利用證書規(guī)則控制軟件運行

在有些時候，出于管理的需要，可能希望禁止內(nèi)網(wǎng)中的用戶隨意安裝某些軟件。其實，現(xiàn)在很多軟件都帶有數(shù)字簽名信息，即軟件和特定的證書綁定在一起。利用證書控制規(guī)則，可以很好地解決上述問題。

在某安裝包的屬性窗口中的“數(shù)字簽名”面板中點擊“詳細信息”按鈕，可以查看數(shù)字簽名信息。點擊“查看證書”按鈕，在“詳細信息”面板中點擊“復(fù)制到文件”按鈕，在導(dǎo)出文件格式窗口中選擇“Base64編碼”項，設(shè)置文件名，將其導(dǎo)出為證書文件。在DC上打開組策略管理器，選擇“l(fā)in→域→域名→xxx”項，“xxx”表示具體的 OU。在右鍵菜單上點擊“在這個域中創(chuàng)建GPO并在此處鏈接”項，輸入名稱，創(chuàng)建該GPO對象（以下各例與之相同）。

在該GPO對象的右鍵菜單上點擊“編輯”項，在編輯窗口中選擇“計算機配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”項，在右鍵菜單上點擊“創(chuàng)建軟件限制策略”項，雙擊右側(cè)的“強制”項，選擇“強制證書規(guī)則”項。在左側(cè)的“其他規(guī)則”項的右鍵菜單上點擊“新建證書規(guī)則”項，點擊“瀏覽”按鈕，選擇上述導(dǎo)出的證書文件，選擇“不允許”的安全級別。在DC組策略管理器中選擇“xxx”O(jiān)U，在右鍵菜單上點擊“組策略更新”項，將其發(fā)布到其中所有的客戶端主機。也可以在客戶端上執(zhí)行“gpupdate /force”命令，強制組策略同步。這樣，在客戶端上就無法安裝該軟件了。

靈活配置密碼規(guī)則

在不同的客戶機上，管理員掌握著系統(tǒng)管理大權(quán)。如果其密碼設(shè)置的比較簡單的話，就很容易被別人猜解。因此，最好利用組策略，對所有的客戶機管理員統(tǒng)一設(shè)置復(fù)雜的密碼。按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→首選項→控制面板設(shè)置→本地用戶和組”項，在右側(cè)的右鍵菜單上點擊“新建→本地用戶”項，在彈出窗口中的“操作”列表中選擇“更新”項，在“用戶名”欄中設(shè)置具體的管理員名稱（例如“administrator”），為其設(shè)置復(fù)雜的密碼。選擇“用戶不能更改密碼”、“密碼永不過期”和“賬戶永不過期”項，點擊“確定”按鈕保存配置。之后執(zhí)行組策略的刷新或者強制執(zhí)行功能，這樣，客戶機管理員就必須使用使用該密碼登錄。

有時為普通賬戶設(shè)置過于復(fù)雜的密碼，會造成操作人員忘記密碼的情況，為此可以設(shè)置相對簡單的密碼。在Windows Server 2012中打開Active Directory管理中心界面，雙擊“sys tem”容器，找到“Password Settngs Container”容器，進入該容器，在右鍵菜單上點擊“新建→密碼設(shè)置”項，在彈出窗口中的“名稱”欄中輸入策略名稱（例如“easycelue”），設(shè)置其優(yōu)先級（例如大于1的數(shù)值），取消“強制最短密碼長度”、“強制密碼歷史”、“密碼必須符合復(fù)雜性要求”、“強制最短密碼期限”、“強制最長密碼期限”、“強制賬戶鎖定策略”項的選擇狀態(tài)。您可以根據(jù)實際需要加以調(diào)控。選擇“防止意外刪除”項，可以避免誤刪除操作。在“直接應(yīng)用到”欄中點擊“添加”按鈕，添加所需的域賬戶。

