第10讲 组策略解析.pptVIP

10.4.3 安装已发布的软件 如果该软件在使用中出现文件破坏，系统会自动探测到该事件，并自动安装被破坏的文件。在实验中，读者可将客户端Office 2003安装目录下的Word.exe文件删除（只有系统管理员才有此权限），然后再以域用户（wq）登录，当要编辑一个Word文档时，系统通过“文件关联”方式自动安装Word程序。 10.4.4 发布关应用非.msi的软件 目前使用的软件，还在大量的并不支持.msi方式。为了通过组策略部署这些非.msi的软件，可以通过建立一个扩展名为.zap的文件来完成。但在部署非.msi软件时需要注意以下几点： ? 非.msi软件只能被发布给用户，而无法指派给用户或计算机。 ? 不具备自动修复等.msi软件才具备的功能。 ? 大部分安装过程需要人工参与。 ? 用户必须具备安装软件的权限，例如必须是系统管理员，否则拒绝安装。 10.5 利用软件限制策略管理用户端软件 “软件限制策略”是利用组策略的GPO，通过定义一些规划，控制本地计算机、站点、域与组织单位（OU）是否可以运行软件。 10.5.1 软件限制策略的应用规则 软件限制策略可以针对本地计算机、站点、域与OU来设置，其中优先级从高到低为“OU策略”→“域策略”→“站点策略”→“本地计算机策略”。 1． 软件限制策略的两种安全级别 软件限制策略的安全级别可以分为以下两种： · 不受限的：即所有登录的用户都可以运行指定的软件。 · 不允许的：不论用户对软件文件有哪些访问权限，该软件都不允许运行。 系统默认的安全级别是所有软件都为“不受限的”，即只要用户对要运行的软件文件拥有一定的访问权限，就可以运行该软件。 另外，除“不受限的”和“不允许的”两种安全级别外，在域环境中还提供了哈希规则、证书规则、路径规则和Internet区域规则共4种另外的安全级别。 2． 哈希规划 “哈希”（hash）是根据软件程序的内容计算得出的一连串固定数目的字节。由于哈希是根据软件程序（文件）的内容计算出的，所以不同的软件就会存在不同的“哈希”值，并用来标识或鉴别不同的软件。 在为某一个软件建立哈希规划，不允许用户运行该软件时，系统就会计算得出一个“哈希”值。当用户要运行这一软件时，用户的计算机就会判断该用户所拥有的“哈希”值与系统为该软件计算的“哈希”值是否相同。如果相同，就拒绝让该软件运行。 根据“哈希规划”，即使软件的名称被修改或被移动到其他的文件夹，由于其“哈希”值并没有改变，因此仍然受到软件限制策略的约束。但是，当软件因感染病毒或人为破坏后，由于其“哈希”值发生了变化，所以该软件将不受到软件限制策略的约束。 3． 证书规则 软件限制策略可以通过“签署证书”来标识软件。根据“证书”系统的相关规划，允许或拒绝用户运行软件。 4． 路径规则 软件限制策略也可以利用部署软件时所在的路径来标识和辨别软件。例如，指定用户可以运行位于某个文件夹内的软件，但该软件移动到其他文件夹时将不会受到软件策略的约束。路径中可以使用环境变量，如%windir%、%temp%等。另外，还可以通过“注册表”来辨别和标识软件，即根据该软件在注册表中所记录的存储位置来标识和辨别软件。 5． Internet区域规则 软件限制策略也可以利用软件所在的“Internet区域”来标识和辨别软件，这些区域包括本地计算机、本地Intranet、受信任站点、受限制的站点和Internet。 10.5.2 软件限制策略的应用实例 下面，以“哈希规则”为例介绍软件限制策略在客户端软件管理中的具体应用。其中，让“网管中心”组织单位中的用户不允许运行“Windows优化大师”。 对于Windows网络来说，使用基于域环境的组策略可以对用户账户和加入域的计算机的运行环境进行配置，从而实现对用户的管理。从作者多个的工作经验来看，虽然目前市面上都许多网管软件，可以对用户的网络访问权限、网络资源的使用权限等进行管理，但是如果能够很好的规划和使用基于域环境的组策略，完全可以取得各类第三方的管理软件，而且使用效果非常好。 ★ 学习目标 ★ 熟悉组策略的概念、功能和应用特点 掌握账户管理策略、用户权限分配策略、安全策略和脚本策略的配置及应用 掌握文件夹重定向策略的功能及配置方法 掌握通过组策略向域客户端分发和管理软件的方法 掌握利用软件限制策略管理用户端软件的实现方法 第10讲 用组策略管理网络 重点难点 掌握文件夹重定向策略的功能及配置方法 掌握通过组策略向域客户端分发和管理软件的方法 掌握利用软件限制策略管理用户端软件的实现方法 10.1 组策略概述 组策略定义了需要由系统管理员管理的用户桌面环境中的各种组件，例如，用户可以使用的程序出现在用户桌面上的程序以及“开始”菜单选项等。用户指定的组