原則 CSP - ADMX_ShellCommandPromptRegEditTools
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
DisableCMD
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
❌ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableCMD
此原則設定可防止使用者執行互動式命令提示字元,Cmd.exe。 此原則設定也會決定 (.cmd 和 .bat) 批處理檔是否可以在計算機上執行。
如果您啟用此原則設定,且使用者嘗試開啟命令視窗,系統會顯示訊息,說明設定會防止動作。
如果您停用或未設定此原則設定,使用者可以正常執行 Cmd.exe 和批處理檔。
注意
如果計算機使用登入、註銷、啟動或關閉批處理檔腳本,或針對使用遠端桌面服務的使用者,請勿防止計算機執行批處理檔。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DisableCMD |
| 易記名稱 | 防止存取命令提示字元 |
| 位置 | 使用者設定 |
| 路徑 | 系統 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\System |
| ADMX 檔案名稱 | Shell-CommandPrompt-RegEditTools.admx |
DisableRegedit
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
❌ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableRegedit
停用 Windows 登錄編輯器 Regedit.exe。
如果您啟用此原則設定,且使用者嘗試啟動 Regedit.exe,則會出現一則訊息,說明原則設定會防止該動作。
如果您停用或未設定此原則設定,則使用者可以正常執行 Regedit.exe。
若要防止使用者使用其他系統管理工具,請使用 [只執行指定的 Windows 應用程式] 原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DisableRegedit |
| 易記名稱 | 防止存取登錄編輯工具 |
| 位置 | 使用者設定 |
| 路徑 | 系統 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| ADMX 檔案名稱 | Shell-CommandPrompt-RegEditTools.admx |
DisallowApps
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
❌ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisallowApps
防止 Windows 執行您在此原則設定中指定的程式。
如果啟用此原則設定,使用者就無法執行您新增至不允許應用程式清單的程式。
如果您停用此原則設定或未進行設定,則使用者可以執行任何程式。
此原則設定只會防止使用者執行檔案總管程式所啟動的程式。 它不會防止使用者執行由系統進程或其他進程啟動的程式,例如任務管理員。 此外,如果使用者可以存取命令提示字元 (Cmd.exe) ,此原則設定並不會阻止他們在命令視窗中啟動程式,即使無法使用 [檔案總管] 來執行此動作也一樣。
注意
具有 Windows 2000 或更新版本認證的非Microsoft應用程式必須符合此原則設定。
注意
若要建立允許的應用程式清單,請按兩下 [顯示]。 在 [顯示內容] 對話方塊的 [值] 資料行中,輸入應用程式可執行檔名稱 (例如,Winword.exe、Poledit.exe、Powerpnt.exe) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DisallowApps |
| 易記名稱 | 不要執行指定的 Windows 應用程式 |
| 位置 | 使用者設定 |
| 路徑 | 系統 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| 登錄值名稱 | DisallowRun |
| ADMX 檔案名稱 | Shell-CommandPrompt-RegEditTools.admx |
RestrictApps
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
❌ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/RestrictApps
限制使用者有權在計算機上執行的 Windows 程式。
如果啟用此原則設定,使用者只能執行您新增至允許應用程式清單的程式。
如果您停用此原則設定或未進行設定,則使用者可以執行所有應用程式。
此原則設定只會防止使用者執行檔案總管程式所啟動的程式。 它不會防止使用者執行由系統進程或其他進程啟動的程式,例如 Task Manager。 此外,如果使用者可以存取命令提示字元 (Cmd.exe) ,此原則設定並不會阻止他們在命令視窗中啟動程式,即使無法使用 [檔案總管] 來執行此動作也一樣。
注意
具有 Windows 2000 或更新版本認證的非Microsoft應用程式必須符合此原則設定。
注意
若要建立允許的應用程式清單,請按兩下 [顯示]。 在 [顯示內容] 對話方塊的 [值] 資料行中,輸入應用程式可執行檔名稱 (例如,Winword.exe、Poledit.exe、Powerpnt.exe) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | RestrictApps |
| 易記名稱 | 只執行指定的 Windows 應用程式 |
| 位置 | 使用者設定 |
| 路徑 | 系統 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| 登錄值名稱 | RestrictRun |
| ADMX 檔案名稱 | Shell-CommandPrompt-RegEditTools.admx |