Windows XP Windows7中怎样设定来宾账户能使用哪些软件,不能使用哪些(据说在工作组中设置,但我没捣鼓出来)
能打开组策略,但里面没有设置来宾账户具体能用哪些软件的项目哟
如果是指定软件安全策略那个风险很高小心设置。
计算机配置-windows设置—安全设置—软件限制策略 新建
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击 “设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
域环境下策略的应用
这部分的内容比较复杂,因此我们通过两个简单些的实例来说明,我们要学习怎样通过网络部署软件,以及安全模板的使用。下面的例子中作为域控制器的是Windows Server 2003,而客户端是Windows XP Professional。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,而因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力。
什么是域?活动目录是由组织单元、域、域树、森林构成的层次结构。域作为最基本的管理单元,同时也是最基层的容器,它可以对用户、计算机等基本数据进行存储。
域控制器是安装了活动目录的Windows Server计算机。域控制器存储着目录数据,并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。
组织单元也是逻辑单位,同域一样,目的是为了管理的方便。可以包含用户和用户组,以及计算机,不过组织单元仍属于域的一部分。
怎样安装域控制器?在已经安装好的Windows 2000 Server和Windows Server 2003计算机上运行dcpromo.exe后会启动活动目录安装向导,按照向导的提示输入相应的信息后就可以将服务器配置为域控制器。
客户端怎样加入域?除了Windows XP Home,其余版本的主流Windows操作系统都可以加入域。以Windows XP Professional为例,在系统属性对话框的计算机名选项卡下点击“网络ID”按钮后可以选择加入一个域。对于加入域的计算机,我们既可以使用本机账户登录系统,也可以使用域账户登录系统。使用域账户登录后可以使用域中所有具有权限的资源。
软件部署
我们要进行的是通过软件部署给单位里所有Windows XP客户端计算机安装SP1。首先到微软网站下载SP1的安装文件(sp1.exe),保存到域控制器上一个共享文件夹中(c:\deploy),然后在域控制器上运行以下命令:c:\deploy\sp1.exe /x,并在出现的“为提取的文件选择目录”对话框上直接按下确定键,使用默认目录。
在域控制器上运行dsa.msc打开Active Directory用户和计算机控制台,可以看到下图所示的界面,这里显示了域中的所有对象。
在我们要部署SP1的管理单元(local)上点击鼠标右键,并选择属性,可以打开local属性对话框。
我们需要做的就是在这个对话框的组策略选项卡上配置安装SP1的策略。点击“新建”按钮后可以在上方的列表中新建一条策略,接着需要给这个策略命名,可以选择一个代表其功能的名字(例如这里我们使用“SP1 Install”),然后双击这条策略,可以看到一个和我们平常使用的组策略编辑器类似的窗口,不过从名字我们就可以看出,在这个窗口中可以对整个组织单元中所有的计算机设置一样的策略。在窗口左侧的树形列表中展开“计算机配置-软件设置-软件安装”,并选中“软件安装”。然后在“操作”菜单下依次选择“新建-程序包”,接着在新出现的对话框中进入deploy\update文件夹,并双击加入update.msi(注意,在这里不是直接通过我的电脑进入C盘并选择这个文件,而是通过网上邻居来找到这个共享文件夹并选择文件。即这个update.msi文件在本例中所用的路径应该是\\2k3\deploy\update\update.msi,而不是c:\deploy\update\update.msi。因为虽然在服务器上这两个路径实际上代表了同一个位置,但是对于其他客户机,则只能识别前一个路径)文件。随后系统会询问部署方法,选择“已指派”,然后继续。稍等片刻后可以从窗口右侧的面板中看到我们新加入的软件。这样,以后所有加入到这个域中的客户机在重启动登录时都会首先检查有没有装这个软件,如果已经安装,则继续登录过程;否则就会自动从服务器上下载安装文件并开始安装。
基本上,所有通过Windows Installer技术安装的软件都可以通过这种方式批量部署给所有域中的客户机来安装。某些软件,虽然也使用了Windows Installer技术,但是安装文件可能只是一个exe文件(例如MSN Messenger),对于这种情况,一种简单的方法就是直接用WinRAR等压缩软件打开这个exe文件,并从中提取msi文件用于批量部署。这种部署方法的客户端可以是Windows 2000、Windows XP Professional或Windows Server 2003。
安全策略和安全模板
虽然大部分策略在系统中都有说明,但是这里还是要向你提一下一类比较特殊的策略,安全策略!现在电脑的安全问题已经越来越引起人们的关注,虽然很多不负责任的说法都是说Windows仿佛漏勺那样浑身都是漏洞,不过经过恰当的配制,Windows的安全性还是可以得到很大的提高。本刊五月份曾经介绍过安全策略相关的内容,因此建议大家在看到这部分的时候先找回之前的杂志重新复习一下,然后继续看。
安全策略的备份和恢复
在辛苦配置好所有的安全策略之后,你一定希望能把这些设置保存起来供以后参考;或者希望能备份这些设置,这样还可以在重装系统后还原回来;甚至你可能会想直接把这些安全策略设置应用到其他计算机上。另外,对于网络管理员,可能经常需要查看每台客户机的安全策略设置是否有任何问题,或者需要把同样的安全策略应用到多台电脑上。有什么好办法吗?接下来我们要介绍的组策略模板和安全配制和分析工具能够帮助我们。