Windows Server活動目錄企業(yè)應(yīng)用（微課版）（第2版） 課件 項目5 利用組策略部署軟件與限制軟件運行；項目6 管理組策略

WindowsServer活動目錄企業(yè)應(yīng)用（微課版）項目5利用組策略部署軟件與限制軟件運行項目背景我們可以通過ADDS組策略來為企業(yè)內(nèi)部用戶與計算機部署（deploy）軟件，也就是自動為這些用戶與計算機安裝、維護與刪除軟件。同時還可以為軟件的運行制訂限制策略。利用組策略部署軟件與限制軟件運行項目目標軟件部署概述將軟件發(fā)布給用戶將軟件分配給用戶或計算機啟用軟件限制策略利用組策略部署軟件與限制軟件運行5.1軟件部署概述利用組策略部署軟件與限制軟件運行可以通過組策略將軟件部署給域用戶與計算機也就是域用戶登錄或成員計算機啟動時會自動安裝或很容易安裝被部署的軟件，而軟件部署分為分配（assign）與發(fā)布（publish）兩種。一般來說，這些軟件必須是WindowsInstallerPackage（也被稱為MSI應(yīng)用程序），也就是其內(nèi)包含擴展名為.msi的安裝文件。5.1.1將軟件分配給用戶將一個軟件通過組策略分配給域用戶后，用戶在任何一臺域成員計算機登錄時，這個軟件會被通告(advertised)給該用戶，但此軟件并沒有被安裝，而只是安裝了與這個軟件有關(guān)的部分信息而已，例如可能會在開始窗口或開始菜單中自動建立該軟件的快捷方式（需視該軟件是否支持此功能而定）。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行用戶通過單擊該軟件在開始窗口（或開始菜單）中的快捷方式后，就可以安裝此軟件。

用戶也可以通過控制面板來安裝此軟件，以Windows8.1客戶端來說，其安裝方法為【開始菜單→控制面板→單擊程序處獲得程序】。利用組策略部署軟件與限制軟件運行

當您將一個軟件通過組策略分配給域成員計算機后，這些計算機啟動時就會自動安裝這個軟件（完整或部分安裝，視軟件而定），而且任何用戶登錄都可以使用此軟件。用戶登錄后，就可以通過桌面或開始窗口（或開始菜單）中的快捷方式來使用此軟件。5.1.2將軟件分配給計算機5.1.3將軟件發(fā)布給用戶

當將一個軟件通過組策略發(fā)布給域用戶后，此軟件并不會自動被安裝到用戶的計算機內(nèi)，不過用戶可以通過控制面板來安裝此軟件，以Windows8.1客戶端來說，其安裝方法為【開始菜單→控制面板→單擊程序處獲得程序】。利用組策略部署軟件與限制軟件運行5.1.4自動修復(fù)軟件利用組策略部署軟件與限制軟件運行被發(fā)布或分配的軟件可以具備自動修復(fù)的功能（視軟件而定），也就是客戶端在安裝完成后，若此軟件程序內(nèi)有關(guān)鍵性的文件損毀、遺失或不小心被用戶刪除則在用戶執(zhí)行此軟件時，系統(tǒng)會自動檢測到此不正常現(xiàn)象，并重新安裝這些文件。5.1.5刪除軟件WindowsServer2012(R2)具備ActiveDirectory回收站功能，它讓系統(tǒng)管理員不需要進入目錄服務(wù)還原模式，就可以快速恢復(fù)被刪除的對象。利用組策略部署軟件與限制軟件運行5.2軟件限制策略概述

在5.3.2節(jié)中介紹過如何利用文件名來限制用戶可以或不可以運行特定的應(yīng)用程序，然而若用戶有權(quán)修改文件名，就可以突破此限制，此時我們?nèi)匀豢梢酝ㄟ^本章的軟件限制策略進行控制。此策略的安全等級分為下面3種。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行

