分类:
2008-09-09 16:31:30
在域环境中,如果能够合理利用管理模板,则能够给我们的管理工作带来很大的便利。当客户端的计算机处在“管理模板策略”时,系统会将管理模板中的策略配置值到用户计算机的登陆环境内。但是,它并不会将客户端计算机默认的登陆值覆盖掉。客户端主机将同时应用管理模板策略与本地计算机默认的登陆值。如果当两者的配置发生冲突的时候,当然以管理模板的策略值为准。由于在应用管理模板策略时,客户端主机原有的默认值没有被修改,所以,当管理模板策略失效时,客户端仍然可以采用其默认值登陆。
管理模板策略,可以简化我们的组策略配置,而且,也给我们网络管理员提供了一个统一管理的平台。如我们可以把一些常用的组策略通过模板来实现,如此的话,就不需要给每个组进行重复的组策略配置。
具体的来说,我们常用管理模板策略,来实现如下的一些配置。
一、 限制用户只可以运行指定的程序
在企业网络管理中,很大一部分工作就是员工网络行为的管理。如在以前没有有效管理手段之前,我们网络管理员还不得不不定期的去各个办公室视察,看看员工是否在上班时间利用QQ聊天;是否在利用公司的电脑打游戏,等等。这么做,不仅效率不高,而且还得罪人,是一个吃力不讨好的差事。
不过后来这方面的控制手段就多了起来,各个厂家都在员工网络行为管理上下功夫。微软在这方面当然也不敢落后。他们在组策略中,提供了一个很好的工具,即可以指定某台计算机只能够运行哪些程序。如我们就可以利用这个功能,指定公司电脑只能够运行OFFCIE、邮件客户端、金山词霸以及其他的一些必要的应用程序。而把QQ、游戏等软件排除在外,如此的话,员工就无法在客户端运行这些程序。从权限上排除这些软件,如此,我们网络管理员也不用老是去充当“间谍”,因为我们可以实现事先控制。
具体的配置方法为
我们在活动目录用户与计算机内,依次打开用户配置、管理模板、系统,找到“只运行许可的应用程序”选项,然后,在程序列表中,输入我们允许其运行的程序文件名称。不过这里我们需要明白一点,有时候精通这方面的人员,若修改应用程序的名称,则这个策略就不会起作用。如他们把QQ这个应用程序名修改为其他我们允许运行的程序名,则这个QQ应用程序就允许被运行。不过,在企业中,有这方面才能的人还是极少数的,所以在企业中还是有比较大应用价值。如果大家不放心的话,则还可以通过软件限制策略来实现这个需求。
[1]