活动目录系列之四：脚本和软件限制策略的应用.docVIP

活动目录系列之四：脚本和软件限制策略的应用w w w. s z f a n g w e I .c n在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述： 1、脚本。 我们知道，在组策略中分为两大模块：计算机配置和用户配置。对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。 首先，我在域中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个 用户。 ? 我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。 点击“精英计划”属性，点组策略。 ? 然后新建策略 ? 点编辑，既然对用户对策略，我们就对“用户配置”做配置。 ? 我们先点开“登录”，然后点“添加” ? 这时我手动作一个“登录”脚本 好了，把这个做好的脚本粘贴到上面的面板中 ? 好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本 ? 不同的是在用户配置中点击“注销” ? 最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效） ? 到用户机器上看一下结果 用账号“张三”登录到域中 ? 登录后就会出现“登录脚本”提示了 ? 然后我们来注销“张三”这个用户 ? ? 2. 软件限制策略 首先新建一条策略 ? 编辑该策略（我们还是对用户进行配置） ? ? 点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其 他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。下面我就“哈希规则”做一下演示： 新建“哈希规则： 我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其 C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要对用户做软件限制，那我们必 须将xp系统的cmd.exe文件先拷贝到服务器上，然后再浏览的这个文件的所在，就可以了！ 我们先把xp系统的cmd.exe文件找到： ? 把这个文件拷贝到域服务器上，我放到桌面好了： ? 这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数，安全级别为“不允许的”，即是说用户无法使用cmd.exe这个程序。 ? 然后立即刷新组策略 ? 到用户机器上验证结果，用“李四”登录： ? 在登录后运行cmd程序 ? 可以看到此时已受限制了。 ? 实验完毕。