组策略限制软件运行

转载自http://gnaw0725.blogbus.com/logs/36359065.html

 

组策略限制软件运行。客户部署了windows 2003域环境，所有客户端机器都加入了域。每位用户都有一个域帐号，同时也拥有本机管理员的帐号。先在客户的管理层要求普通用户禁止使用迅雷，电驴等严重消耗网络资源的程序，希望能利用组策略的技术阻止这些程序运行（不管用户用何种权限登录）。我们查看了关于软件限制策略的帮助，描述的比较简略。初步在一个测试OU上做评估，使用创建hash规则进行限制，发现客户端仍可以运行相应程序。能否帮忙指导一下配置思路，帮助应对客户的这种需求。

回答：根据您的描述，我对这个问题的理解是：公司需要禁止用户使用迅雷/电驴等大量消耗网络资源的软件，这些用户都有工作站上的本地管理员帐号。您的初步构想为使用软件限制策略中的哈希规则实现，结果发现客户端的程序仍在运行。这个问题确实存在普遍性，解决方案也很多，而且各有优劣。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

使用哈希规则限制软件的使用是个很好的方法，由于哈希值的唯一性，可以使用组策略根据程序的哈西值拒绝用户运行该程序，不论该程序的名字和路径都有效。但也正因为这个原因，如果用户使用的软件的版本不一样，则该软件执行文件的哈希值也不一样，也就无法被软件策略限制了。

在您的环境中，就使用哈希规则而言，建议确认两个方面：
1. 确认软件限制策略是定义在计算机配置上而非用户配置；因为用户可以使用本地用户登录而非域用户。
2. 确认所有已知版本的迅雷/电驴程序的哈希值都加入到了软件限制策略。

该操作很费时，而且就算所有的版本都被定义为拒绝，由于用户有本地管理员帐号，用户可以采用一种极端的做法将计算机退出域，所有策略都会失效。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

因此，在用户有本地管理员帐号时，单纯使用软件限制策略会有些问题。这种情况下，从网络的角度进行限制效果会起到互补的作用。比如：
1. 可以在网络中部署代理服务器，然后在客户端上安装代理服务器客户端软件，然后在代理服务器上对软件的网络访问进行限制。
2. 可以在代理服务器或防火墙上限制用户允许使用的带宽。
3. 在域中部署IPSec策略，使客户机如果不加入到域就不能够进行网络通信。

以上措施再配合规章制度，就能将这个问题完全解决。

穆骥 微软全球技术支持中心

hash的问题排查请参考 不能应用哈希规则|活动目录域软件限制策略
软件限制的非技术层面问题，请参考 从软件限制策略到用户解决方案

软件限制的相关文章请参考 软件限制策略的优先级是怎么样的|活动目录域组策略执行优先级活动目录SEO
-- gnaw0725