1、第五章 组策略(补),2012年4月4日 林勇升,组策略,组策略概述 组策略实例 组策略的处理规则 利用组策略来管理用户环境 利用组策略部署软件 将软件发布给用户 将软件指派给用户或计算机 软件升级与重新部署,帐户策略的设定 如设定用户的密码长度 密码使用期限 帐户锁定策略,5.1 组策略概述,组策略的功能 帐户策略的设定 本地策略的设定 脚本的设定 用户工作环境的设定 软件的安装与删除 限制软件的运行 文件夹转移 其它系统设定,本地策略的设定 审核策略的设定 用户权限的指派 安全性的设定,用户工作环境的设定 隐藏用户桌面上所有图标 删除“开始”菜单中的“运行”/“搜索”/“关机”等功能 在“
2、开始”菜单中添加“注销”功能等,脚本的设定 登录与注销的设定 启动与关机的设定,软件的安装与删除 用户登录或计算机启动时,自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。,限制软件的运行 通过各种不同软件限制的规则,来限制域用户只能运行某些软件。,文件夹转移 如:改变“我的文档”、“开始菜单”等文件夹的存储位置,其它系统设定 如:让所有的计算机都自动信任指定的CA。,5.1.1 组策略对象,组策略是通过“组策略对象(GPO)”来设定的。(Group Policy Object) 只要将GPO链接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机
3、。 内建的GPO GPO的内容,5.1.1 组策略对象,内建的GPO 系统已经有两个内建的GPO,分别是: Default Domain Policy 此GPO已经被链接到域 它的设定值会被应用到整个域内的所有用户与计算机 Default Domain Controller Policy 此GPO已经被链接到Domain Controller OU。 它的设定值会被应用到域控制器组织单位内的所有用户和计算机。 在域控制器组织单位内,系统默认只有扮演域控制器的计算机帐户。 验证方法:,5.1.1 组策略对象,内建的GPO 系统已经有两个内建的GPO,分别是: 验证方法: 方法1: “开始” “管
4、理工具” “Active Directory 用户和计算机” 右击“Domain Controller OU” “属性” “组策略”的方法来验证。,5.1.1 组策略对象,内建的GPO 系统已经有两个内建的GPO,分别是: 验证方法: 方法2: “开始” “管理工具” “Active Directory 用户和计算机” 右击“域名” “属性” “组策略”的方法来验证。,5.1.1 组策略对象,内建的GPO 系统已经有两个内建的GPO,分别是: 验证方法: 方法3:域成员用户:方法2 在安装盘的“i386”内有“adminpak.msi”安装完成后,在“开始”“管理工具”内看到“活动目录”,5.
5、1.1 组策略对象,组策略是通过“组策略对象(GPO)”来设定的。 只要将GPO链接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机。 内建的GPO GPO的内容,5.1.1 组策略对象,GPO的内容 GPC(Group Policy Container) 被存储在Active Directory 数据库内,它记载着此GPO的属性与版本等数据。 查看方法: 开始管理工具Active Directory 用户和计算机 选择“查看”菜单高级 选择域展开System容器policies,5.1.1 组策略对象,GPO内容 GPT:Group Policy Te
6、mplate 用来存储GPO的配置值与相关文件,它是一个文件夹。 建立在域控制器的%systemroot%sysvolsysvol域名称Policies文件夹内。 设置方法: 开始运行mmc文件添加/删除嵌入式管理单元 添加组策略编辑器添加完成。,5.1.2 组策略的应用时机,当修改了站点、域或OU的GPO配置值后,这些配置值并不是立刻就对站点、域或OU内的用户与计算机有效,而是必须等它们被应用到用户或计算机后才有效。 什么时候有效?,5.1.2 组策略的应用时机,什么时候有效? 计算机配置的应用时机 用户配置的启用时间,5.1.2 组策略的应用时机,计算机配置的应用时机 域内计算机会在以下情
