-CommandPrompt-RegEditTools.admx

DisallowApps

范围 版本 适用的操作系统
❌ 设备
✅ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本
✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本		 
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisallowApps

阻止 Windows 运行在此策略设置中指定的程序。

  • 如果启用此策略设置,则用户无法运行添加到不允许的应用程序列表中的程序。

  • 如果禁用或未配置此策略设置,用户可以运行任何程序。

此策略设置仅阻止用户运行由文件资源管理器进程启动的程序。 它不会阻止用户运行由系统进程或其他进程启动的程序,例如任务管理器。 此外,如果用户有权访问命令提示符 (Cmd.exe) ,则此策略设置不会阻止他们在命令窗口中启动程序,即使使用文件资源管理器会阻止他们这样做。

注意

具有 Windows 2000 或更高版本认证的非 Microsoft 应用程序必须符合此策略设置。

注意

若要创建允许的应用程序列表,请单击“显示”。 在“显示内容”对话框中的“值”列中,键入应用程序可执行文件名称 (例如,Winword.exe、Poledit.exe Powerpnt.exe) 。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 DisallowApps
友好名称 不运行指定的 Windows 应用程序
位置 用户配置
路径 系统
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表值名称 DisallowRun
ADMX 文件名 Shell-CommandPrompt-RegEditTools.admx

RestrictApps

范围 版本 适用的操作系统
❌ 设备
✅ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本
✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本		 
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/RestrictApps

限制用户有权在计算机上运行的 Windows 程序。

  • 如果启用此策略设置,则用户只能运行添加到允许的应用程序列表中的程序。

  • 如果禁用或未配置此策略设置,用户可以运行所有应用程序。

此策略设置仅阻止用户运行由文件资源管理器进程启动的程序。 它不会阻止用户运行任务管理器等程序,这些程序由系统进程或其他进程启动。 此外,如果用户有权访问命令提示符 (Cmd.exe) ,则此策略设置不会阻止他们在命令窗口中启动程序,即使使用文件资源管理器会阻止他们这样做。

注意

具有 Windows 2000 或更高版本认证的非 Microsoft 应用程序必须符合此策略设置。

注意

若要创建允许的应用程序列表,请单击“显示”。 在“显示内容”对话框中的“值”列中,键入应用程序可执行文件名称 (例如,Winword.exe、Poledit.exe Powerpnt.exe) 。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 RestrictApps
友好名称 仅运行指定的 Windows 应用程序
位置 用户配置
路径 系统
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表值名称 RestrictRun
ADMX 文件名 Shell-CommandPrompt-RegEditTools.admx

策略配置服务提供程序