不受限：所有登錄的用戶都可以運行特定的程序（只要用戶擁有適當?shù)脑L問權(quán)限，例如NTFS權(quán)限）。不允許：無論用戶對程序文件的訪問權(quán)限為何，都不允許運行。基本用戶：允許以普通用戶的權(quán)限（分配給users組的權(quán)限）來運行程序。利用組策略部署軟件與限制軟件運行系統(tǒng)默認的安全級別是所有程序都不受限，即只要用戶對要運行的程序文件擁有適當訪問權(quán)限，他就可以運行此程序。不過您可以通過哈希規(guī)則、證書規(guī)則、路徑規(guī)則與網(wǎng)絡(luò)區(qū)域規(guī)則來建立例外的安全級別，以便拒絕用戶運行所指定的程序。利用組策略部署軟件與限制軟件運行5.2.1哈希規(guī)則哈希(hash)是根據(jù)程序的文件內(nèi)容所算出來的字符串，不同程序有著不同的哈希值，所以系統(tǒng)可用它來識別應(yīng)用程序。在您為某個程序建立哈希規(guī)則，并利用它限制用戶不允許運行此程序時，系統(tǒng)就會為該程序建立一個哈希值。而當用戶要運行此程序時，其Windows系統(tǒng)就會比較自行算出來的哈希值是否與軟件限制策略中的哈希值相同，若相同，表示它就是被限制的程序，因此會被拒絕運行。利用組策略部署軟件與限制軟件運行

5.2.2證書規(guī)則軟件發(fā)行公司可以利用證書（certificate）來簽署其所開發(fā)的程序，而軟件限制策略可以通過此證書來辨識程序，也就是說您可以建立證書規(guī)則來識別利用此證書所簽署的程序，以便允許或拒絕用戶運行此程序。5.2.4路徑規(guī)則

可以通過路徑規(guī)則來允許或拒絕用戶運行位于某個文件夾內(nèi)的程序。由于是根據(jù)路徑來識別程序，故若程序被移動到其他文件夾，此程序?qū)⒉粫偈艿铰窂揭?guī)則的約束。利用組策略部署軟件與限制軟件運行除了文件夾路徑外，您也可以通過注冊表路徑來限制，例如開放用戶可以運行在注冊表中所指定的文件夾內(nèi)的程序。5.2.4網(wǎng)絡(luò)區(qū)域規(guī)則利用組策略部署軟件與限制軟件運行可以利用網(wǎng)絡(luò)區(qū)域規(guī)則來允許或拒絕用戶運行位于某個區(qū)域內(nèi)的程序，這些區(qū)域包含本地計算機、Internet、本地Intranet、可信站點與受限站點。除了本地計算機與Internet之外，您可以設(shè)置其他3個區(qū)域內(nèi)所包含的計算機或網(wǎng)站：【打開網(wǎng)頁瀏覽器InternetExplorer→按下Alt鍵→單擊工具菜單→lnternet選項→單擊圖5-1中的安全選項卡→選擇要設(shè)置的區(qū)域后單擊“站點”按鈕】。利用組策略部署軟件與限制軟件運行圖5-1Internet選項5.2.5規(guī)則的優(yōu)先級利用組策略部署軟件與限制軟件運行

可能會針對同一個程序設(shè)定不同的軟件限制規(guī)則，而這些規(guī)則的優(yōu)先級由高到低為：哈希規(guī)則、證書規(guī)則、路徑規(guī)則、網(wǎng)絡(luò)區(qū)域規(guī)則。WindowsServer活動目錄企業(yè)應(yīng)用（微課版）項目6管理組策略項目背景管理組策略相關(guān)知識從前面的學(xué)習我們知道：通過ADDS的組策略（grouppolicy）功能，可更容易地管理用戶的工作環(huán)境與計算機環(huán)境，可以統(tǒng)一部署軟件以及限制特定軟件的運行，也可以利用組策略使安全性標準化，以控制環(huán)境?？傊M策略的合理使用能夠輕網(wǎng)絡(luò)管理負擔，并降低網(wǎng)絡(luò)管理成本。項目目標組策略的處理規(guī)則組策略的委派管理StarterGPO的設(shè)置與使用組策略管理實例管理組策略相關(guān)知識6.1相關(guān)知識管理組策略相關(guān)知識域成員計算機在處理（應(yīng)用）組策略時有一定的程序與規(guī)則，系統(tǒng)管理員必須了解它們，才能夠通過組策略來管理用戶與計算機的環(huán)境。6.1.1一般的繼承與處理規(guī)則組策略的設(shè)置是有繼承性的，也有一定的處理規(guī)則。管理組策略相關(guān)知識圖6-1ActiveDirectory用戶和計算機--組織單位管理組策略相關(guān)知識

