靈活使用組策略

利用證書規(guī)則控制軟件運(yùn)行

在有些時(shí)候，出于管理的需要，可能希望禁止內(nèi)網(wǎng)中的用戶隨意安裝某些軟件。其實(shí)，現(xiàn)在很多軟件都帶有數(shù)字簽名信息，即軟件和特定的證書綁定在一起。利用證書控制規(guī)則，可以很好地解決上述問題。

在某安裝包的屬性窗口中的“數(shù)字簽名”面板中點(diǎn)擊“詳細(xì)信息”按鈕，可以查看數(shù)字簽名信息。點(diǎn)擊“查看證書”按鈕，在“詳細(xì)信息”面板中點(diǎn)擊“復(fù)制到文件”按鈕，在導(dǎo)出文件格式窗口中選擇“Base64編碼”項(xiàng)，設(shè)置文件名，將其導(dǎo)出為證書文件。在DC上打開組策略管理器，選擇“l(fā)in→域→域名→xxx”項(xiàng)，“xxx”表示具體的 OU。在右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，輸入名稱，創(chuàng)建該GPO對(duì)象（以下各例與之相同）。

在該GPO對(duì)象的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口中選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”項(xiàng)，在右鍵菜單上點(diǎn)擊“創(chuàng)建軟件限制策略”項(xiàng)，雙擊右側(cè)的“強(qiáng)制”項(xiàng)，選擇“強(qiáng)制證書規(guī)則”項(xiàng)。在左側(cè)的“其他規(guī)則”項(xiàng)的右鍵菜單上點(diǎn)擊“新建證書規(guī)則”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇上述導(dǎo)出的證書文件，選擇“不允許”的安全級(jí)別。在DC組策略管理器中選擇“xxx”O(jiān)U，在右鍵菜單上點(diǎn)擊“組策略更新”項(xiàng)，將其發(fā)布到其中所有的客戶端主機(jī)。也可以在客戶端上執(zhí)行“gpupdate /force”命令，強(qiáng)制組策略同步。這樣，在客戶端上就無法安裝該軟件了。

靈活配置密碼規(guī)則

在不同的客戶機(jī)上，管理員掌握著系統(tǒng)管理大權(quán)。如果其密碼設(shè)置的比較簡單的話，就很容易被別人猜解。因此，最好利用組策略，對(duì)所有的客戶機(jī)管理員統(tǒng)一設(shè)置復(fù)雜的密碼。按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→首選項(xiàng)→控制面板設(shè)置→本地用戶和組”項(xiàng)，在右側(cè)的右鍵菜單上點(diǎn)擊“新建→本地用戶”項(xiàng)，在彈出窗口中的“操作”列表中選擇“更新”項(xiàng)，在“用戶名”欄中設(shè)置具體的管理員名稱（例如“administrator”），為其設(shè)置復(fù)雜的密碼。選擇“用戶不能更改密碼”、“密碼永不過期”和“賬戶永不過期”項(xiàng)，點(diǎn)擊“確定”按鈕保存配置。之后執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能，這樣，客戶機(jī)管理員就必須使用使用該密碼登錄。

有時(shí)為普通賬戶設(shè)置過于復(fù)雜的密碼，會(huì)造成操作人員忘記密碼的情況，為此可以設(shè)置相對(duì)簡單的密碼。在Windows Server 2012中打開Active Directory管理中心界面，雙擊“sys tem”容器，找到“Password Settngs Container”容器，進(jìn)入該容器，在右鍵菜單上點(diǎn)擊“新建→密碼設(shè)置”項(xiàng)，在彈出窗口中的“名稱”欄中輸入策略名稱（例如“easycelue”），設(shè)置其優(yōu)先級(jí)（例如大于1的數(shù)值），取消“強(qiáng)制最短密碼長度”、“強(qiáng)制密碼歷史”、“密碼必須符合復(fù)雜性要求”、“強(qiáng)制最短密碼期限”、“強(qiáng)制最長密碼期限”、“強(qiáng)制賬戶鎖定策略”項(xiàng)的選擇狀態(tài)。您可以根據(jù)實(shí)際需要加以調(diào)控。選擇“防止意外刪除”項(xiàng)，可以避免誤刪除操作。在“直接應(yīng)用到”欄中點(diǎn)擊“添加”按鈕，添加所需的域賬戶。