7、况下应用GPO内的计算机配置。 计算机开机时自动启用 即使计算机不重新开机,系统仍然会每隔一段时间自动启用。 域控制器:默认每隔5分钟自动启用。 非域控制器:默认每隔90120分钟自动启用。 不论策略配置值是否有变动,系统仍然会每隔16小时自动启用一次。 手动启用。,5.1.2 组策略的应用时机,计算机配置的应用时机 域内计算机会在以下情况下应用GPO内的计算机配置。 手动启用。 “开始”所有程序附件“命令提示符” Gpupdate /target:computer /force 完成后,执行“开始”管理工具事件查看器应用程序双击“SceCli”事件,来检查是否已经启用成功。,5.1.2 组策
8、略的应用时机,什么时候有效? 计算机配置的应用时机 用户配置的启用时间,5.1.2 组策略的应用时机,用户配置的启用时间 域内的用户会在以下情况中启用GPO内的用户配置值。 用户登录时自动启用。 即使用户不注销、登录,系统默认每隔90120分钟自动启用。 不论策略配置值是否有变动,系统仍然会每隔16小时自动启用一次。 手动启用 Gpupdate /target:user /force Gpupdate /force,5.1.2 组策略的应用时机,用户配置的启用时间注:部分的策略配置,必须待计算机重新启动或用户登录时才有效,如“软件安装策略”与“文件夹重定向策略”,5.1.2 组策略的应用时机,
9、用户配置的启用时间说明: 可以利用gpresult.exe程序来检查上次应用组策略的时间与应用了哪一些GPO的设定。 如果组策略一直无法应用成功, 则可以利用netdiag.exe程序来检查是否网络有问题, 或是利用replmon.exe来检查是否域控制器之间的活动目录复制有问题。 位于:Windows server 2003安装盘i386ADMINPAK.MSI,5.2 组策略应用实例,实例一:计算机配置 在域控制器的计算机上,使用非“管理员”登录时,会提示: 此系统的本地策略不允许您交互登录。 解办法法 步骤一:开始管理工具Active Directory 用户和计算机右击Domain C
10、ontrollers OU 属性组策略。 步骤二:选择组策略中的“Default Domain Controllers Policy”单击“编辑”,运行“组策略编辑器”,5.2 组策略应用实例,实例一:计算机配置 步骤三:“计算机管理”Windows设置安全设置本地策略用户权限分配双击“允许本地登录”。 步骤四:在“允许本地登录”的对话框中单击“添加用户或组”选择“Domain User”组。,5.2 组策略应用实例,实例一:用户配置 利用组策略中的“用户配置”,让“业务部”OU内的所有用户在登录域后,删除“开始”菜单中的“运行”选项。 实现方法: 1、开始管理工具Active Directo
11、ry 用户和计算机右击“业务部”OU属性组策略单击“新建”。 2、此GPO的名称为“新建组策略对像”。,5.2 组策略应用实例,实例一:用户配置 实现方法: 3、单击“编辑”按钮运行“组策略编辑器”。 用户配置管理模板任务栏和开始菜单双击“从开始菜单中删除运行菜单”。 4、执行“已启用” 5、利用“业务部”成员进行登录。,5.3 组策略处理规则,一般性继承与处理规则 例外的继承配置 阻止策略继承 强制策略继承 过滤组策略配置 特殊处理的设置 强制处理GPO 慢速链接的GPO处理 环回处理模式 禁用GPO 改变管理GPO的域控制器,5.3 组策略处理规则,一般性继承与处理规则 组策略的配置具有继
12、承性,它的处理规则如下: 如果父容器的某个策略被配置,但其子容器的策略未被配置,则子容器将继承父容器的配置值。 如果子容器内的某个策略被配置,则此策略会覆盖由其父容器所传递下来的配置值。 组策略配置具有累加性。 当域、站点或OU之间的GPO配置发生冲突时的处理方法:,5.3 组策略处理规则,一般性继承与处理规则 组策略的配置具有继承性,它的处理规则如下: 当域、站点或OU之间的GPO配置发生冲突时的处理方法: 按优先顺序处理:站点GPO、域GPO、OU的GPO 即系统先处理“计算机配置”,在处理“用户配置”。如果发生冲突时,以“计算机配置”为主。 如果将多个GPO链接到同一个OU,那么所有的G