若高層父容器的某個策略被設(shè)置，但是在其下低層子容器并未設(shè)置此策略的話，則低層子容器會繼承高層父容器的這個策略設(shè)置值。以圖6-1來說明，若位于高層的域的GPO內(nèi)，其從【開始】菜單中刪除【運行】萊單策略被設(shè)置為已啟用，但如果位于低層的組織單位sales的這個策略被設(shè)置為未配置，則sales會繼承的設(shè)置值，也就是說sales的“從【開始】萊單中刪除【運行】萊單”策略是已啟用若組織單位sales下還有其他子容器，且它們的這些策略也被設(shè)置為未配置，則它們也會繼承這個設(shè)置值。管理組策略相關(guān)知識若在低層子容器內(nèi)的某個策略被設(shè)置，則此設(shè)置值默認會覆蓋由其高層父容器所繼承下來的設(shè)置值。以圖6-1所示，若位于高層的域的GPO內(nèi)，其從【開始】菜單中刪除【運行】萊單策略被設(shè)置為已啟用，但是位于低層的組織單位sales的這個策略被設(shè)置為已禁用，則sales會覆蓋的設(shè)置值，也就是對組織單位sales來說，其從【開始】萊單中刪除【運行】萊單策略是“已禁用”。管理組策略相關(guān)知識組策略設(shè)置是有累加性的，例如若您在組織單位sales內(nèi)建立了GPO，同時在站點、域內(nèi)也都有GPO，則站點、域與組織單位內(nèi)的所有GPO設(shè)置值都會被累加起來作為組織單位sales的最后有效設(shè)置值。但若站點、域與組織單位sales之間的GPO設(shè)置有沖突，則優(yōu)先圾為：組織單位的GPO最優(yōu)先、域的GPO次之、站點的GPO優(yōu)先權(quán)最低。管理組策略相關(guān)知識管理組策略相關(guān)知識6.1.2例外的繼承設(shè)置除了一般的繼承與處理規(guī)則外，您還可以設(shè)置下面的例外規(guī)則。1．禁止繼承策略以設(shè)置讓子容器不要繼承父容器的設(shè)置。例如若不要讓組織單位sales繼承域的策略設(shè)置，請【如圖6-2所示，選中sales并單擊右鍵→阻止繼承】，此時組織單位sales將直接以自己的GPO設(shè)置為其設(shè)置值，若其GPO內(nèi)的設(shè)置為沒有定義，則采用默認值。管理組策略相關(guān)知識圖6-2阻止繼承管理組策略相關(guān)知識2．強制繼承策略可以通過父容器來強制其下子容器必須繼承父容器的GPO設(shè)置，無論子容器是否選擇了阻止繼承。例如若我們在圖6-3中域下建立一個GPO（企業(yè)統(tǒng)一網(wǎng)絡(luò)防護策略），以便通過它來設(shè)置域內(nèi)所有計算機的安全措施：【選中此策略并單擊右鍵→強制】來強制其下的所有組織單位都必須繼承此策略。管理組策略相關(guān)知識圖6-3強制繼承管理組策略相關(guān)知識圖6-4組策略默認被應(yīng)用到AuthenticatedUsers組3．過濾組策略設(shè)置以組織單位sales為例，當您針對此組織單位建立GPO后，此GPO的設(shè)置會被應(yīng)用到這個組織單位內(nèi)的所有用戶與計算機，如圖6-4所示，默認被應(yīng)用到AuthenticatedUsers組（經(jīng)過身份驗證的用戶組）。管理組策略相關(guān)知識

也可以讓此GPO不要應(yīng)用到特定的用戶或計算機，例如此GPO對所有sales人員的工作環(huán)境做了某些限制，但是卻不想將此限制加在sales經(jīng)理上。位于組織單位內(nèi)的用戶與計算機，默認對該組織單位的GPO都具備有讀取與應(yīng)用組策略權(quán)限，可以【如圖6-5所示,單擊GPO（sales用戶指派軟件GPO）→單擊委派選項卡→單擊“高級”按鈕→選擇AuthenticatedUsers】來查看。管理組策略相關(guān)知識

