脚本和软件限制策略的应用

在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述：

1、脚本。

我们知道，在组策略中分为两大模块：计算机配置和用户配置。对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。

首先，我在域yinhe.com中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个 用户。

 

我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。

点击“精英计划”属性，点组策略。

 

然后新建策略

 

点编辑，既然对用户对策略，我们就对“用户配置”做配置。

 

我们先点开“登录”，然后点“添加”

 

这时我手动作一个“登录”脚本

好了，把这个做好的脚本粘贴到上面的面板中

 

好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本

 

不同的是在用户配置中点击“注销”

 

最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效）

 

到用户机器上看一下结果

用账号“张三”登录到域中

 

登录后就会出现“登录脚本”提示了

 

然后我们来注销“张三”这个用户

 

 

2. 软件限制策略

首先新建一条策略

 

编辑该策略（我们还是对用户进行配置）

 

 

点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。下面我就“哈希规则”做一下演示：

新建“哈希规则：

我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要对用户做软件限制，那我们必须将xp系统的cmd.exe文件先拷贝到服务器上，然后再浏览的这个文件的所在，就可以了！

我们先把xp系统的cmd.exe文件找到：

 

把这个文件拷贝到域服务器上，我放到桌面好了：

 

这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数，安全级别为“不允许的”，即是说用户无法使用cmd.exe这个程序。

 

然后立即刷新组策略

 

到用户机器上验证结果，用“李四”登录：

 

在登录后运行cmd程序

 

可以看到此时已受限制了。

 

实验完毕。