這樣，可以將該策略應(yīng)用到指定的賬戶，而且優(yōu)先級高于默認的密碼策略。之后就可以對選定的域用戶執(zhí)行密碼修改操作，設(shè)置較為簡單的密碼。但是，其余的域賬戶不能設(shè)置簡單的密碼。當然，需要對此類賬戶進行權(quán)限控制，防止其擁有過大的權(quán)限。在實際工作中，用戶使用的域賬戶如果權(quán)限較低，就會面臨無法運行有些應(yīng)用程序的問題。如果將其添加到本地的Power users組中，就可以有效解決該問題。注意，權(quán)限低于管理員組但高于Domain Users組。在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→策略→Windows設(shè)置→安全設(shè)置→受限制的組”項，在右側(cè)窗口的空白處點擊右鍵，在彈出菜單中點擊“添加組”項，輸入組名為“power users”，點擊確定按鈕，在彈出窗口中的“這個組的成員”欄中點擊“添加”按鈕，將Domain Users組添加進來，之后刷新或者激活該策略即可。

自由通訊，關(guān)閉域防火墻

為了便于管理域中的主機，有時需要關(guān)閉客戶端中的和域網(wǎng)絡(luò)相關(guān)的防火墻，按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→Windows設(shè)置→安全設(shè)置→系統(tǒng)服務(wù)”項，在右側(cè)雙擊“Windows Firewall” 項，選擇“定義此策略設(shè)置”以及“已禁用”項。這樣，當該策略應(yīng)用到客戶端時，就會關(guān)閉防火墻。也可以選擇“安全設(shè)置→高級安全Windows防火墻→高級安全Windows防火墻”項，在右鍵菜單上點擊“屬性”項，在“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“關(guān)閉”項。之后執(zhí)行組策略的刷新或者強制執(zhí)行功能，這樣，就可以統(tǒng)一關(guān)閉客戶機和域網(wǎng)絡(luò)相關(guān)的防火墻。

禁止退出域環(huán)境

如果以域管理員，Power User組中的用戶以及本地管理員身份登錄到客戶機，是可以退出域的，不過為了統(tǒng)一管理的需要，最好能禁止客戶端隨意退出域環(huán)境。按照上述方法，在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“用戶配置→管理模版→桌面”項，在右側(cè)雙擊“從計算機圖標上下文菜單中刪除屬性”項，在彈出窗口中選擇“已啟用”項。保存配置后，執(zhí)行組策略的刷新或者強制執(zhí)行功能。當客戶端注銷并重新登錄后，即使以管理員身份登錄，因為打不開系統(tǒng)屬性窗口，自然無法退出域環(huán)境。

防止隨意使用USB存儲設(shè)備

為了防止用戶隨意使用USB存儲設(shè)備，可以利用組策略對其進行控制。在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“用戶配置→管理模版→系統(tǒng)→可移動存儲訪問”項，在右側(cè)雙擊“所有可移動存儲類：拒絕所有權(quán)限”項，選擇“已啟用”項，點擊確定按鈕保存配置。這樣，當應(yīng)用該策略后，所有的客戶端將無法使用USB存儲設(shè)備。為了便于使用，也可以雙擊“可移動磁盤：拒絕寫入操作”項，選擇“已啟用”項，允許客戶端讀取USB設(shè)備但是禁止寫入數(shù)據(jù)。執(zhí)行組策略的刷新或者強制執(zhí)行功能，就可以對客戶端使用USB設(shè)備的情況進行控制了。

禁止用戶隨意提升權(quán)限

當客戶機使用某個域賬戶登錄后，當其試圖運行某個程序或者調(diào)整系統(tǒng)設(shè)置時（例如，在目標程序的右鍵菜單中選擇“以管理員身份運行”等），會自動彈出用戶賬戶控制窗口，要求輸入更高級別的賬戶名和密碼，才允許執(zhí)行相應(yīng)的操作。在實際管理中，可以將其屏蔽，防止不必要的安全風險。在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→安全選項”項，在右側(cè)雙擊“用戶權(quán)限控制→標準用戶的提升提示行為”項，選擇“定義此策略設(shè)置”項，在列表中選擇“自動拒絕提升請求”項，保存配置后，執(zhí)行組策略的刷新或者強制執(zhí)行功能。

突破限制，自由加入域環(huán)境

在Windows Server 2012中，Domain Users組中的用戶是沒有權(quán)利將主機加入到域中，為了便于管理，有時需要指派某個域賬戶，負責將數(shù)量眾多而且分散的主機加入到域中。為此可以在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”項，在右側(cè)雙擊“將工作站添加到域”項，在彈出窗口中選擇“定義這些策略設(shè)置”項，點擊“添加用戶或組”按鈕，添加Domain Users組。這樣，該組中的所有用戶都具有了添加主機到域的權(quán)限。

