组策略（英语：Group Policy）是微软Windows NT家族操作系统的一个特性，它可以控制用户 帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配 置。组策略的其中一个版本名为本地组策略（缩写“LGPO”或“LocalGPO”），这可以在独立且非域的计算机上 管理组策略对象。

通俗解释：组策略是一组策略的集合，策略就是制定的规则。组策略是将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行统一的管理和配置，远比手工修改注册表方便、灵活，功能也更加强大

这里我用win10专业版系统来演示，家庭版是不能操作这个功能的。

组策略分本地组策略和远程组策略，远程组策略我们学到域渗透的时候再讲解，先看本地组策略。

打开本地组策略的方式

方式1：搜索打开

方式2：win+r键，运行 gpedit.msc ，即可打开

组策略两大模块

计算机配置：针对于本地计算机生效
用户配置：针对于用户生效

组策略示例

1 禁止使用某些软件

在组策略中可以禁止用户使用某些软件，比如禁止使用feiq.exe、everything.exe、注册表等等。这是属 于对用户行为的限制，在用户配置这个模块中设置，如下

将feiq等运行起来，看一下运行起来之后，这个程序在内存中叫什么名字，这个就是我们说的主程序名称，注意，不能直接使用软件名称，一定要找到它运行起来之后进程中的主程序名称的名字，因为组策 略做限制的时候，是对这个名字进行限制的，如下


它就叫做FeiQ.exe，在找一下everything.exe的主程序名称
ok，它就叫做FeiQ.exe，在找一下everything.exe的主程序名称。 找程序名称： 叫做 Everything.exe ，好，记住这两个名字，那么将这两个名字添加到 不运行指定的windows应用程序这个组策略中，如下

2 组策略禁用软件对应注册表位置

前面定义的位置有提到过，组策略就是修改注册表中的配置。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disal lowRun

然后回到电脑上，启动一下程序，看看效果
可以正常打开了，说明修改注册表可以控制组策略设定的规则

3 禁用可移动设备

只要禁用了可移动设备，那么不管你插入什么样的U盘、移动硬盘等，电脑都是没有反应的。有好多公司为了安全性，就会禁用移动设备，甚至有些更严格的会将bios中关于移动设备的功能全部禁用。