13、PO将被累加起来,作为最后的配置。,5.3 组策略处理规则,一般性继承与处理规则 例外的继承配置 阻止策略继承 强制策略继承 过滤组策略配置 特殊处理的设置 强制处理GPO 慢速链接的GPO处理 环回处理模式 禁用GPO 改变管理GPO的域控制器,5.3 组策略处理规则,例外的继承配置 阻止策略继承 可以通过选择子容器内“阻止策略继承”选项来设置不继承由父容器传递来的所有GPO配置。 即直接以子容器的GPO作为配置值。 如果子容器的值尚未配置,则采用默认值。,5.3 组策略处理规则,例外的继承配置 强制策略继承 可以在父容器中通过GPO的“禁止替代”选项强制子容器必须继承父的策略。 不论子容器
14、是否设置了“阻止策略继承”。,5.3 组策略处理规则,例外的继承配置 过滤组策略配置 指某个容器建立GPO后,此GPO的设置将被应用到这个容器内的所有用户与计算机。 也可以让此GPO不应用到特定的用户和计算机。,5.3 组策略处理规则,一般性继承与处理规则 例外的继承配置 阻止策略继承 强制策略继承 过滤组策略配置 特殊处理的设置 强制处理GPO 慢速链接的GPO处理 环回处理模式 禁用GPO 改变管理GPO的域控制器,5.3 组策略处理规则,特殊处理的设置 强制处理GPO 客户端的计算机在处理组策略的配置时,是将不同类型的策略交给不同的动态链接库(dynamic-link libraries
15、,DLL)进行处理与应用。 但有的时候无法自动将用户自行改变的配置恢复。 其解决办法: 强制要求client-side extension 处理每一个策略,不论该策略配置是否有变动。 如:要求“业务部”内的每一台计算机在每一次处理、应用策略时,必须处理、应用与软件有关的策略。,5.3 组策略处理规则,特殊处理的设置 强制处理GPO 其解决办法: 强制要求client-side extension 处理每一个策略,不论该策略配置是否有变动。 如:要求“业务部”内的每一台计算机在每一次处理、应用策略时,必须处理、应用与软件有关的策略。 “业务部”的组策略计算机配置管理模板系统组策略双击“软件安装策
16、略处理”启用该策略。 如果要让计算机强制处理、应用所有的计算机策略配置,可以用: Gpupdate /target:computer /force 如果要让用户强制处理、应用所有的用户策略配置,可以用: Gpupdate /target:user /force,5.3 组策略处理规则,5.3 组策略处理规则,特殊处理的设置 慢速链接的GPO设置 可以设置让域内的计算机自动检测它们与域控制器之间的链接速度是否太慢,如果太慢,可以设置不要应用位于域控制器内的组策略配置。 例:设置“业务部”的组策略,只要链接速度低于500Kbps,就视为慢速。,5.3 组策略处理规则,特殊处理的设置 环回处理模式
17、替代模式: 直接改由“服务器GPO”内的“用户配置”来决定用户的环境,而忽略掉“业务部GPO”中的“用户配置。 合并模式: 先处理“业务部GPO”中的“用户配置”,再处理“服务器GPO”内的“用户配置”, 若两者有冲突,则以“服务器GPO”内的“用户配置优先。,5.3 组策略处理规则,特殊处理的设置 禁止GPO 如果有需要,可以将整个GPO禁用, 也可以只禁用GPO内的“计算机配置”或“用户配置”。,5.3 组策略处理规则,一般性继承与处理规则 例外的继承配置 阻止策略继承 强制策略继承 过滤组策略配置 特殊处理的设置 强制处理GPO 慢速链接的GPO处理 环回处理模式 禁用GPO 改变管理G
18、PO的域控制器,5.3 组策略处理规则,改变管理GPO的域控制器 可以通过“DC选项”命令与组策略两种方法来改变管理GPO的域控制器。 利用“DC选项”,5.4 利用组策略来管理用户环境,将通过在GPO内的以下几个项目来说明: 管理模版策略 账户管策略 用户权限分配策略 安全选项策略 登录/注销、启动/关机脚本 文件夹重定向,5.4 利用组策略来管理用户环境,管理模版策略(常用的配置) 限制用户只可以运行指定的程序 隐藏在控制面板内指定的图标 禁用按“CTRL+ALT+DEL”组合键后所出现的对话框中的选项。 隐藏桌面上所有的图标 限制使用IE的“Internet选项”的部分功能 删除“开始”
19、菜单中的“关机”图标,5.4 利用组策略来管理用户环境,账户策略 注意: 对域用户来说:整个域只有一个账户策略,而且必须通过默认的Default Domain Policy GPO 来配置。 这个策略将被应用到域内的所有用户帐号。 即:将应用到域内帐号及所有域成员计算机内的本机用户帐号。 如果针对某个OU来配置帐号策略。 只会被应用到于此OU的计算机内的本机用户帐号而已。 但对位于此OU内的域用户帐号没有影响。,5.4 利用组策略来管理用户环境,账户策略 启动: 开始管理工具Active Directory 用户和计算机 右击域名称属性组策略 选择Default Domain Policy G