這樣，可以將該策略應(yīng)用到指定的賬戶，而且優(yōu)先級(jí)高于默認(rèn)的密碼策略。之后就可以對(duì)選定的域用戶執(zhí)行密碼修改操作，設(shè)置較為簡單的密碼。但是，其余的域賬戶不能設(shè)置簡單的密碼。當(dāng)然，需要對(duì)此類賬戶進(jìn)行權(quán)限控制，防止其擁有過大的權(quán)限。在實(shí)際工作中，用戶使用的域賬戶如果權(quán)限較低，就會(huì)面臨無法運(yùn)行有些應(yīng)用程序的問題。如果將其添加到本地的Power users組中，就可以有效解決該問題。注意，權(quán)限低于管理員組但高于Domain Users組。在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→受限制的組”項(xiàng)，在右側(cè)窗口的空白處點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“添加組”項(xiàng)，輸入組名為“power users”，點(diǎn)擊確定按鈕，在彈出窗口中的“這個(gè)組的成員”欄中點(diǎn)擊“添加”按鈕，將Domain Users組添加進(jìn)來，之后刷新或者激活該策略即可。

自由通訊，關(guān)閉域防火墻

為了便于管理域中的主機(jī)，有時(shí)需要關(guān)閉客戶端中的和域網(wǎng)絡(luò)相關(guān)的防火墻，按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→系統(tǒng)服務(wù)”項(xiàng)，在右側(cè)雙擊“Windows Firewall” 項(xiàng)，選擇“定義此策略設(shè)置”以及“已禁用”項(xiàng)。這樣，當(dāng)該策略應(yīng)用到客戶端時(shí)，就會(huì)關(guān)閉防火墻。也可以選擇“安全設(shè)置→高級(jí)安全Windows防火墻→高級(jí)安全Windows防火墻”項(xiàng)，在右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“關(guān)閉”項(xiàng)。之后執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能，這樣，就可以統(tǒng)一關(guān)閉客戶機(jī)和域網(wǎng)絡(luò)相關(guān)的防火墻。

禁止退出域環(huán)境

如果以域管理員，Power User組中的用戶以及本地管理員身份登錄到客戶機(jī)，是可以退出域的，不過為了統(tǒng)一管理的需要，最好能禁止客戶端隨意退出域環(huán)境。按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“用戶配置→管理模版→桌面”項(xiàng)，在右側(cè)雙擊“從計(jì)算機(jī)圖標(biāo)上下文菜單中刪除屬性”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)。保存配置后，執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能。當(dāng)客戶端注銷并重新登錄后，即使以管理員身份登錄，因?yàn)榇虿婚_系統(tǒng)屬性窗口，自然無法退出域環(huán)境。

防止隨意使用USB存儲(chǔ)設(shè)備

為了防止用戶隨意使用USB存儲(chǔ)設(shè)備，可以利用組策略對(duì)其進(jìn)行控制。在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“用戶配置→管理模版→系統(tǒng)→可移動(dòng)存儲(chǔ)訪問”項(xiàng)，在右側(cè)雙擊“所有可移動(dòng)存儲(chǔ)類：拒絕所有權(quán)限”項(xiàng)，選擇“已啟用”項(xiàng)，點(diǎn)擊確定按鈕保存配置。這樣，當(dāng)應(yīng)用該策略后，所有的客戶端將無法使用USB存儲(chǔ)設(shè)備。為了便于使用，也可以雙擊“可移動(dòng)磁盤：拒絕寫入操作”項(xiàng)，選擇“已啟用”項(xiàng)，允許客戶端讀取USB設(shè)備但是禁止寫入數(shù)據(jù)。執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能，就可以對(duì)客戶端使用USB設(shè)備的情況進(jìn)行控制了。

禁止用戶隨意提升權(quán)限

當(dāng)客戶機(jī)使用某個(gè)域賬戶登錄后，當(dāng)其試圖運(yùn)行某個(gè)程序或者調(diào)整系統(tǒng)設(shè)置時(shí)（例如，在目標(biāo)程序的右鍵菜單中選擇“以管理員身份運(yùn)行”等），會(huì)自動(dòng)彈出用戶賬戶控制窗口，要求輸入更高級(jí)別的賬戶名和密碼，才允許執(zhí)行相應(yīng)的操作。在實(shí)際管理中，可以將其屏蔽，防止不必要的安全風(fēng)險(xiǎn)。在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”項(xiàng)，在右側(cè)雙擊“用戶權(quán)限控制→標(biāo)準(zhǔn)用戶的提升提示行為”項(xiàng)，選擇“定義此策略設(shè)置”項(xiàng)，在列表中選擇“自動(dòng)拒絕提升請(qǐng)求”項(xiàng)，保存配置后，執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能。

突破限制，自由加入域環(huán)境

在Windows Server 2012中，Domain Users組中的用戶是沒有權(quán)利將主機(jī)加入到域中，為了便于管理，有時(shí)需要指派某個(gè)域賬戶，負(fù)責(zé)將數(shù)量眾多而且分散的主機(jī)加入到域中。為此可以在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”項(xiàng)，在右側(cè)雙擊“將工作站添加到域”項(xiàng)，在彈出窗口中選擇“定義這些策略設(shè)置”項(xiàng)，點(diǎn)擊“添加用戶或組”按鈕，添加Domain Users組。這樣，該組中的所有用戶都具有了添加主機(jī)到域的權(quán)限。