圖6-5查看AuthenticatedUsers組權(quán)限管理組策略相關(guān)知識

若不想將此GPO的設(shè)置應(yīng)用到組織單位業(yè)務(wù)部內(nèi)的用戶steven：【請單擊圖6-5中的“添加”按鈕→選擇用戶→steven如圖6-6所示將steven的應(yīng)用組策略權(quán)限設(shè)置為拒絕即可】。圖6-6拒絕steven應(yīng)用策略管理組策略相關(guān)知識

6.1.3特殊處理設(shè)置特殊處理設(shè)置包括強制處理GPO、慢速連接的GPO處理、環(huán)回處理模式與禁用GPO等。1．強制處理GPO客戶端計算機在處理組策略的設(shè)置時，會將不同類型的策略交給不同的DLL（Dynamic-LinkLibraries）來負責處理與應(yīng)用，這些DLL被稱為Client-SideExtension（CSE）。管理組策略相關(guān)知識

CSE在處理其所負責的策略時，只會處理上次處理過的最新變動策略，這種做法雖然可以提高處理策略的效率，但有時候卻無法達到您所期望的目標，例如您在GPO內(nèi)對用戶做了某項限制，在用戶因為這個策略而受到限制之后，若用戶自行將此限制刪除，則當下一次用戶計算機在應(yīng)用策略時，客戶端的CSE會因為GPO內(nèi)的策略設(shè)置值并沒有變動而不處理此策略，因而無法自動將用戶自行修改的設(shè)置改回來管理組策略相關(guān)知識

解決方法是強制要求客戶端CSE一定要處理指定的策略，不論該策略設(shè)置值是否發(fā)生變化。您可以針對不同策略來單獨設(shè)置。舉例來說，假設(shè)要強制組織單位sales內(nèi)所有計算機必須處理（應(yīng)用）軟件安裝策略：在“sales用戶指派軟件”GPO的設(shè)置界面中，【選擇計算機配置→策略→管理模板→系統(tǒng)→如圖6-7所示雙擊組策略右側(cè)的配置軟件安裝策略處理→選擇已啟用→勾選即使尚未更改組策略對象也進行處理→單擊“確定”按鈕】。管理組策略相關(guān)知識

圖6-7強制處理GPO管理組策略相關(guān)知識

2．慢速連接的GPO處理以讓域成員計算機自動檢測其與域控制器之間的連接速度是否太慢，若是則不要應(yīng)用位于域控制器內(nèi)指定的組策略設(shè)置。除了圖6-8中配置注冊表策略處理與配置安全策略處理這兩個策略之外（無論是否慢速連接都會應(yīng)用），其他策略都可以設(shè)置為慢速連接不應(yīng)用。管理組策略相關(guān)知識

圖6-8其他策略都可以設(shè)置為慢速連接不應(yīng)用管理組策略相關(guān)知識

假設(shè)您要求組織單位sales內(nèi)的每一臺計算機都要自動檢測是否為慢速連接：請在“sales用戶指派軟件”GPO的計算機配置界面中，如圖6-9所示，【雙擊組策略右側(cè)的配置組策略慢速鏈接檢測→選中已啟用→在連接速度處輸入低速聯(lián)機的定義值→單擊“確定”按鈕】，圖中我們只要設(shè)置連接速度低于500Kbps，就視為慢速。如果您停用或未設(shè)置此原則，則預(yù)設(shè)也將低于500Kbps視為慢速連接。管理組策略相關(guān)知識

