1、Windows Server Windows Server 活動目錄企業應用（微課版）活動目錄企業應用（微課版）項目項目5 5 利用組策略部署利用組策略部署軟件與軟件與限制軟件限制軟件運行運行楊云楊云 主編主編項目背景項目背景我們可以通過AD DS組策略來為企業內部用戶與計算機部署（deploy）軟件，也就是自動為這些用戶與計算機安裝、維護與刪除軟件。同時還可以為軟件的運行制訂限制策略。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行項目目標項目目標軟件部署概述將軟件發布給用戶將軟件分配給用戶或計算機啟用軟件限制策略利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運

2、行5.1 軟件部署概述軟件部署概述利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 可以通過組策略將軟件部署給域用戶與計算機也就是域用戶登錄或成員計算機啟動時會自動安裝或很容易安裝被部署的軟件，而軟件部署分為分配（assign）與發布（publish）兩種。一般來說，這些軟件必須是Windows Installer Package（也被稱為MSI應用程序），也就是其內包含擴展名為.msi的安裝文件。5.1.1 將軟件分配給用戶將軟件分配給用戶 將一個軟件通過組策略分配給域用戶后，用戶在任何一臺域成員計算機登錄時，這個軟件會被通告( advertised)給該用戶，但此軟件并沒有

3、被安裝，而只是安裝了與這個軟件有關的部分信息而已，例如可能會在開始窗口或開始菜單中自動建立該軟件的快捷方式（需視該軟件是否支持此功能而定）。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 用戶通過單擊該軟件在開始窗口（或開始菜單）中的快捷方式后，就可以安裝此軟件。 用戶也可以通過控制面板來安裝此軟件，以Windows 8.1客戶端來說，其安裝方法為【開始菜單控制面板單擊程序處獲得程序】。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 當您將一個軟件通過組策略分配給域成員計算機后，這些計算機啟動時

4、就會自動安裝這個軟件（完整或部分安裝，視軟件而定），而且任何用戶登錄都可以使用此軟件。用戶登錄后，就可以通過桌面或開始窗口（或開始菜單）中的快捷方式來使用此軟件。5.1.2 5.1.2 將軟件分配給計算機將軟件分配給計算機5.1.3 5.1.3 將軟件發布給用戶將軟件發布給用戶 當將一個軟件通過組策略發布給域用戶后，此軟件并不會自動被安裝到用戶的計算機內，不過用戶可以通過控制面板來安裝此軟件，以Windows 8.1客戶端來說，其安裝方法為【開始菜單控制面板單擊程序程序處獲得程序獲得程序】。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行5.1.4 5.1.4 自動修復軟件自動

5、修復軟件利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 被發布或分配的軟件可以具備自動修復的功能（視軟件而定），也就是客戶端在安裝完成后，若此軟件程序內有關鍵性的文件損毀、遺失或不小心被用戶刪除則在用戶執行此軟件時，系統會自動檢測到此不正常現象，并重新安裝這些文件。5.1.5 刪除軟件刪除軟件 Windows Server 2012( R2)具備Active Directory回收站功能，它讓系統管理員不需要進入目錄服務還原模式，就可以快速恢復被刪除的對象。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行5.2 軟件限制策略概述 在5.3.2節中介紹過如何利用

6、文件名來限制用戶可以或不可以運行特定的應用程序，然而若用戶有權修改文件名，就可以突破此限制，此時我們仍然可以通過本章的軟件限制策略進行控制。此策略的安全等級分為下面3種。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 不受限：所有登錄的用戶都可以運行特定的程序（只要用戶擁有適當的訪問權限，例如NTFS權限）。 不允許：無論用戶對程序文件的訪問權限為何，都不允許運行。 基本用戶：允許以普通用戶的權限（分配給users組的權限）來運行程序。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 系統默認的安

7、全級別是所有程序都不受限，即只要用戶對要運行的程序文件擁有適當訪問權限，他就可以運行此程序。不過您可以通過哈希規則、證書規則、路徑規則與網絡區域規則來建立例外的安全級別，以便拒絕用戶運行所指定的程序。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行5.2.1 哈希規則 哈希( hash)是根據程序的文件內容所算出來的字符串，不同程序有著不同的哈希值，所以系統可用它來識別應用程序。在您為某個程序建立哈希規則，并利用它限制用戶不允許運行此程序時，系統就會為該程序建立一個哈希值。而當用戶要運行此程序時，其Windows系統就會比較自行算出來的哈希值是否與軟件限制策略中的哈希值相同，若

8、相同，表示它就是被限制的程序，因此會被拒絕運行。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 5.2.2 證書規則 軟件發行公司可以利用證書（certificate）來簽署其所開發的程序，而軟件限制策略可以通過此證書來辨識程序，也就是說您可以建立證書規則來識別利用此證書所簽署的程序，以便允許或拒絕用戶運行此程序。5.2.4 5.2.4 路徑規則路徑規則 可以通過路徑規則來允許或拒絕用戶運行位于某個文件夾內的程序。由于是根據路徑來識別程序，故若程序被移動到其他文件夾，此程序將不會再受到路徑規則的約束。利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 除了文件夾

9、路徑外，您也可以通過注冊表路徑來限制，例如開放用戶可以運行在注冊表中所指定的文件夾內的程序。 5.2.4 5.2.4 網絡區域規則網絡區域規則利用組策略部署軟件與限制軟件運行利用組策略部署軟件與限制軟件運行 可以利用網絡區域規則來允許或拒絕用戶運行位于某個區域內的程序，這些區域包含本地計算機、Internet、本地Intranet、可信站點與受限站點。 除了本地計算機與Internet之外，您可以設置其他3個區域內所包含的計算機或網站：【打開網頁瀏覽器Internet Explorer按下Alt鍵單擊工具菜單lnternet選項單擊圖5-1中的安全選項卡選擇要設置的區域后單擊“站點”按鈕】。利用組策略部署軟件與限制軟件運行利用組策