但是，在默認(rèn)情況下，最多只能添加10臺(tái)主機(jī)。為了突破這一限制，可以運(yùn)行ADSI編輯器。在其左側(cè)選擇“默認(rèn)命名上下文→DC=域名”項(xiàng)，在右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口的列表中可以看到“ms-DSMachineAccountQuota”項(xiàng)的值為10，可以根據(jù)需要將其設(shè)置為合適的數(shù)值，例如50等。

這樣，就允許Domain Users組中的用戶添加指定數(shù)量的主機(jī)了。順便說一下，如果用戶連續(xù)60天沒有登錄到域，就會(huì)出現(xiàn)無法登錄的問題，這主要是因?yàn)槊艽a有效期造成的。不僅用戶密碼存在有效期，而且計(jì)算機(jī)憑據(jù)也存在有效期?？梢赃x擇“本地策略→安全選項(xiàng)”項(xiàng)，在右側(cè)雙擊“域成員：計(jì)算機(jī)賬戶密碼最長使用期限”項(xiàng)，在彈出窗口中選擇“定義此策略設(shè)置”項(xiàng)，輸入合適的天數(shù)即可。

管控客戶機(jī)桌面

在默認(rèn)情況下，桌面文件夾存儲(chǔ)在客戶機(jī)上。如果重裝了系統(tǒng)，而沒有保存桌面上的文件的話，就會(huì)給工作打來不便。在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“用戶配置→策略→Windows設(shè)置→文件夾重定向”項(xiàng)，在下顯示了大量的預(yù)設(shè)文件夾。例如選擇“桌面”項(xiàng)，在右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“設(shè)置”列表中選擇“基本→將每個(gè)人的文件夾重定向到同一個(gè)位置”項(xiàng)，在“目標(biāo)文件夾位置”列表中選擇“在根目錄路徑下為每一個(gè)用戶創(chuàng)建一個(gè)文件夾”項(xiàng)，在“根路徑”欄中輸入“D:”，當(dāng)然，您可以根據(jù)實(shí)際需要進(jìn)行設(shè)置。點(diǎn)擊應(yīng)用按鈕，保存配置信息。

同理，可以對(duì)收藏夾、文檔、下載等文件夾的默認(rèn)路徑進(jìn)行調(diào)整。之后執(zhí)行組策略的刷新或者強(qiáng)制執(zhí)行功能，就可以執(zhí)行所需的移動(dòng)操作。如果需要在域中的客戶端桌面上同一配置快捷方式，可以在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“用戶配置→首選項(xiàng)→Windows設(shè)置→快捷方式”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建→快捷方式”項(xiàng)，在彈出窗口中的“名稱”欄中輸入其名稱，在“位置”列表中選擇“桌面”項(xiàng)，之后設(shè)置目標(biāo)程序路徑、運(yùn)行參數(shù)、起始位置、快捷鍵、運(yùn)行模式、注釋、快捷圖標(biāo)等參數(shù)。如果在“目標(biāo)類型”列表中選擇“URL”項(xiàng)，則可以輸入具體的網(wǎng)址。點(diǎn)擊確定按鈕，保存配置信息。

快速部署文件

對(duì)于一些常用的文件來說，可以將其保存到共享文件夾，可以發(fā)布給用戶使用。為了提高部署的效率，可以將共享文件夾中的內(nèi)容自動(dòng)更新到用戶主機(jī)中。例如，在DC上存在一個(gè)名為“share”的共享文件夾，在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“計(jì)算機(jī)配置→首選項(xiàng)→Windows設(shè)置→文件夾”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建→文件夾”項(xiàng)，在彈出窗口中的“路徑”欄中輸入具體的路徑（例如“d:data”）在“常用”面板中選擇“應(yīng)用一次且不重新應(yīng)用”項(xiàng)，之后保存設(shè)置。這樣，在用戶登錄之前，可以自動(dòng)在其主機(jī)上創(chuàng)建該文件夾。

選擇“用戶配置→首選項(xiàng)→Windows設(shè)置→文件”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建→文件”項(xiàng)，在彈出窗口中的“操作”列表中選擇“更新”項(xiàng)，在“源文件”欄中輸入具體的文件名（例 如“\192.168.1.1share*.*”），在“目標(biāo)文件”欄中輸入“d:data”。如果在“操作”列表中選擇“替換”項(xiàng)，則可以執(zhí)行文件替換操作。這樣，當(dāng)用戶登錄之后，就可以執(zhí)行文件復(fù)制或者替換操作。點(diǎn)擊確定按鈕，保存配置信息。

