在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述:
1、脚本。
我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了。
首先,我在域yinhe.com中新建了一个组织单元“精英计划”,在“精英计划”下面又建了两个 用户。
我现在想对张三和李四同时做脚本策略,那么我们就对“精英计划”这个组织单元做策略好了。
点击“精英计划”属性,点组策略。
然后新建策略
点编辑,既然对用户对策略,我们就对“用户配置”做配置。
我们先点开“登录”,然后点“添加”
这时我手动作一个“登录”脚本
好了,把这个做好的脚本粘贴到上面的面板中
好了,我们接着点“确定”就可以了,我们用同样的方法做一个用户注销脚本
不同的是在用户配置中点击“注销”
最后,等配置好了我们来刷新组策略(刷新策略有利于策略及时生效)
到用户机器上看一下结果
用账号“张三”登录到域中
登录后就会出现“登录脚本”提示了
然后我们来注销“张三”这个用户
2. 软件限制策略
首先新建一条策略
编辑该策略(我们还是对用户进行配置)
点击“创建软件限制策略”,我们可以看到“安全级别”和“其他规则”,“安全级别”定义了策略的表现形式(“不允许的”和“不受限的”),“其他规则”就包含了软件限制策略的四条规则(证书规则、哈希规则、Internet区域规则和路径规则)。下面我就“哈希规则”做一下演示:
新建“哈希规则:
我们看到需要对某个文件哈希,浏览文件,我们下面就对用户的“cmd.exe”文件哈希,不过在这里要提示一下,用户一般为xp用户,其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的,既然要对用户做软件限制,那我们必须将xp系统的cmd.exe文件先拷贝到服务器上,然后再浏览的这个文件的所在,就可以了!
我们先把xp系统的cmd.exe文件找到:
把这个文件拷贝到域服务器上,我放到桌面好了:
这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数,安全级别为“不允许的”,即是说用户无法使用cmd.exe这个程序。
然后立即刷新组策略
到用户机器上验证结果,用“李四”登录:
在登录后运行cmd程序
可以看到此时已受限制了。
实验完毕。
转载于:https://blog.51cto.com/yerik/330926