ใช้ cmd เมื่อนโยบาย "เรียกใช้เฉพาะแอปพลิเคชัน Windows ที่ระบุ" มีผลบังคับใช้

ฉันกำลังพยายามจำกัดการใช้งานแอปพลิเคชันบน VM Windows Server 2019 ในโปรแกรมแก้ไข Local Group Policy (gpedit.msc) ฉันได้แก้ไขนโยบายที่บานหน้าต่างด้านซ้าย คลิก/แตะเพื่อขยายการกำหนดค่าผู้ใช้ เทมเพลตการดูแลระบบ และระบบ ดับเบิลคลิก/แตะที่เรียกใช้เฉพาะแอปพลิเคชัน Windows ที่ระบุเพื่อแก้ไข

เราได้เพิ่ม chrome.exe และ firefox.exe ที่นี่

หลังจากนั้น บน VM Windows Server 2019 ฉันสามารถเปิดแอปพลิเคชัน firefox และ GoogleChrome ได้ตามคาด และไม่สามารถเปิดแอปพลิเคชันอื่นๆ เช่น Word, PowerPoint และ Outlook ได้

อย่างไรก็ตาม ฉันไม่สามารถเปิด CMD ได้ ในคำอธิบายนโยบาย จะแสดง " ไม่ได้ป้องกันผู้ใช้จากการเรียกใช้โปรแกรม เช่น ตัวจัดการงาน ซึ่งเริ่มต้นโดยกระบวนการของระบบหรือโดยกระบวนการอื่นๆนอกจากนี้ ถ้าผู้ใช้สามารถเข้าถึงพรอมต์คำสั่ง Cmd.exe การตั้งค่านี้ไม่ได้ป้องกันพวกเขาจากการเริ่มโปรแกรมในหน้าต่างคำสั่งที่พวกเขาไม่ได้รับอนุญาตให้เริ่มโดยใช้ Windows Explorer"

ผู้ใช้ที่ฉันใช้บนคอมพิวเตอร์ไคลเอ็นต์คือผู้ดูแลระบบภายในที่เข้าถึง CMD ได้อย่างแน่นอน แล้วปัญหาคืออะไร?

หากฉันเปิด CMD ไม่ได้ ฉันจะเปิดแอปพลิเคชันอื่นจาก CMD ตามที่นโยบายอธิบายไว้ได้อย่างไร

เมื่อฉันพยายามเปิดโปรแกรมอื่น มันบอกว่า: "การดำเนินการนี้ถูกยกเลิกเนื่องจากข้อจำกัดที่มีผลกับคอมพิวเตอร์เครื่องนี้ โปรดติดต่อผู้ดูแลระบบของคุณ" ในบัญชีการดูแลระบบ

ฉันปิดกั้นตัวเองแล้ว

รูปภาพ

คุณไม่สามารถเปิด cmd จาก Windows Explorer ได้ แต่คุณควรจะสามารถเริ่มตัวจัดการงานได้โดยการกด Ctrl-Alt-ลบหรือโดยการกด Ctrl-กะ-เอสซี.

จากนั้น จากตัวจัดการงาน คุณควรจะสามารถเริ่ม cmd.exe จากไฟล์ ไฟล์ เมนู.

ทำไม เนื่องจากข้อจำกัดนี้ถูกประมวลผลโดย Windows Explorer การเริ่มต้นตัวจัดการงานด้วยแป้นพิมพ์ลัดหรือจาก Ctrl-Alt-ลบ เมนูขอให้ WinLogon (ทำงานเป็นระบบ) เพื่อเริ่มตัวจัดการงานให้คุณ โดยข้ามข้อจำกัดนี้