活动目录系列之四：脚本和软件限制策略的应用

活动目录系列之四：脚本和软件限制策略的应用在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述：1、脚本。我们知道，在组策略中分为两大模块：计算机配置和用户配置。对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。首先，我在域yinhe.com中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个用户。我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。点击“精英计划”属性，点组策略。然后新建策略点编辑，既然对用户对策略，我们就对“用户配置”做配置。我们先点开“登录”，然后点“添加”这时我手动作一个“登录”脚本好了，把这个做好的脚本粘贴到上面的面板中好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本不同的是在用户配置中点击“注销”最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效）到用户机器上看一下结果用账号“张三”登录到域中登录后就会出现“登录脚本”提示了然后我们来注销“张三”这个用户2.软件限制策略首先新建一条策略编辑该策略（我们还是对用户进行配置）点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。下面我就“哈希规则”做一下演示：新建“哈希规则：我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要对用户做软件限制，那我们必须将xp系统的cmd.exe文件先拷贝到服务器上，然后再浏览的这个文件的所在，就可以了！我们先把xp系统的cmd.exe文件找到：把这个文件拷贝到域服务器上，我放到桌面好了：这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数，安全级别为“不允许的”，即是说用户无法使用cmd.exe这个程序。然后立即刷新组策略到用户机器上验证结果，用“李四”登录：在登录后运行cmd程序可以看到此时已受限制了。实验完毕。