20、PO编辑 选择“计算机配置”Windows 设置安全设置帐户策略,5.4 利用组策略来管理用户环境,账户锁定策略 启动: 开始管理工具Active Directory 用户和计算机 右击域名称属性组策略 选择Default Domain Policy GPO编辑 选择“计算机配置”Windows 设置安全设置帐户锁定策略,5.4 利用组策略来管理用户环境,用户权限分配策略 可设置以域GPO为对象的权限分配, 也可以设置以域控制GPO为对象的权限分配, 也可以设置以某一组为对象的权限分配。,5.4 利用组策略来管理用户环境,用户权限分配策略 常用的权限策略说明: 允许在本地登录 拒绝本地登录 域
21、中添加工作站 关闭系统 从网络访问这台计算机 拒绝从网络访问这台计算机 从远程系统强制关机 ,5.4 利用组策略来管理用户环境,安全选项策略,5.4 利用组策略来管理用户环境,登录/注销 作用记事本建立“logon.vbs”文件,内容为: Wscript.echo “welcome,this is a logon script test” 以“业务部”为例 在“业务部”的组策略中编辑用户配置windows设置脚本登录 启动/关机脚本,5.4 利用组策略来管理用户环境,启动/关机脚本(针对于计算机) 建立“startup.vbs”和“shutdown.vbs”两个文件。 以“业务部”为例: 开始
22、管理工具Active Directory 用户和计算机 右击“业务部”OU“属性”组策略业务部GPO编辑 计算机配置Windows 设置脚本(启动/关机)启动,5.4 利用组策略来管理用户环境,文件夹重定向 利用组策略将“特殊文件夹”的存储位置,重定向到网络上的其它位置。 非域环境下的重定向 选中“文件夹”右击“属性”目标,的方法进行重定向。 域环境下的重定向 通过组策略来实现。,5.4 利用组策略来管理用户环境,文件夹重定向 了解“特殊文件夹” Application data 此文件包含用户在应用程序内的专属数据,如:个人设定数据。 桌面 包含用户自行在桌面上所建立的文件夹、文件及快捷方式
23、 我的文档 存储用户个人的文件的文件夹 【开始】菜单 存储用户个人【开始】菜单中的文件夹、快捷方式,5.4 利用组策略来管理用户环境,文件夹重定向 以“业务部”为例:可以通过两种方式将用户的文件夹重定向: 重定向业务部内所有用户的文件夹 重定向业务部内隶属于某个组的用户的文件夹 例:重定向“我的文档”,内容为“重定向业务部内所有用户的文件夹。,5.4 利用组策略来管理用户环境,文件夹重定向 重定向“我的文档” 1、在域内的任何一台计算机上建立一个文件夹,例如:C:Documents,同时确认SYSTEM与Creator owner帐号对此文件来拥有“完全控制”的NTFS权限。 业务部内所有用户
24、的“我的文档”文件夹都将被重定向到此数据内。2、将些文件夹设为“共享文件夹”,并赋予Everyone“完全控制”的共享权限。 建议:将共享文件夹隐藏起来,也就是共享名后加上$符号。例:documents$,5.4 利用组策略来管理用户环境,文件夹重定向 重定向“我的文档” 3、在域控制器上执行: 开始管理工具Active Directory 用户和计算机 业务部属性组策略业务部GPO编辑。4、用户配置Windows设置文件夹重定向右击“我的文件”属性5、在“根路径”中指向我们所建立的共享文件夹serverdocuments$。,5.4 利用组策略来管理用户环境,文件夹重定向 好处: 无论用户在
25、网络上任何一台计算机登录域,都可以访问此文件夹 定期备份,保证数据的安全 管理员可以通过“磁盘配额”设置来限制用户的“我的文档”在服务器内可用的空间。 重新安装系统后,对“我的文档”影响很小。,5.5 利用组策略部署软件,本节主要内容 软件部署概论 将软件发布给用户 将软件指派给用户和计算机 软件升级与重新部署 修改部署的软件 发布“非-MSI”的软件 软件部署的其它设置 软件包装程序,5.5.1软件部署概述,软件部署分为:指派和发布 一般来说,这些软件应为“Windows Installer package”,即这些软件内包含着一个扩展名为.msi的文件。 也可以部署扩展名为:.zap和.m
