组策略不适用于用户或"以其他用户RunAs.exe的用户帐户
09/21/2020
本文内容
本文提供有关未将组策略应用于用户或"以其他用户RunAs.exe用户帐户的问题的一些信息。
适用于: Windows 10 - 所有版本
原始 KB 编号: 4569309
摘要
一Windows用户可以作为其他用户运行程序或应用程序。 为此,用户选择"以其他用户身份运行"上下文菜单命令 (或使用 Runas.exe 命令行工具) ,然后指定备用帐户的凭据。
作为最佳实践,用户应该使用自己的凭据在工作站上执行其常规工作。 他们可以指定备用帐户的凭据 (例如具有提升的权限的帐户) 运行特定应用程序。
但是,当用户使用备用凭据登录时,Windows不会处理备用帐户的组策略设置。 Windows用户通过使用登录用户界面登录到其自己的桌面,才能处理用户帐户的组策略设置。 相比之下,当用户使用 Runas.exe 或 以 其他用户身份运行来启动应用程序时,Windows启动一个在备用凭据下运行的单独进程。 此类操作不会触发组策略处理。
此行为是设计使然。
详细信息
重要
请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,备份注册表以便在发生问题时进行还原。
组策略设置不适用于由用户或以其他用户Runas.exe 的备用用户帐户。
Runas.exe加载与备用帐户关联的用户配置文件。 如果用户之前使用该帐户Windows登录到该工作站,则关联的用户配置文件可能包含当时由组策略处理事件设置的注册表项和值。 但是,此行为取决于用户是否在 /noprofile 命令中包含开关。 如果用户使用 启动进程或应用程序,然后指定备用帐户,Windows runas /noprofile 不加载备用用户配置文件。 因此,备用用户配置文件无法提供应用组策略设置的可靠方法。
如果要阻止用户使用 Runas.exe 或以其他用户方式 运行,请按照以下步骤操作。
重要
应用这些设置后,依赖于"运行方式"功能的任何功能将不起作用。
禁用 辅助登录 服务 (seclogon.exe) 。
使用软件限制策略或 AppLocker 阻止访问Runas.exe二进制文件。
使用组策略删除" 以其他用户模式运行" 菜单项。 组策略对象 (GPO) "用户配置 管理模板""开始"菜单和任务栏在"开始"菜单上显示"以其他用户模式 \ \ \ 运行"命令。
在Windows注册表中,设置以下条目:
子项: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
条目名称:HideRunAsVerb
类型:DWORD
值:1