如果需要統(tǒng)一配置計(jì)劃任務(wù)，可以選擇“用戶配置→首選項(xiàng)→控制面板設(shè)置→計(jì)劃任務(wù)”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建”項(xiàng)，可以看到計(jì)劃任務(wù)的類型，包括計(jì)劃任務(wù)、即時(shí)任務(wù)（Windows XP）、計(jì)劃任務(wù)（至少是 Windows 7）、即時(shí)任務(wù)（至少是Windows 7）等。這里選擇第一項(xiàng)，在彈出窗口中輸入名稱，設(shè)置其運(yùn)行路徑（例如“\192.168.1.1appxxx.exe”等），運(yùn)行參數(shù)、起始路徑、注釋、運(yùn)行的用戶身份等參數(shù)，在“計(jì)劃”面板中設(shè)置該任務(wù)運(yùn)行的周期，點(diǎn)擊確定按鈕，保存配置信息。

統(tǒng)一規(guī)劃，映射網(wǎng)絡(luò)驅(qū)動(dòng)器

利用網(wǎng)絡(luò)驅(qū)動(dòng)器映射功能，可以讓用戶很方便地訪問共享資源。利用組策略，可以統(tǒng)一執(zhí)行網(wǎng)絡(luò)驅(qū)動(dòng)器映射操作。最簡單的方法是創(chuàng)建一個(gè)批處理文件，其中包含多個(gè)映射命令，例如“net use z:\192.168.1.1app”等。在DC的組策略管理器中創(chuàng)建并打開目標(biāo)GPO的編輯界面，選擇“用戶配置→Windows設(shè)置→腳本(登錄/注銷)”項(xiàng)，點(diǎn)擊“顯示”按鈕，打開登錄文件存儲(chǔ)路徑，將上述批處理文件復(fù)制進(jìn)來。雙擊“登錄”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇上述批處理文件。這樣，當(dāng)用戶登錄時(shí)，就會(huì)自動(dòng)執(zhí)行批處理文件，完成網(wǎng)絡(luò)驅(qū)動(dòng)器映射操作。

也可以選擇“用戶配置→Windows設(shè)置→驅(qū)動(dòng)器映射”項(xiàng)，在右側(cè)點(diǎn)擊“新建→映射驅(qū)動(dòng)器”項(xiàng)，在彈出窗口中設(shè)置網(wǎng)絡(luò)共享路徑，為其分配驅(qū)動(dòng)器號(hào)，設(shè)置連接身份，隱藏或者顯示該驅(qū)動(dòng)器。如果只允許特定的用戶訪問該網(wǎng)絡(luò)驅(qū)動(dòng)器，可以在“常用”面板中選擇“在登錄用戶的安全上下文中運(yùn)行”和“項(xiàng)目級(jí)別目標(biāo)”項(xiàng)，點(diǎn)擊“目標(biāo)”按鈕，在目標(biāo)編輯器窗口中點(diǎn)擊菜單“新建項(xiàng)目→用戶”項(xiàng)，在“用戶”欄右側(cè)點(diǎn)擊選擇按鈕，輸入目標(biāo)賬戶名，將其添加進(jìn)來。之后可以顯示其SID號(hào)，選擇“按SID匹配”項(xiàng)。這樣，只有該用戶登錄后，才可以訪問該網(wǎng)絡(luò)驅(qū)動(dòng)器，其余的用戶包括管理員在內(nèi)，均無權(quán)訪問該網(wǎng)絡(luò)驅(qū)動(dòng)器。點(diǎn)擊確定按鈕保存配置，同理，可以創(chuàng)建多個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)器。

委派用戶，靈活管理域賬戶

對(duì)于大型企業(yè)網(wǎng)絡(luò)來說，可能存在多個(gè)分支機(jī)構(gòu)，為了提高管理效率，就需要指派特定的用戶來管理對(duì)應(yīng)域賬戶。在DC上打開Active Directory用戶和計(jì)算機(jī)窗口，選擇某個(gè)OU，在右鍵菜單上點(diǎn)擊“所有任務(wù)→委派控制”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“添加”按鈕，導(dǎo)入需要委派的域賬戶，點(diǎn)擊下一步按鈕，選擇“委派系列常見任務(wù)”項(xiàng)，選擇委派的任務(wù)，包括管理賬戶、重置密碼、讀取所有用戶信息、管理組等。例如選擇第一和第二個(gè)項(xiàng)目，使其擁有創(chuàng)建，刪除和管理用戶賬戶以及重置密碼的權(quán)限。點(diǎn)擊“完成”按鈕，執(zhí)行委派操作。這樣，該賬戶就擁有了管理指定OU下賬戶的能力。以委派的域賬戶登錄Windows 7客戶端，在其上安裝Windows 7的遠(yuǎn)程服務(wù)器管理工具，啟動(dòng)AD用戶和計(jì)算機(jī)管理工具，選擇上述OU，可以對(duì)其中的賬戶進(jìn)行各種管理操作。