PC客户端在低权限下的软件安装使用探讨.docVIP

PC客户端在低权限下的软件安装使用探讨 　　摘要:根据信息系统安全管理的需要,IT管理人员一般都会将PC客户端的用户权限限制于USERS组,在保护系统不受破坏的同时,也给管理员在客户端安装、运行应用系统带来不便。该文分析了比较通用的四种应用系统安装、使用方法,比较它们的优缺点,根据不同情况使用。 　　关键词:组策略;域;桌面管理系统 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3399-02 　　Discussion ofSoftware Installation in a PC With Low Privileges 　　CHEN Xin-biao 　　(Guangdong Electric Power Co., Ltd., Meizhou 514032, China) 　　Abstract: According to the information system security management needs, IT managers will generally be PC client user rights restrictions in the USERS group, to protect the system from damage, but also to the administrator on the client install, run applications inconvenience . This paper analyzes the more common of the four applications to install, use, compare their advantages and disadvantages, depending on the circumstances used. 　　Key words: Group Policy; Domain; Desktop Management System 　　随着企业网络不断扩大,企业PC数量越来越多,越来越分散,客户端pc机不断增加,IT应用环境日益复杂,病毒、木马、流氓软件层出不穷,顽固病毒难以根除,时刻威胁着业务的稳定运行,IT管理人员四处奔波、穷于应付频发故障,PC管理已成为企业必须面对的难题。IT管理人员都会将网络内的pc机加入域,接受域控制器的管理,并将普通员工的账户只授予普通USER的标准权限,使普通用户无法安装一些需修改注册表、系统文件等的软件,在保护了系统不受破坏的同时也给管理带来不便和增加了IT 管理人员的工作。 　　1 Windows操作系统的USER权限组特点 　　在Windows操作系统中(Windows 2000以上版本),Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户的数据。Users组提供了一个最安全的程序运行环境。在使用 NTFS 文件系统格式化的卷上,全新安装系统(不是升级的系统)上的默认安全设置用于禁止该组的成员损害操作系统和已安装程序的完整性。Users不能修改整个系统的注册表设置、操作系统文件或程序文件。Users 对自己的所有数据文件(存储在 %userprofile% 下)和注册表中有关他们自己的那一部分(位于 HKEY_CURRENT_USER 中)具有完全的控制权。 　　微软操作系统服务器版本从Windows NT4.0到Windows 2000、Windows 2003、Windows 2008都提出了计算机网络域的概念,域(domain)是网络计算机的逻辑分组,它们共享集中的目录数据库,目录数据库包括用户账户和域的安全性信息。利用域的强大功能集中管理较大型的计算机网络资源是IT管理人员常用的做法。当IT管理人员将网络中的PC机加入域,并将用户登陆的帐号只授予USER组的权限。此时,此用户下运行各种程序对系统的破坏较少,同时也不能安装需修改注册表或操作系统文件的应用程序,对防止病毒、木马等程序的安装和运行有一定的免疫作用。但同时对IT管理人员部署需要在客户端安装的应用程序也增加了一些约束和不便。 　　2 只有USER权限的pc客户端应用程序的安装和使用 　　根据Windows操作系统USERS权限组的特点,一般可以采用以下的软件分发和安装方法: 　　2.1 利用域的组策略进行软件分发。 　　使用“组策略软件安装”在企业计算机域内管理程序,可以将程序指派给计算机或用户,也可以将程序发布给用户。主要有以下几种方式: 　　2.1.1 指派给用户 　　将应用程序指派给用户后,在用户下次登录到工作站时,应用程序将公布给用户。应用程序的公布取决于该用户,而不管用户实际