利用组策略部署软件与限制软件运行相关知识.ppt

第 5 章：IPv6 TCP/IP 配置和故障排除 课程 6852A * * * 活动目录项目教程 项目6 利用组策略部署软件与限制软件运行 杨云 编著 项目背景 我们可以通过AD DS组策略来为企业内部用户与计算机部署（deploy）软件，也就是自动为这些用户与计算机安装、维护与删除软件。同时还可以为软件的运行制订限制策略。 利用组策略部署软件与限制软件运行 项目目标 软件部署概述 将软件发布给用户 将软件分配给用户或计算机 启用软件限制策略 利用组策略部署软件与限制软件运行 6.1 软件部署概述 利用组策略部署软件与限制软件运行 可以通过组策略将软件部署给域用户与计算机也就是域用户登录或成员计算机启动时会自动安装或很容易安装被部署的软件，而软件部署分为分配（assign）与发布（publish）两种。一般来说，这些软件必须是Windows Installer Package（也被称为MSI应用程序），也就是其内包含扩展名为.msi的安装文件。 6.1.1 将软件分配给用户 将一个软件通过组策略分配给域用户后，用户在任何一台域成员计算机登录时，这个软件会被通告( advertised)给该用户，但此软件并没有被安装，而只是安装了与这个软件有关的部分信息而已，例如可能会在开始窗口或开始菜单中自动建立该软件的快捷方式（需视该软件是否支持此功能而定）。 利用组策略部署软件与限制软件运行 利用组策略部署软件与限制软件运行 用户通过单击该软件在开始窗口（或开始菜单）中的快捷方式后，就可以安装此软件。 用户也可以通过控制面板来安装此软件，以Windows 8.1客户端来说，其安装方法为【开始菜单→控制面板→单击程序处获得程序】。 利用组策略部署软件与限制软件运行 当您将一个软件通过组策略分配给域成员计算机后，这些计算机启动时就会自动安装这个软件（完整或部分安装，视软件而定），而且任何用户登录都可以使用此软件。用户登录后，就可以通过桌面或开始窗口（或开始菜单）中的快捷方式来使用此软件。 6.1.2 将软件分配给计算机 6.1.3 将软件发布给用户 当将一个软件通过组策略发布给域用户后，此软件并不会自动被安装到用户的计算机内，不过用户可以通过控制面板来安装此软件，以Windows 8.1客户端来说，其安装方法为【开始菜单→控制面板→单击程序处获得程序】。 利用组策略部署软件与限制软件运行 6.1.4 自动修复软件 利用组策略部署软件与限制软件运行 被发布或分配的软件可以具备自动修复的功能（视软件而定），也就是客户端在安装完成后，若此软件程序内有关键性的文件损毁、遗失或不小心被用户删除则在用户执行此软件时，系统会自动检测到此不正常现象，并重新安装这些文件。 6.1.5 删除软件 Windows Server 2012( R2)具备Active Directory回收站功能，它让系统管理员不需要进入目录服务还原模式，就可以快速恢复被删除的对象。 利用组策略部署软件与限制软件运行 6.2 软件限制策略概述 在5.3.2节中介绍过如何利用文件名来限制用户可以或不可以运行特定的应用程序，然而若用户有权修改文件名，就可以突破此限制，此时我们仍然可以通过本章的软件限制策略进行控制。此策略的安全等级分为下面3种。 利用组策略部署软件与限制软件运行 利用组策略部署软件与限制软件运行 不受限：所有登录的用户都可以运行特定的程序（只要用户拥有适当的访问权限，例如NTFS权限）。 不允许：无论用户对程序文件的访问权限为何，都不允许运行。 基本用户：允许以普通用户的权限（分配给users组的权限）来运行程序。 利用组策略部署软件与限制软件运行 系统默认的安全级别是所有程序都不受限，即只要用户对要运行的程序文件拥有适当访问权限，他就可以运行此程序。不过您可以通过哈希规则、证书规则、路径规则与网络区域规则来建立例外的安全级别，以便拒绝用户运行所指定的程序。 利用组策略部署软件与限制软件运行 6.2.1 哈希规则 哈希( hash)是根据程序的文件内容所算出来的字符串，不同程序有着不同的哈希值，所以系统可用它来识别应用程序。在您为某个程序建立哈希规则，并利用它限制用户不允许运行此程序时，系统就会为该程序建立一个哈希值。而当用户要运行此程序时，其Windows系统就会比较自行算出来的哈希值是否与软件限制策略中的哈希值相同，若相同，表示它就是被限制的程序，因此会被拒绝运行。 第 5 章：IPv6 TCP/IP 配置和故障排除 课程 6852A * * *