26、sp的软件。,5.5.1软件部署概述,软件部署之指派 指派给用户: 当用户登录时,软件会被通告给用户,但这个软件并没有真正的被安装,而是安装了与这个软件有关的部分信息。 如何才能被安装呢? 第一种:执行“开始所有程序双击该软件的快捷方式”或“双击桌面上的快捷方式”。 第二种:利用“文件启动”功能 即:假如被“通告”的程序为“EXEC”,当用户登录时,用户计算机会自动将扩展名为“.xls”的文件与“EXEC”进行关联,只要用户双击该类型的文件就会被自动安装。,5.5.1软件部署概述,软件部署之指派 指派给计算机: 当计算机启动时,软件会自动的安装在这些计算机中。 且安装在公用程序组内,即:Doc
27、uments and Settings all users 文件夹内。 任何人登录都可以查看。,5.5.1软件部署概述,软件部署之发布 指派给用户: 该软件不会自动安装到计算机内。需通过以下两种方式: 开始控制面板添加/删除程序添加程序。 利用“文件启动”,5.5.2将软件发布给用户,发布软件 建立软件发布点 是用于存储Windows Installer Package的共享文件夹。 步骤: 1、将此文件夹设为“共享”,并加$号以隐藏。如Package$ 2、在共享文件夹内建立一个用来存放“文件”的子文件夹,并放入文件。 3、开始管理工具Active Directory 用户和计算机“业务部”
28、OU属性组策略选取GPO编辑用户配置软件设置属性,5.5.2将软件发布给用户,发布软件 步骤: 4、在“默认程序包位置”输入软件的存储位置 注:必须是网络路径。 5、右击“软件安装”新建程序包选择要安装的.msi文件确定已发布。,5.5.2将软件发布给用户,发布软件 测试软件发布 取消软件发布,5.5.3将软件指派给用户或计算机,指派给用户 与发布类似。 在已发布的软件上右键选择“指派” 指派给计算机 与发布类似。 是通过“计算机配置”而不是“用户配置” 需另外设计“默认程序包位置”, 软件安装属性默认程序包位置 设置“指派”,5.5.4软件升级与重新部署,软件升级 可以将部署给用户或计算机的
29、软件升级到最新的版本。方法: 强制升级 不论是发布或指派新版的软件,原来旧版的软件都会被自动升级。 选择升级 不论是发布或指派新版的软件,原来旧版的软件都不会被自动升级。 用户可以通过:“开始控制面板添加/删除程序添加程序”的方法来升级。,5.5.4软件升级与重新部署,软件升级 升给步骤 1、将新版软件放到发布站点内。 2、开始管理工具Active Directory 用户和计算机“业务部”OU属性组策略选取GPO编辑用户配置软件设置软件安装新建程序包 3、部署软件对话框中选“高级”确定。 4、在“新版软件的属性”对话框内选“升级”标签。“添加”选择程序包的来源、确定升级方法。 5、确是中否为
30、“强制升级”。,5.5.4软件升级与重新部署,重新部署 对于一个已部署的软件,如果软件厂商新发行service pack(软件包)或补丁,则可以通过“重新部署”的程序,来为这个软件安装service pack(软件包)或补丁 两种情况: 后缀为.msi的文件直接将这些文件复制到windows installer package文件夹内,即将旧的文件覆盖即可。 后缀为windows install patch ,也就是后缀为.msp的补丁文件,运行以下更新命令。 Msiexec /p .msp文件的路径和文件名 /a .msi文件的路径和文件名。 如:msiexec /p c:testpatch
31、.msp /a c:packagescopywriter179.msi,5.5.4软件升级与重新部署,重新部署 完成上述操作后,在“组策略编辑器”中的“软件安装”右击该软件所有任务重新部署应用程序 重新部署后,用户的计算机何时才会安装该软件的service pack或补丁呢? 若该软件是指派给用户,则下一次用户登录时,该软件的快捷方式与登录值会被更新,但必须在用户开始运行此软件时,才会安装。,5.5.4软件升级与重新部署,重新部署 重新部署后,用户的计算机何时才会安装该软件的service pack或补丁呢? 若该软件是指派给计算机,则下一次计算机重新启动时,就会安装该包或补丁。 如果该软件是
