三、限制用户安装程序

　　为了防止用户随意安装程序，AppLocker也有相应的策略设置。我们打算让所有用户都不能安装cooliris这个浏览器插件。不过，该策略只能禁止用户安装.msi和.msp的程序。我们可以选择“Windows安装程序规则”，然后右键单击右侧的窗口选择“创建新规则”，同样会打开一个“创建Windows安装程序规则”窗口，点击“下一步”按钮;我们设置操作为“拒绝”，“用户或组”为“Everyone”，点击“下一步”按钮(如图11)。

图11 更换用户为Everyone

　　这里我们还是选择限制条件为“发布者”，点击“下一步”按钮(如图12)。

图12 选择限制条件为“发布者”

　　这时，我们可以点击浏览按钮找到cooliris插件的文件，点击“创建”按钮即可完成了(如图13)。

图13 限定文件版本

　　以后，我们运行该安装程序时都会弹出禁止安装的提示(如图14)。

图14 警告提示

　　四、不同用户使用同程序的不同版本

　　我们发现QQ已经成为办公不可缺少的工具，但是娱乐性还是太强了，我们可以通过AppLocker让普通用户只能使用TM办公。我们让管理员用户直接使用QQ2009，而普通用户则使用TM2009。

　　我们就来创建这个规则吧。首先，在左侧选择“可执行规则”，右键单击右侧选择“创建新规则”命令，在“创建可执行规则”窗口点击“下一步”按钮;接着在“创建可执行规则”窗口选择“操作”为“拒绝”，选择“用户或组”为“users”(普通用户组)，点击“下一步”按钮(如图15)。

图15 分配用户

　　然后选择条件类型为“发布者”，点击“下一步”按钮;这时点击“浏览”按钮选择QQ2009的可执行程序(一般为安装目录\QQ\Bin \QQ.exe)，勾选“使用自定义值”选项并将文件版本选项设置为“及以下版本”以达到限制使用任意版本QQ的目的(如图16)，点击“下一步”按钮。

图16 设置版本

　　这时我们可以添加普通用户可以使用的例外程序TM2009，点击“添加”按钮设置为TM2009的可执行程序即可(如图17)。

图17 指定位置

　　确定之后回到原来窗口(如图18)，点击“创建”按钮即可完成了。

图18 完成设置

　　建立这个规则后，普通用户只能运行TM2009而无法运行QQ2009，这样就达到了目的。

　　大家在使用AppLocker的时候还需要注意：默认的规则会限制任何用户使用非“Program Files”和“Windows”文件夹的程序，我们需要将第二条默认规则的路径设置为*(如图19),因为，任何用户默认都是以普通用户身份运行的。

图19 属性

　　相信大家在熟练使用AppLocker的过程中会摸索出更多更好的经验的。