分类:
2008-10-16 19:02:25
在企业网络管理中,我们很重要的一块工作,就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具,或者不允许他们在上班时间看电影等等。要实现这些方面的控制,现在已经有不少好的工具。利用域控制器,来实现对某些软件的限制,也是其中一种比较流行的方式之一。
域环境中的软件限制策略,也就是说,当用户利用域帐户登陆到本机电脑的时候,系统会根据这个域帐户的访问权限,来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候,则操作系统就会拒绝用户访问某个应用软件,从而来管理企业员工的操作行为。
在这篇文章中,笔者将对软件限制策略的一些常识进行一些简短的介绍,然后在后续的文章中,笔者会结合自己公司的设置,来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。
一、 应用软件与数据文件独立
在应用软件限制策略的时候,需要明白的第一个原则就是“应用软件与数据文件独立”独立原则。也就是说,你即使具有数据文件的访问权限,但是,若其没有其关联软件的访问权限的话,则仍然不能够打开这个文件。如现在某个用户从网上私自了一部电影,其作为所有者人,当然具有对这个数据文件进行访问的权限。但是,我们在软件限制策略设置的时候,这个用户帐户无法访问任何的视频播放软件。如此的话,这个用户仍然无法播放这部电影。
这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上文件。如用户若从网络上歌曲,甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是,我们对于用户电脑上应用程序的控制来说,则相对简单许多。我们只需要把这些应用程序控制好,则即使用户私自下载受限制的文件,则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。
二、 软件限制策略的冲突处理原则
软件限制策略跟其他组策略一样,可以在多个级别上进行设置。或者说,软件限制策略是组策略中的一个特殊分支也未尝不可。所以,软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此,所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候,其优先性如何呢?
一般来说,其优先性的级别从高到低如下:
第一,组织单元策略;第二,域策略;第三,站点策略;第四,本地计算机策略。这里特别要注意一点,就是组织单元的策略要比域策略的优先性级别要高。也就是说,在域策略中,限制用户使用视频播放器;而在一个培训组织单元中,则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中,则只要帐户属于这个组织单元,则其仍然可以使用视频软件,因为组织单元级别的优先性要高于域中的设置。
不过,笔者建议最好把软件限制策略利用在域中与组织单元中,而不要放在其他的两个级别中。在域中,实现一些共有的配置,如限制企业员工使用QQ或者Msn聊天工具等等。而在OU中,一般情况下继承域的相关配置。当这个组具有特殊的权限时,如现在有一个培训组,这个组中的账户需要有视频软件的播放权限,则就可以在这个组织单元的级别上进行配置。如此的话,就可以保证有一个比较统一的软件权限策略管理平台。若牵涉的级别太多,特别是在本地计算机上配置的话,则会破坏这个统一平台,虽然其优先级比较低。
三、 软件限制的规则
默认情况下,软件限制策略提供了两种软件限制的规则。
一是不受限制的。也就是说,所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限,就可以利用软件打开这个文件。这也可以看出,应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限,往往还不够。需要两者权限都有,才能够打开相关的文件。
二是不允许的。即所有登陆系统的帐户,都不能够运行这个应用软件,无论其是否对数据文件具有访问权限。
系统默认的策略是所有软件运行都是“不受限制的”。也就是说,只要用户对于数据文件有访问权限,就可以运行对应的应用软件。
[1]
|