1、活动目录项目教程活动目录项目教程项目项目6 6 利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行杨云 编著项目背景项目背景我们可以通过AD DS组策略来为企业内部用户与计算机部署(deploy)软件,也就是自动为这些用户与计算机安装、维护与删除软件。同时还可以为软件的运行制订限制策略。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行项目目标项目目标软件部署概述将软件发布给用户将软件分配给用户或计算机启用软件限制策略利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行6.1 软件部署概述软件部署概述利用组策略部署软件与限制软件运行利用组策略部署软件与限
2、制软件运行 可以通过组策略将软件部署给域用户与计算机也就是域用户登录或成员计算机启动时会自动安装或很容易安装被部署的软件,而软件部署分为分配(assign)与发布(publish)两种。一般来说,这些软件必须是Windows Installer Package(也被称为MSI应用程序),也就是其内包含扩展名为.msi的安装文件。6.1.1 将软件分配给用户将软件分配给用户 将一个软件通过组策略分配给域用户后,用户在任何一台域成员计算机登录时,这个软件会被通告(advertised)给该用户,但此软件并没有被安装,而只是安装了与这个软件有关的部分信息而已,例如可能会在开始窗口或开始菜单中自动建立
3、该软件的快捷方式(需视该软件是否支持此功能而定)。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 用户通过单击该软件在开始窗口(或开始菜单)中的快捷方式后,就可以安装此软件。用户也可以通过控制面板来安装此软件,以Windows 8.1客户端来说,其安装方法为【开始菜单控制面板单击程序处获得程序】。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 当您将一个软件通过组策略分配给域成员计算机后,这些计算机启动时就会自动安装这个软件(完整或部分安装,视软件而定),而且任何用户登录都可以使用此软件。用户登
4、录后,就可以通过桌面或开始窗口(或开始菜单)中的快捷方式来使用此软件。6.1.2 6.1.2 将软件分配给计算机将软件分配给计算机6.1.3 6.1.3 将软件发布给用户将软件发布给用户 当将一个软件通过组策略发布给域用户后,此软件并不会自动被安装到用户的计算机内,不过用户可以通过控制面板来安装此软件,以Windows 8.1客户端来说,其安装方法为【开始菜单控制面板单击程序程序处获得程序获得程序】。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行6.1.4 6.1.4 自动修复软件自动修复软件利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 被发布或分配的软件
5、可以具备自动修复的功能(视软件而定),也就是客户端在安装完成后,若此软件程序内有关键性的文件损毁、遗失或不小心被用户删除则在用户执行此软件时,系统会自动检测到此不正常现象,并重新安装这些文件。6.1.5 删除软件删除软件 Windows Server 2012(R2)具备Active Directory回收站功能,它让系统管理员不需要进入目录服务还原模式,就可以快速恢复被删除的对象。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行6.2 软件限制策略概述 在5.3.2节中介绍过如何利用文件名来限制用户可以或不可以运行特定的应用程序,然而若用户有权修改文件名,就可以突破此限制,此
6、时我们仍然可以通过本章的软件限制策略进行控制。此策略的安全等级分为下面3种。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 不受限:所有登录的用户都可以运行特定的程序(只要用户拥有适当的访问权限,例如NTFS权限)。不允许:无论用户对程序文件的访问权限为何,都不允许运行。基本用户:允许以普通用户的权限(分配给users组的权限)来运行程序。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 系统默认的安全级别是所有程序都不受限,即只要用户对要运行的程序文件拥有适当访问权限,他就可以运行此程序。不过您
7、可以通过哈希规则、证书规则、路径规则与网络区域规则来建立例外的安全级别,以便拒绝用户运行所指定的程序。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行6.2.1 哈希规则 哈希(hash)是根据程序的文件内容所算出来的字符串,不同程序有着不同的哈希值,所以系统可用它来识别应用程序。在您为某个程序建立哈希规则,并利用它限制用户不允许运行此程序时,系统就会为该程序建立一个哈希值。而当用户要运行此程序时,其Windows系统就会比较自行算出来的哈希值是否与软件限制策略中的哈希值相同,若相同,表示它就是被限制的程序,因此会被拒绝运行。利用组策略部署软件与限制软件运行利用组策略部署软件与
8、限制软件运行 6.2.2 证书规则 软件发行公司可以利用证书(certificate)来签署其所开发的程序,而软件限制策略可以通过此证书来辨识程序,也就是说您可以建立证书规则来识别利用此证书所签署的程序,以便允许或拒绝用户运行此程序。6.2.4 6.2.4 路径规则路径规则 可以通过路径规则来允许或拒绝用户运行位于某个文件夹内的程序。由于是根据路径来识别程序,故若程序被移动到其他文件夹,此程序将不会再受到路径规则的约束。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 除了文件夹路径外,您也可以通过注册表路径来限制,例如开放用户可以运行在注册表中所指定的文件夹内的程序。6.2.
9、4 6.2.4 网络区域规则网络区域规则利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 可以利用网络区域规则来允许或拒绝用户运行位于某个区域内的程序,这些区域包含本地计算机、Internet、本地Intranet、可信站点与受限站点。除了本地计算机与Internet之外,您可以设置其他3个区域内所包含的计算机或网站:【打开网页浏览器Internet Explorer按下Alt键单击工具菜单lnternet选项单击图6-1中的安全选项卡选择要设置的区域后单击“站点”按钮】。利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行图6-1 Internet选项6.2.5 6.2.5 规则的优先级规则的优先级利用组策略部署软件与限制软件运行利用组策略部署软件与限制软件运行 可能会针对同一个程序设定不同的软件限制规则,而这些规则的优先级由高到低为:哈希规则、证书规则、路径规则、网络区域规则。
