以下内容摘自《网管员必读——网络管理》(第2版)一书。
8.5.3 “软件限制策略”的应用
为了充分理解“软件限制策略”的应用,本节要向大家介绍它的具体应用示例。因为篇幅关系,在此仅介绍一个示例,这也是大家经常问到的。这就是通过软件限制策略来限制网络中除域管理员外所有其他计算机使用QQ、MSN工具进行聊天。
这个功能当然也可以通过像聚生网管、网路岗等网络管理工具软件来实现(具体参见本系列丛书的《网管员必读——超级网管经验谈》(第2版)一书)。但那些软件是需要付费的,本节介绍通过组策略来实现的方法。但要注意,这个方法仅适用于网络中使用同一个QQ版本的情形。如果网络中有不同版本,则每一版本按以下的方法创建一个规则。下面是具体的步骤:
(1)如果要使所创建的限制策略适用于整个域,则需要在GPMC上为域组策略中创建一个GPO,因为最好不要直接在默认的域GPO上进行限制限制策略,这一点我们在站节已有介绍;如果要是适用于某组织单位,则可以在相应组织单位的GPO上进行配置。本例以Sales组织单位为例进行介绍。
(2)在Sales组织单位GPO上单击右键,在弹出菜单中选择“编辑”选项,打开Sales组织单位GPO编辑器。
(3)在“计算机设置”节点下的“安全设置”策略项中找到“软件限制策略”选项(参见图8-65),单击右键,在弹出菜单中选择“创建软件限制策略”选项,随即在右边窗口中显示了软件限制策略中的一些策略选项,如图8-69所示。
图8-69 新创建的软件限制策略选项
(4)因为各用户的QQ、MSN程序的安装位置不可能完全一样,而且用户对这类程序的安装位置也可以随意更改,所以我们不能采取“路径规则”来限制用户对QQ、MSN程序的使用。在此我们以“哈希规则”进行限制。在“其他规则”策略选项上单击右键,在弹出菜单中选择“新建哈希规则”选项,打开如图8-70所示对话框。
在这里先创建限制使用QQ程序的规则,在“文件哈希”文本框右边通过“浏览”按钮找到QQ.exe程序,系统会自动给出这个规则的哈希值,同时在“文件信息”列表中也会给出相应的文件信息。
(5)在“安全级别”下拉列表中选择“不允许的”选项,然后单击“确定”按钮完成限制运行QQ程序的哈希规则创建。
然后用同样的方法创建限制使用MSN程序的哈希规则。
(6)最后还要把本地管理员的限制排除。方法是双击如图8-68所示窗口的“强制”策略选项,打开如图8-71所示对话框。在其中要选择“除本地管理员以外的所有用户”单选项。如果要使策略应用于相应程序的所有.dll文件(这样更严厉),就可以在如图8-71所示对话框中选择“所有软件文件”单选项。最后单击“确定”按钮使设置生效。
通过以上设置后,在Sales组中的所有计算机都不能运行QQ和MSN程序文件了,无论这两个程序的安装位置如何变化,安装目录名如何改变,都将生效。如果要针对其中的用户来限制,则需要在组策略“用户设置”策略项下的“软件限制策略”项中进行配置。
图8-70 “新建哈希规则”对话框 图8-71 “强制属性”对话框
另外,用组策略的“不要运行指定的windows应用程序”策略项也可以配置,大家可以试一下。
