Ha Active Directory hálózatról van szó, akkor élhetünk a címtárrendszer egyik legnagyobb előnyével, a csoportházirend használatával. Mivel felhasználónként akarjuk a tiltást bevezetni, ezért a házirendek felhasználókra vonatkozó részében kell kutakodnunk és nem a számítógépében.
Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt és keressük meg azon szervezeti egység alábbi házirend tárolóját, melybe a felhasználó tartozik:
Felhasználó konfigurációja > Felügyeleti sablonok > Rendszer (User Configuration > Administrative Templates > System)
Itt található a megoldás. Nyissuk meg a "Ne futtassa a megadott Windows alkalmazásokat" ("Don't run specified Windows applications") házirendpontot. Aktivizáljuk az "Engedélyezve" ("Enabled") rádiógombot és kattintsunk a "Megjelenítés" ("Show") gombra. Kapunk egy listát, ami kezdetben üres, de hozzáadhatjuk egyesével azokat a programokat, melyeket nem akarunk engedélyezni a felhasználónak. A "Hozzáadás" ("Add") gombbal vehetünk fel új elemeket a tiltólistába. Ha például a "Jegyzettömb" ("Notepad") alkalmazás futtatását akarjuk megakadályozni, akkor írjuk be: notepad.exe. Mindig az indító állomány nevét kell beírni.
A már felvett elemeket az "Eltávolítás" ("Remove") gombbal lehet törölni.
Ahhoz, hogy ezáltal ne bénuljon meg az operációs rendszer működése, a tilalom csak az Intéző által elindított programokra vonatkozik. Kerülő úton továbbra is lehet futtatni a megadott alkalmazásokat, például parancssorból. Ha ezt a kiskaput is be akarjuk zárni, akkor vagy vegyük fel a listába a cmd.exe-t, hogy a felhasználó ne tudjon parancssori ablakot indítani, vagy nézzük meg a következő házirendet: "Parancssor letiltása" ("Disable the command prompt"). Kattintsunk rá duplán és kapcsoljuk be az "Engedélyezve" ("Enabled") rádiógombot. Ha "Igen"-re ("Yes") állítjuk a "Letiltja a parancssorból történő parancsfájl-feldolgozást is" ("Disable the command prompt script processing also") legördülő menüt, akkor egyúttal letiltottuk a batch fájlokat is. Ne tiltsuk le őket (alapértelmezés), ha be- és kijelentkező parancsfájlokat használunk a csoportházirendben.
Mi van, ha több alkalmazás futtatását kell letiltani, mint amennyi engedélyezett marad? Ez esetben célszerű a fenti házirend ellentettjét használni. Neve: "Csak engedélyezett Windows alkalmazások futtatása" ("Run only allowed Windows applications"). Konfigurálását tekintve ugyanúgy kell eljárnunk, mint a fenti esetben, csupán azokat a programneveket kell megadni, melyek futtatását engedélyezzük.