限制域内用户计算机的上的某些软件或工具的运行(第五节)

本节主要任务是实现在域环境下限制域内计算机的一些的操作或功能,想象一下,如果在一个公司里如果每个员工在上班期间不认真工作而利用公司上网的便利玩一些游戏什么的,那是多么的浪费公司的网络资源,所以为了避免这种情况的发生,我们对域内的计算机做了一些限制,来使员工能够在上班期间充分利用公司网络资源,踏实完成自己的工作。

接下来讲解一下实现的过程:

首先,在域控中找到你想要限制的那个软件的运行程序,在计算机磁盘里新建一个文件夹,文件夹名自定义,我这里的文件夹名是test,将这个软件的运行程序放进新建的文件夹中,并将这个文件夹共享,共享时选择Everyoe,权限设置为读取权限。做完共享以后在计算机中打开服务器管理器,在“功能”下有一个组策略管理,在开始菜单—管理工具下同样也有组策略管理,这个在哪个下面打开都是一样的。接下来展开组策略管理,展开以后会看到有对整个域设置策略的Default Domain Policy,还有对域控制器设置策略的DefaultDomain Controllers Policy,这两个都是可以编辑的GPO,在一个公司会有不同的部门,那么对不同的部门设置不同的策略也可以在不同的部门下新建GPO,并编辑它,在这里我们是对整个公司的电脑进行限制,所以就直接编辑DefaultDomain Policy就行了,选中这个GPO右击编辑,会弹出一个组策略编辑器,打开用户配置下的策略—windows设置—安全设置——软件限制策略,如果限制软件策略还没有定义的话,可以在“操作”中创建软件限制策略,创建完成以后,会出现一个“安全级别”和“其他规则”,单击打开安全级别,在安全级别里面会看到有个“不允许”的限制策略,双击打开这个策略,并将其设置为默认,点击确定,另外再单击打开“其他规则”,打开以后可以在这个“其他规则”里面新建许多不同的原规则,比如:证书规则或者哈希规则等,因为哈希规则不可逆,也比较方便,所以在这里我们新建的是哈希规则,在新建的哈希规则里要输入文件信息,在这里我们不用直接输入,可以直接点击浏览找到你想被制定哈希规则的文件(也就是想要限制的那个文件,在这里选择刚开始共享的那个文件夹就行了,注意:选择共享的文件夹时一定要在左边的“网络”中选择而不能在本地“计算机”中选择,如果网络中找不到的话可以在最下面的文件名中直接输入文件的路径,格式如下:\\192.168.200.121\test)。输入完路径以后,打开共享的文件夹,选择文件夹中的软件运行程序,并打开,打开之后会在新建哈希规则的文件信息中生成一串信息,然后把下面的“安全级别”设置为不允许,再往下面的“描述”可写可不写,最后点击确定。

做完以上步骤之后在在域控打开运行刷新策略,在客户端重启以后,被限制的软件就不能够运行了,