分类: 系统运维
2011-10-19 23:07:41
对于一些特殊计算机(如人事部、内务部,或者总经理的用户计算机),是不允许普通用户随便通过网络进行访问的,因为里面可能包含公司机密文件。这时我们也可以采取上节类似的方法,在这些要保护的计算机所在的OU中创建并链接一个新的GPO(如果没有划分OU,则可以直接编辑域组策略),然后在“本地策略”的“用户权限分配”下选择“从网络访问此计算机”,或者“拒绝从网络访问这台计算机”策略项进行设置。
如我们要保护“财务部”OU下的test-w022这台计算机仅允许属于fina组成员的用户从网络上访问此计算机,而不允许其他用户通过网络访问此计算机。因为具体步骤与上节介绍的非常类似,所以在此就不再一步步地进行详细介绍了。
先在“财务部”OU下新并链接一个名为“限制网络访问”的GPO,然后打开这全GPO的编辑器,在“计算机配置”→“Windows设置”→“本地策略”→“用户权限分配”下,选择“从网络访问此计算机”策略项(在仅允许少数用户访问时选择),或者“拒绝从网络上访问这台计算机”策略项(在仅拒绝少数用户访问时选择),如图10-42所示。
图10-42 “从网络访问此计算机”策略项和“拒绝从网络上访问这台计算机”策略项
本示例中所有允许访问这台计算机的用户都在fina组中,所以直接配置“从网络访问此计算机”策略项更方便。在其中添加fina组即可(当然,你也可以把fina组中的帐户一一加入,但这样一来工作量更大),如图10-43所示。同样,你可以确认在“拒绝从网络上访问这台计算机”策略项设置中没有与“从网络访问此计算机”策略项设置相冲突的选项。
然后回到GPMC,在“财务部”OU下的“限制网络访问”GPO的“作用域”选项卡“安全筛选”列表中按照上节介绍的方法添加要应用本GPO的计算机test-w022(添加时一定要打开如图10-40所示对话框选择“计算机”复选项)。如图10-44所示。这样一来,该策略只应用到这台计算机中,其他计算机不应用本策略。
图10-43 添加了允许网络访问的组帐户后的“从网络访问此计算机属性”对话框
图10-44 添加了应用策略的计算机后“限制网络访问”GPO“安全筛选”列表
本文摘自《(中小型企业网络组建、配置与管理)》第十章
