;  注：

    “不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

    但实际上，还有三个级别在默认情况是隐藏掉的，我们可以通过手动修改注册表来开启其它的三个级别，打开注册表编辑器，展开至：

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

    Safer\CodeIdentifiers

    新建一个DOWRD，命名为Levels，其值为 0x4131000(十六十制的4131000)

    创建完毕后重新打开gpedit.msc，我们会看到另外三个级别此时已经开启了。

    不受限的

    最高权限，但其也并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。

    基本用户

    基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。

    受限的

    比基本用户限制更多，但也享有“跳过遍历检查”的特权。

    不信任的

    不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。

    不允许的

    无条件地阻止程序执行或文件被打开

    根据权限大小可以排序为：不受限的>基本用户>受限的>不信任的>不允许的 　　 3、软件限制策略的优先权

    一个特定的程序可以有多个不同的规则适用，为此，可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下：

    散列规则>证书规则>路径规则> Internet区域规则

    如果存在多个路径规则冲突，则最具限制性的规则占有优先权。总的原则就是：规则越匹配越优先。

    例如：

    C:\Windows\System32\Taskmgr.exe C:\Windows\System32\*.exe *.exe

    C:\Windows\System32\

    C:\Windows\

    本例是按优先权从高到低排列的。从这里我们可以看出：

    绝对路径>通配符路径

    文件名规则>目录规则

    对于同样是目录规则的，则目录数匹配越多就越优先。

    如果同时存在两个相似的规则，则最具限制性的规则优先权最高。例如，如果 C:\Windows\ 上有一个路径规则，其安全级别为“不允许的”，而 %windir% 上也有一个路径规则，其安全级别为“不受限制的”，则会采用最具限制性的规则，即“不允许的”。

    这里，我们再顺便介绍一下环境变量和通配符。

    在路径规则里，允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下，我们的系统是在C盘，但也有些人基于其它一些原因如要安装双系统等，将系统安装在其它比如D盘下面，这时我们平常用到的一些路径比如“C:\windows\”就会无效，为了防止这种情况，我们就可以使用系统变量，像“%windir%”，系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量，以适用9 7 3 1 2 3 4 5 4 8 :