何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置
策略实现?
可以考虑“power users”组,改组是受限制的。
尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。
如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。
“受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置:
计算机配置\windows 设置\安全设置\受限制的组
通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制
的组。
如果某个组受限制,您可以定义该组的成员以及它所属的其他组。
不指定这些组成员将使该组完全
受限。
只有通过使用安全模板才能使组受限。
查看或修改“受限制的组”设置:
.打开“安全模板管理控制台。
注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。
要添加它,请启动microsoft
管理控制台(mmc.exe) 并添加“安全模板”加载项
2.双击配置文件目录,然后双击配置文件。
3.双击“受限制的组”项。
4.右键单击“受限制的组”
5.选择“添加组”
6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。
注意:通常这会使列表的顶部显示一个本地计算机。
7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。
单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。
选择需要限制的组,然后单击“确定”。
单击“添加组”对话框上的“确定”来关闭此对话框。
对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有
用户或组将从安全模板中删除。
为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。
对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。
如何使用组策略的进行软件分发和如何制作.msi文件?
软件分发是这样进行的:分配应用程序打开“软件安装”管理单元,单击控制台中的“软件安装”节点。
位置:group_policy_object_name-计算机配置(或用户配置)- 软件设置- 软件安装,右键单击详细信息窗格,单击“新建”,然后单击“软件包”。
在“打开”对话框中,单击要分配的“windows 安装程序”软件包,然后单击“打开”。
(“打开”对话框将显示位于默认软件分发位置的软件包。
有关如何设置默认软件分发位置的指示,请参阅相关主题。
)如果windows 安装程序包位于不同的网络共享位置,请单击“浏览”查找该软件包的分发位置。
在“部署软件”对话框中,单击“已分配”,然后单击“确定”。
有很多软件都可以制作msi文件,比如advanced installer,微软光盘也自带一个,不过并不好用,建议找第三方的工具。
域环境下,有很多职员可以用软件或光盘把本地帐号的密码破解的,请问有没有办法把本地管理员帐
号删除掉?或有没有更好的方法?
内置的本地管理员帐户是众所周知的帐户名,易于成为攻击者的目标。
建议您另外为该帐户选择一个名称,并且避免使用可表明管理身份或较高的访问权限帐户的名称。
同时,务必还使用“计算机管理”控制台来更改本地管理员的默认描述。
如果对此帐户进行了重命名,但是忘了更改默认描述:“管理计算机(域)的内置帐户”,这不足以职员的注意力。
还一定要记住,如果允许匿名帐户枚举系统上的用户,在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。
如果使用“帐户: 重命名系统管理员帐户”设置,重命名此帐户及其描述,会强制攻击者在破解此帐户时,必须找出帐户名和密码,而不是只找出密码。
重命名后的帐户名及其描述不应当包括以下术语:root、su、admin、adm 或supervisor。
因此,建议使用“帐户: 重命名系统管理员帐户”设置,将此帐户重命名为不表明管理或较高特权访问帐户的名称。
这就是孙子兵法的
迷魂阵。
在部署策略时,遇到了冲突。
同事都不明白是怎么回事?
这是因为组策略有优先级,你要记住这些规则:计算机策略覆盖用户策略;不同层次的策略产生冲突时,子容器上的gpo优先级高;同一容器上多个gpo产生冲突时,处于gpo列表最高位置的gpo优先
级最高。
总体原侧就是:后执行的优先级高。
这样,处理方法是:
变更组策略的应用顺序;阻止继承;强制(禁止替代);避免变更应用顺序。
为了更好的理解,我在这里列举一个例子一起分析一下。
部署组策略时遇到冲突,如何调整要根据实际情况进行分析。
由于你没有说明是在什么情况下部署的组策略。
那么我要分几个情况来讲述。
如果对计算机和对用户的组策略发生冲突,则在缺省情况下,针对计算机的组策略优先;如果是本地组策略和域中组策略发生冲突,那么就要分析一下:如果是域环境下是是域安全策略生效,如果是本地用户登录,则是本地安全策略起作用。
由此我们知道了这个问题的实质就是优先级的高低。
本地组策略对象存储在各个本地计算机上。
一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。
如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。
如果不冲突,则都可以应用。
_7Q4X U-n7b W(T
假设我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。
"I
l4r } |/v
一、同一ou上多个组策略
我们先在“active directory用户和计算机”中新建一个ou(组织单元)“1”,并在其中新建一个用户“lzy”。
然后我们给“1”这个ou建立两个组策略:一个命名为“有‘网上邻居’”,并对其进行配置,停用“隐藏桌面上的‘网上邻居’图标”这一项目;另一个命名为“无‘网上邻居”’,并对其进行配置,启用“隐藏桌面上的‘网上邻居’
图标”这一项目。
当这两个互相存在冲突的策略同时作用于ou“1”时,以排在最上面策略为准(策略由下而上执行,以最后执行的为准)。
即用户chen登录时桌面上还是有“网上邻居”图标的.
如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”,或者两者都设置了“禁止替代”,则以排在下面的“无‘网上邻居’”为准,即ou“1”中的用户lzy登录时桌面上将没有“网上邻居”图标。
其原因是“禁止替代”具有强行执行的效力,并且,依据“禁止替代的权限不可下降”的原则,先执行的“不可替代”项目将屏蔽
掉其后执行的“禁止替代”项目。
二、父ou和子ou
在域上新建ou“2”,并建立它的子ou“2(1)”,同时在子ou“2(1)”中建立用户“yangsir”。
在父ou“2”上新建一个组策略“无‘网上邻居’”,并对其进行相应配置;在子ou“2(1)”上新建组策略“有‘网
上邻居’”,并对其进行相应配置。
大家知道一个ou上的组策略在默认情况下是要继承到其子ou上的。
而这时子ou中的策略项目和其父ou上的项目存在冲突。
在这种情况下,以子ou上的项目为准(先执行父ou上的策略,后执行子ou上的策略,以后执行的为准),即子ou中的用户yangsir登录时,桌面上仍然有“网上邻居”图标。
另外,与第一种情况相同,如果父ou“2”上的“无‘网上邻居’”策略设置了“禁止替代’,即便是子ou“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”,其最终执行结果依旧以先执行的父ou为准,即桌面无“网上邻居”。
三、“阻止策略继承”与“禁止替代” A
“阻止策略继承”将阻断子ou从父级ou乃至更高级ou或域上继承组策略设置。
而在父级ou的策略上设置“禁止替代”,将使设置在子ou上的“阻止策略继承”失效。
即这时用户yangsir登录时,产生效果的依旧是从父级ou上继承下来的,被设置为“禁止替代”的策略——“无‘网上邻居’”,这时桌面上将没有“网上
邻居”图标。