在企业网络管理中，我们很重要的一块工作，就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具，或者不允许他们在上班时间看电影等等。要实现这些方面的控制，现在已经有不少好的工具。利用域控制器，来实现对某些软件的限制，也是其中一种比较流行的方式之一。

　　域环境中的软件限制策略，也就是说，当用户利用域帐户登陆到本机电脑的时候，系统会根据这个域帐户的访问权限，来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候，则操作系统就会拒绝用户访问某个应用软件，从而来管理企业员工的操作行为。

　　在这篇文章中，笔者将对软件限制策略的一些常识进行一些简短的介绍，然后在后续的文章中，笔者会结合自己公司的设置，来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。

　　一、 应用软件与数据文件独立

　　在应用软件限制策略的时候，需要明白的第一个原则就是“应用软件与数据文件独立”独立原则。也就是说，你即使具有数据文件的访问权限，但是，若其没有其关联软件的访问权限的话，则仍然不能够打开这个文件。如现在某个用户从网上私自了一部电影，其作为所有者人，当然具有对这个数据文件进行访问的权限。但是，我们在软件限制策略设置的时候，这个用户帐户无法访问任何的视频播放软件。如此的话，这个用户仍然无法播放这部电影。

　　这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上文件。如用户若从网络上歌曲，甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是，我们对于用户电脑上应用程序的控制来说，则相对简单许多。我们只需要把这些应用程序控制好，则即使用户私自下载受限制的文件，则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。

　　二、 软件限制策略的冲突处理原则

　　软件限制策略跟其他组策略一样，可以在多个级别上进行设置。或者说，软件限制策略是组策略中的一个特殊分支也未尝不可。所以，软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此，所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候，其优先性如何呢?

　　一般来说，其优先性的级别从高到低如下：

　　第一，组织单元策略;第二，域策略;第三，站点策略;第四，本地计算机策略。这里特别要注意一点，就是组织单元的策略要比域策略的优先性级别要高。也就是说，在域策略中，限制用户使用视频播放器;而在一个培训组织单元中，则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中，则只要帐户属于这个组织单元，则其仍然可以使用视频软件，因为组织单元级别的优先性要高于域中的设置。

　　不过，笔者建议最好把软件限制策略利用在域中与组织单元中，而不要放在其他的两个级别中。在域中，实现一些共有的配置，如限制企业员工使用QQ或者Msn聊天工具等等。而在OU中，一般情况下继承域的相关配置。当这个组具有特殊的权限时，如现在有一个培训组，这个组中的账户需要有视频软件的播放权限，则就可以在这个组织单元的级别上进行配置。如此的话，就可以保证有一个比较统一的软件权限策略管理平台。若牵涉的级别太多，特别是在本地计算机上配置的话，则会破坏这个统一平台，虽然其优先级比较低。

　　三、 软件限制的规则

　　默认情况下，软件限制策略提供了两种软件限制的规则。

　　一是不受限制的。也就是说，所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限，就可以利用软件打开这个文件。这也可以看出，应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限，往往还不够。需要两者权限都有，才能够打开相关的文件。

　　二是不允许的。即所有登陆系统的帐户，都不能够运行这个应用软件，无论其是否对数据文件具有访问权限。

　　系统默认的策略是所有软件运行都是“不受限制的”。也就是说，只要用户对于数据文件有访问权限，就可以运行对应的应用软件。

[1]