但是，在默認情況下，最多只能添加10臺主機。為了突破這一限制，可以運行ADSI編輯器。在其左側(cè)選擇“默認命名上下文→DC=域名”項，在右鍵菜單上點擊“屬性”項，在彈出窗口的列表中可以看到“ms-DSMachineAccountQuota”項的值為10，可以根據(jù)需要將其設(shè)置為合適的數(shù)值，例如50等。

這樣，就允許Domain Users組中的用戶添加指定數(shù)量的主機了。順便說一下，如果用戶連續(xù)60天沒有登錄到域，就會出現(xiàn)無法登錄的問題，這主要是因為密碼有效期造成的。不僅用戶密碼存在有效期，而且計算機憑據(jù)也存在有效期?？梢赃x擇“本地策略→安全選項”項，在右側(cè)雙擊“域成員：計算機賬戶密碼最長使用期限”項，在彈出窗口中選擇“定義此策略設(shè)置”項，輸入合適的天數(shù)即可。

管控客戶機桌面

在默認情況下，桌面文件夾存儲在客戶機上。如果重裝了系統(tǒng)，而沒有保存桌面上的文件的話，就會給工作打來不便。在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“用戶配置→策略→Windows設(shè)置→文件夾重定向”項，在下顯示了大量的預(yù)設(shè)文件夾。例如選擇“桌面”項，在右鍵菜單上點擊“屬性”項，在彈出窗口中的“設(shè)置”列表中選擇“基本→將每個人的文件夾重定向到同一個位置”項，在“目標文件夾位置”列表中選擇“在根目錄路徑下為每一個用戶創(chuàng)建一個文件夾”項，在“根路徑”欄中輸入“D:”，當然，您可以根據(jù)實際需要進行設(shè)置。點擊應(yīng)用按鈕，保存配置信息。

同理，可以對收藏夾、文檔、下載等文件夾的默認路徑進行調(diào)整。之后執(zhí)行組策略的刷新或者強制執(zhí)行功能，就可以執(zhí)行所需的移動操作。如果需要在域中的客戶端桌面上同一配置快捷方式，可以在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“用戶配置→首選項→Windows設(shè)置→快捷方式”項，在右側(cè)窗口的右鍵菜單上點擊“新建→快捷方式”項，在彈出窗口中的“名稱”欄中輸入其名稱，在“位置”列表中選擇“桌面”項，之后設(shè)置目標程序路徑、運行參數(shù)、起始位置、快捷鍵、運行模式、注釋、快捷圖標等參數(shù)。如果在“目標類型”列表中選擇“URL”項，則可以輸入具體的網(wǎng)址。點擊確定按鈕，保存配置信息。

快速部署文件

對于一些常用的文件來說，可以將其保存到共享文件夾，可以發(fā)布給用戶使用。為了提高部署的效率，可以將共享文件夾中的內(nèi)容自動更新到用戶主機中。例如，在DC上存在一個名為“share”的共享文件夾，在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“計算機配置→首選項→Windows設(shè)置→文件夾”項，在右側(cè)窗口的右鍵菜單上點擊“新建→文件夾”項，在彈出窗口中的“路徑”欄中輸入具體的路徑（例如“d:data”）在“常用”面板中選擇“應(yīng)用一次且不重新應(yīng)用”項，之后保存設(shè)置。這樣，在用戶登錄之前，可以自動在其主機上創(chuàng)建該文件夾。

選擇“用戶配置→首選項→Windows設(shè)置→文件”項，在右側(cè)窗口的右鍵菜單上點擊“新建→文件”項，在彈出窗口中的“操作”列表中選擇“更新”項，在“源文件”欄中輸入具體的文件名（例 如“\192.168.1.1share*.*”），在“目標文件”欄中輸入“d:data”。如果在“操作”列表中選擇“替換”項，則可以執(zhí)行文件替換操作。這樣，當用戶登錄之后，就可以執(zhí)行文件復(fù)制或者替換操作。點擊確定按鈕，保存配置信息。

