在域内用组策略限制软件运行

公司里有时候会要求限制一些软件在电脑上运行,比如CS,以免公司员工在下面玩游戏

不用上网行为管理之类的,我们只用域本身的组策略可不可以实现呢,答案是可以的!

我们就用飞秋这个软件来简单说一下:

组策略有优先级,记住这些规则:

计算机策略覆盖用户策略;

不同层次的策略产生冲突时,子容器上的gpo优先级高;

同一容器上多个gpo产生冲突时,处于gpo列表最高位置的gpo优先级最高。

本地策略<站点<域<OU;

所以你本地策略优先级是最低的!

运行dsa.msc或在管理工具里打开Active Directory用户和计算机

image

我们假如要给BB这个组织单位(OU)做一个禁止飞秋的限制策略,可以右建它,属性,里面找到组策略

  

因为我之前装了组策略管理工具

image

所以它会强制你使用这个工具,点击打开,

image

看下它里面

image

装完这个之后,在管理工具里也可以找到它,你直接打开它就行

image

我已经在BB下面建了一个stop feiq的策略

打开看下,右键策略,点编辑就行

我们看到我在定义在用户配置下了,计算机配置下也可以,不过OU里要有你要的计算机才行

image

一共有4种规则

image

我建了一个路径规则和哈希规则:

路径规则就是程序所在的位置,程序换一个位置就不起作用了。

哈希规则只是对固定的一个版本有效,换一个版本就不起作用了,只要找到程序,打开就可以了!

还有证书规则,有证书的程序,在属性里可以导出证书,在打开程序的时候,有证书的程序,也可以自动识别到证书

再有就是区域规则,针对IE里的站点的!

所以,证书规则是最好的!

这是哈希规则创建时的情况

image

安全级别里一般都默认不受限,否则,在这个策略管辖范围内的所有人所有软件都不能运行了,而不论你定的什么规则!

image

这个强制里面,可以指定受限对象和受限类型

image

image 

如果不对管理员应用规则,就可以在这里设置

image

从上面这个图我们可以看到BB这个OU的策略要比域里的默认策略优先级高,所以会先执行

设置完规则记得运行gpupdate /force这个命令,更新组策略,客户端也要执行这个命令,或者干脆注销或重启,不然它有个生效的时间,域控制器5分钟更新一次,客户机90分钟更新一次

在客户机上可以执行rsop.msc查看执行结果有没有生效,当然如果生效,运行程序时会提示你

image

如果客户机是WIN7,在服务器执行gpupdate /force时会要求你注销才能生效

当然WIN7的提示和XP的提示有点区别,区别就是没有这么多字了,哈哈!

如果多个OU应用同一个策略,可以在创建完一个后剩下的都链接现有GPO就可以了!

 

一般情况下,域中的组策略会从父容器传递到子容器,使用 Active Directory 用户和计算机可查看这一点。组策略不会从父域继承到子域,例如,从 wingtiptoys.com 到 sales.wingtiptoys.com。“Active Directory 域和信任关系”(可用于管理这种类型的关系)与组策略无关。

也就是说如果如果一个OU里面还有OU,里面的OU都会默认执行上层OU的策略,如果不想应用上面的策略,就可以设置阻止继承,“阻止策略继承”选项只能在域和组织单位上设置,而不能在单个组策略对象上设置。

 

上面如果勾选阻止策略继承,假如上层OU做了与这个策略相反策略,比如允许执行飞秋软件,则上层策略也不会覆盖这个策略,如果上层OU没做这样的策略,则默认也不会覆盖这个策略

如果上层OU要强制下层OU使用它的策略,哪怕你下层OU做了相反的策略,那我们可以这样设置

在上层OU策略中,选项打开,选中“禁止替代”复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略相冲突,或者即使已为子容器设置了“阻止继承”选项。

如果你做了一个错的策略,把所有人都限制了,包括域管理员,肿么办呢,我就遇到过这,哎,伤不起

运行mmc,文件,添加或删除管理单元,添加,组策略对象编辑器,添加,然后浏览,可以在相应的OU下找到你定义的策略,你可以直接把它删除了,或再编辑都是可以的!

你可能感兴趣的:(组策略,限制软件,域组策略软件限制规则)