Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2114228
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 23:13:54

在网络管理中,经常会发现一些权限比较高的用户私自从网上下载,或者用自己的光盘、U盘之类的安装软件,这对于企业网络安全来说是非常危险的。以前通常是采用行政手段进行限制的,但这种方法往往使得管理员的工作不好做,往往是费力不讨好。其实可以利用组策略来限制员工运行与工作无关的软件的,这样即使他们安装了其他不允许使用的软件,也运行不了。

【经验之谈】这里要特别小心,建议不是迫不得已,不要采用这种方法,因为很可能因为配置时考虑不周而使用户,甚至包括管理员都无法执行某种种经常需要进行的管理操作。如ping操作,打开组策略编辑器的gpedit.msc,打开记事本程序,以及其他各种管理工具等都是可执行文件的。这么多,很难考虑全面的。所以,在采用这种限制方法时最好不要在域级别进行,而只是针对某个OU下的部分非管理员组成员用户。这样在出现问题时可以通过删除该GPO来实现恢复。

现以在财务部”OU中限制该OU下的用户只允许运行wordexcelpowerpoint等日常应用软件,或者不允许运行QQMSN等软件为例进行介绍。具体步骤如下:

1)在GPMC中的财务部”OU下新建并链接一个新的GPO,取名为限制软件运行策略

2)在新建的限制软件运行策略”GPO上单击右键,在弹出菜单中选择编辑选项,在打开的组策略编辑器中找到用户配置”→“管理模板”→“系统下的只允许运行许可的Windows应用程序(在仅允许少量程序运行时选用)和不要运行指定的Windows应用程序(在仅阻止少量程序运行时选用)策略项。如图10-65所示。

10-65  两价目用于限制运行程序的策略项

3)如果要仅允许用户运行少量程序,则双击只允许运行许可的Windows应用程序项,打开如图10-66所示对话框。选择已启用单选项,然后单击显示按钮,打开如图10-67所示对话框。单击添加按钮,打开如图10-68所示对话框。在其中输入可执行文件,包括.exe.bat.msc.msi等格式文件。把所要允许的可执行文件全部添加后单击确定按钮完成策略配置返回到GPMC。然后在这个GPO安全筛选栏中指定要应用本策略的用户即可。应用后,如果执行不允许运行的程序,则会显示如图10-69所示错误提示。

 

10-66 只允许运行许可的Windows应用程序属性对话框设置选项卡

10-67 “显示内容对话框

 

10-68 “添加项目对话框 

10-69 运行未经允许的程序时的错误提示

如果是要禁止少量程序(如上班时间聊天所需的QQMSN之类的软件)的运行,则在图10-65所示编辑器窗口中的不要运行指定的Windows应用程序策略项,打开如图10-70所示对话框。在这里也要先选择已启用单选项,然后单击显示按钮,打开如图10—67所示对话框,在其中添加要限制运行的执行程序名,如QQ.exeMSN.exe。后面的配置就与前面介绍的只允许运行许可的Windows应用程序策略项的配置一样了,不再赘述。结果是只要运行在里面添加了程序,就会打开如图10-69所示错误提示。


10-70 “不要运行指定的Windows应用程序属性对话框设置选项卡

当然,以上两个策略同样可以在GPMC中进行安全筛选配置,指定要应用该策略的用户。默认是该OU下所有经过身份认证的用户都应用本策略。如果仅要使部分用户应用,则要先删除默认添加的“Authenticated Users”选项,然后南添加要应用本策略的用户。

 

本文摘自《(中小型企业网络组建、配置与管理)》第十章

阅读(1278) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~