圖6-9配置組策略慢速鏈接檢測管理組策略相關(guān)知識

3．環(huán)回處理模式一般來說，系統(tǒng)會根據(jù)用戶或計算機賬戶在ADDS內(nèi)的位置，來決定如何將GPO設(shè)置值應(yīng)用到用戶或計算機。例如若服務(wù)器DC1的計算機賬戶位于組織單位服務(wù)器內(nèi)，此組織單位有一個名稱為服務(wù)器GPO的GPO，而用戶steven的用戶賬戶位于組織單位sales內(nèi)，此組織單位有一個名稱為“sales用戶指派軟件”的GPO，則當用戶steven在DC1上登錄域時，在正常的情況下，他的用戶環(huán)境由“sales用戶指派軟件”的GPO的用戶配置來決定，不過他的計算機環(huán)境是由服務(wù)器GPO的計算機配置來決定的。管理組策略相關(guān)知識然而若您在“sales用戶指派軟件”的GPO的用戶配置內(nèi)，設(shè)置讓組織單位sales內(nèi)的用戶登錄時，就自動為他們安裝某應(yīng)用程序的話，則這些用戶到任何一臺域成員計算機上（包含DC1）登錄時，系統(tǒng)將為他們在這臺計算機內(nèi)安裝此應(yīng)用程序，但是您卻不想替他們在這臺重要的服務(wù)器DC1內(nèi)安裝應(yīng)用程序，此時您要如何來解決這個問題呢？請啟用環(huán)回處理模式（loopbackprocessingmode）。管理組策略相關(guān)知識若在服務(wù)器GPO啟用了環(huán)回處理模式，則無論用戶賬戶位于何處，只要用戶利用組織單位服務(wù)器內(nèi)的計算機（包含服務(wù)器DC1）登錄，則用戶的工作環(huán)境可改由服務(wù)器GPO的用戶配置來決定，這樣steven到服務(wù)器DC1登錄時，系統(tǒng)就不會替他安裝應(yīng)用程序。環(huán)回處理模式分為兩種模式。替代模式：直接改由服務(wù)器GPO的用戶配置來決定用戶的環(huán)境，而忽略“sales用戶指派軟件”的GPO的用戶配置。合并模式：先處理“sales用戶指派軟件”的GPO的用戶配置，再處理服務(wù)囂GPO的用戶配置，若兩者有沖突，則以服務(wù)器GPO的用戶配置優(yōu)先。管理組策略相關(guān)知識假設(shè)我們要在服務(wù)器GPO內(nèi)啟用環(huán)回處理模式請在服務(wù)器GPO的計算機配置界面中【如圖6-10所示雙擊組策略右側(cè)的→選擇已啟用→在模式處選擇替換或合并】。圖6-10配置用戶組策略環(huán)回處理模式圖6-10配置用戶組策略環(huán)回處理模式管理組策略相關(guān)知識4．禁用GPO若有需要，可以將整個GPO禁用，或單獨將GPO的計算機配置或用戶配置禁用。下面以“sales用戶指派軟件”的GPO為例來說明。若要將整個GPO禁用，請如圖6-11所示選中測試用的GPO并單擊右鍵，然后取消勾選已啟用鏈接。圖6-11禁用整個GPO管理組策略相關(guān)知識若要將GPO的計算機配置或用戶配置單獨禁用：先進入“sales用戶指派軟件”GPO的編輯界面→如圖6-12所示單擊“sales用戶指派軟件”GPO→單擊上方的屬性圖標→勾選禁用計算機配置設(shè)置或禁用用戶配置設(shè)置。圖6-12將GPO的計算機配置或用戶配置單獨禁用管理組策略相關(guān)知識6.1.4更改管理GPO的域控制器當您添加、修改或刪除組策略設(shè)置時，這些更改默認先被存儲到扮演PDC模擬器操作主機角色的域控制器，然后再由它將其復(fù)制到其他域控制器，域成員計算機再通過域控制器來應(yīng)用這些策略。但若系統(tǒng)管理員在濟南，可是PDC模擬器操作主機卻在遠程的北京，此時濟南的系統(tǒng)管理員會希望其針對濟南員工所設(shè)置的組策略，能夠直接存儲到位于濟南的域控制器，以便濟南的用戶與計算機能夠通過這臺域控制器來快速應(yīng)用這些策略。管理組策略相關(guān)知識可以通過DC選項方式來將管理GPO的域控制器從PDC模擬器操作主機更改為其他域控制器。利用DC選項：假設(shè)供濟南分公司使用的GPO為濟南分公司專用GPO，則請進入編輯此GPO的界面（組策略管理編輯器界面），然后如圖6-13所示【單擊濟南分公司專用GPO→單擊查看菜單→>DC選項→在圖中選擇要用來管理組策略的域控制器】。圖中選擇域控制器的選項有下面3種。管理組策略相關(guān)知識圖6-13利用DC選項更改域控制器管理組策略相關(guān)知識具有PDC模擬器操作主機令牌的域控制囂：也就是使用PDC模擬器操作主機這是默認值，也是建議值。

ActiveDirectory管理單元使用的城控制器：當系統(tǒng)管理員執(zhí)行組策略管理編輯器時，此組策略管理編輯器所連接的域控制器就是我們要使用的域控制器。