如果需要統(tǒng)一配置計劃任務(wù)，可以選擇“用戶配置→首選項→控制面板設(shè)置→計劃任務(wù)”項，在右側(cè)窗口的右鍵菜單上點擊“新建”項，可以看到計劃任務(wù)的類型，包括計劃任務(wù)、即時任務(wù)（Windows XP）、計劃任務(wù)（至少是 Windows 7）、即時任務(wù)（至少是Windows 7）等。這里選擇第一項，在彈出窗口中輸入名稱，設(shè)置其運行路徑（例如“\192.168.1.1appxxx.exe”等），運行參數(shù)、起始路徑、注釋、運行的用戶身份等參數(shù)，在“計劃”面板中設(shè)置該任務(wù)運行的周期，點擊確定按鈕，保存配置信息。

統(tǒng)一規(guī)劃，映射網(wǎng)絡(luò)驅(qū)動器

利用網(wǎng)絡(luò)驅(qū)動器映射功能，可以讓用戶很方便地訪問共享資源。利用組策略，可以統(tǒng)一執(zhí)行網(wǎng)絡(luò)驅(qū)動器映射操作。最簡單的方法是創(chuàng)建一個批處理文件，其中包含多個映射命令，例如“net use z:\192.168.1.1app”等。在DC的組策略管理器中創(chuàng)建并打開目標GPO的編輯界面，選擇“用戶配置→Windows設(shè)置→腳本(登錄/注銷)”項，點擊“顯示”按鈕，打開登錄文件存儲路徑，將上述批處理文件復(fù)制進來。雙擊“登錄”項，點擊“添加”按鈕，選擇上述批處理文件。這樣，當用戶登錄時，就會自動執(zhí)行批處理文件，完成網(wǎng)絡(luò)驅(qū)動器映射操作。

也可以選擇“用戶配置→Windows設(shè)置→驅(qū)動器映射”項，在右側(cè)點擊“新建→映射驅(qū)動器”項，在彈出窗口中設(shè)置網(wǎng)絡(luò)共享路徑，為其分配驅(qū)動器號，設(shè)置連接身份，隱藏或者顯示該驅(qū)動器。如果只允許特定的用戶訪問該網(wǎng)絡(luò)驅(qū)動器，可以在“常用”面板中選擇“在登錄用戶的安全上下文中運行”和“項目級別目標”項，點擊“目標”按鈕，在目標編輯器窗口中點擊菜單“新建項目→用戶”項，在“用戶”欄右側(cè)點擊選擇按鈕，輸入目標賬戶名，將其添加進來。之后可以顯示其SID號，選擇“按SID匹配”項。這樣，只有該用戶登錄后，才可以訪問該網(wǎng)絡(luò)驅(qū)動器，其余的用戶包括管理員在內(nèi)，均無權(quán)訪問該網(wǎng)絡(luò)驅(qū)動器。點擊確定按鈕保存配置，同理，可以創(chuàng)建多個網(wǎng)絡(luò)驅(qū)動器。

委派用戶，靈活管理域賬戶

對于大型企業(yè)網(wǎng)絡(luò)來說，可能存在多個分支機構(gòu)，為了提高管理效率，就需要指派特定的用戶來管理對應(yīng)域賬戶。在DC上打開Active Directory用戶和計算機窗口，選擇某個OU，在右鍵菜單上點擊“所有任務(wù)→委派控制”項，在向?qū)Ы缑嬷悬c擊“添加”按鈕，導(dǎo)入需要委派的域賬戶，點擊下一步按鈕，選擇“委派系列常見任務(wù)”項，選擇委派的任務(wù)，包括管理賬戶、重置密碼、讀取所有用戶信息、管理組等。例如選擇第一和第二個項目，使其擁有創(chuàng)建，刪除和管理用戶賬戶以及重置密碼的權(quán)限。點擊“完成”按鈕，執(zhí)行委派操作。這樣，該賬戶就擁有了管理指定OU下賬戶的能力。以委派的域賬戶登錄Windows 7客戶端，在其上安裝Windows 7的遠程服務(wù)器管理工具，啟動AD用戶和計算機管理工具，選擇上述OU，可以對其中的賬戶進行各種管理操作。