32、发布给用户,且用户也已经安装了该软件,则下一次用户登录时,该软件的快捷方式与登录值会被更新,但必须在用户开始运行此软件时,才会安装。,5.5.5 发布非MSI软件,可以通过建立一个扩展名为.zap的文件,来将非window installer package 的文件部署给用户。 注: 它只能够被发布给用户,无法指派给用户或计算机 不具备自动修复等window installer package 才拥有的特性。 大部分安装过程需要用户介入 用户必须具备安装软件的权限,例如:系统管理员。,5.5.5 发布非MSI软件,创建方法: 1、创建 用于发布共享的文件夹,并将要发布的软件存放到该文件中 2、
33、在此文件夹内使用“记事本”建立一个扩展名.zap的文件。 文件内容如下: 【appllication】 Friendlyname=“文件名.扩展名” Setupcommand= 网络路径共享文件夹名,5.5.5 发布非MSI软件,创建方法: 3、设置“组策略” 4、添加共享的文件夹,5.6 软件限制策略,软件限制策略是利用“组策略GPO”来设置的。 如果本地计算机、域、站点与ou之间的设置有冲突时,优先级别为:由低到高 本地计算机策略 站点策略 域策略 OU策略,5.6 软件限制策略,软件限制策略规则 不爱限制(unrestricted)(默认) 即所有登录的用户都可以运行指定的软件(只要用户
34、拥有一定的权限) 不允许(disallowed) 不论用户对软件文件有哪种访问权限,都不允运行。,5.6 软件限制策略,软件限制策略规则 哈希规则 是根据软件程序(文件)的内容计算得出一连串固定数目的字节,由于它是根据软件程序的内容算出来的,因此不同的软件程序有着不同的“哈希”值。系统可用它来辨别软件。 当文件名改变或位置移动后,该软件的哈希值不变,针对该软件设置的哈希规则也不会改变。,5.6 软件限制策略,软件限制策略规则 证书规则 可以通过“证书规则”允许或拒绝用户运行某软件 其只适用于Windows Installer Package (.msi)与脚本(Scripts)。 不适用于.e
35、xe或.dll文件。,5.6 软件限制策略,软件限制策略规则 路径规则 可是用软件所在的路径来辨别软件, 例如:指定用户可运行位于某个文件夹内的软件。 常用的环境变量有“%userprofile% 、%windir%、 %appdata%、%programfiles%、%temp%” 若软件被转移到其他文件夹,则软件将不受此规则限制。,5.6 软件限制策略,软件限制策略规则 Internet区域规则 可以通过本地计算机、本地Internet、受信任站点、受限制站点与Internet等来识别软件。 例如:限制用户不能运行位于“受限制的站点”内的软件。 其只适用于windows installer
36、 package (扩展名为.msi)的文件。,5.6 软件限制策略,软件限制策略规则 规则的优先级别(由高到低) 哈希规则证书规则路径规则Internet区域规则,5.6 软件限制策略,启用软件限制策略 以“业务部 GPO”为例 开始管理工具Active directory 用户和计算机右击“业务部”属性组策略选择“业务部 GPO”编辑用户配置windows设置安全设置软件限制策略安全级别。,5.6 软件限制策略,启用软件限制策略 建立哈希规则 在如上图所示的图中“右击其它规则新建哈希规则单击浏览按钮。,5.6 软件限制策略,启用软件限制策略 建立路径规则 一般路径规则 例:如果利用文件夹规
37、则来限制用户不可以运行位于服务器共享文件内的所有程序,则设置如下: 其它规则新建路径规则。 注册表路径规则 例:如果用户要开放位于注册表路径: HKEY_LOCAL_MACHINESoftwaremicrosoftwindows ntcurrentversionsystemroot 所指定文件夹内所有扩展名为.exe的程序。,5.6 软件限制策略,启用软件限制策略 建立证书规则 启用证书规则 是通过组策略的GPO来设定 开始管理工具Active directory 用户和计算机右击“业务部”OU属性选择GPO编辑。 计算机配置windows设置安全设置本地策略安全选项双击“系统设置:为软件限制策略对Windows可执行文件使用证书规则”已启用。 建立证书规则 其它规则新建证书规则,5.6 软件限制策略,启用软件限制策略 建立Internet区域规则 其它规则选择“建立Internet区域规则”从“internet区域”处选择区域。,VB script,
