[组策略分发-降级客户端登陆用户成为受限用户]经验交流(IT)幻灯片.ppt

,黄海泉时间:2008-08-17,域策略分发-降级客户端登陆用户成为受限用户经验交流,2,5/18/2020,目标和要求,目标：由于公司现行的个人电脑登陆时的域用户都具有本地管理员的权限,基于安全和盗版软件控制考量,计划在OFFICE部门下发域策略,使登陆个人电脑的域用户降级为受限用户.,要求：1.策略实施后受限用户权限:考虑到用户的实际需求,我们策略实施的受限用户的权限=普通受限用户+(配置网络属性,更改时间,关闭计算机)的权限.普通受限用户是本地Users组的成员,且“不是”任何管理组的成员.在加入域的计算机上,属于DomainUsers组的帐户也都属于本地Users组.普通受限用户权限只有查看,运行,读取的权限,如不能安装软件,修改系统配置等.2.所有部门经理和经理以上级别的不下发域策略.,3,5/18/2020,策略实施必要性,一.安全性增强用户以受限用户帐户登录，在这些用户的上下文中运行的程序只能对操作系统进行最小的更改,显著降低安装和运行恶意软件的能力，提供了安全性而不影响用户执行其任务,主要方面:1.降低恶意软件攻击的风险2.保护公司及其计算机资产免遭攻击者利用二.可管理性增强1.标准化管理:如果用户能够安装软件和进行系统范围的配置更改时,会不可避免地产生管理复杂性.2.用户和管理员之间划定明确的管理界限:此界限可以让用户和网络管理员各司其职,用户集中精力执行他们的工作,而网络管理员负责管理基础结构.,4,5/18/2020,策略实施必要性,三.工作效率提高1.客户端计算机配置稳定保持工作效率:如果用户不能更改他们计算机的配置，这些计算机将更稳定,从而可以减少停机时间并保证工作效率.2.减少恶意软件控制计算机,也将提高工作效率.四.成本降低受限用户可帮助阻止安装未经授权的,无许可证的或恶意的软件,如果系统感染和受控这些恶意的软件将显著增加,如恶意软件占用的Internet带宽;硬件和软件的独特的、未经测试的组合;对操作系统进行的未知更改对资源的额外消耗等等.五.盗版软件控制能够有效控制盗版软件安装,减少侵权和法律责任问题.,5,5/18/2020,完成状况,策略分发完成状况HGSTSZSITE完成状况除了GlobalITandHeadadvancetestengineering部门外,已经完成其他所有部门的组策略分发,目前被分发的用户运行状况良好.,6,5/18/2020,计划状况,管理工具我们可使用微软提供的免费GPMC组策略管理工具.主域策略在顶级域上推行主域策略,完成用户具有配置网络属性,更改时间,关闭计算机的权限.OU策略考虑到公司大范围同时分发域策略可能的承担的风险，我们新建计算机OU,对各个部门分批实施策略的分发.,7,5/18/2020,实现过程一,环境构建一.使用GPMC工具管理组策略:在一台域成员服务器上以域管理员的身份安装此管理工具,此软件可到微软官方网站下载:,8,5/18/2020,实现过程二,编写脚本一.编写vbs脚本,此脚本实现将本地管理员组只保留administrator和DomainAdmins,其它的用户和组均被剔除,实现用户登陆的帐号只为普通用户,同时把被剔除的用户加到NetworkConfigurationOperators组,使用户具有配置网络属性的权限.二.编写bat脚本,此脚本修改一些应用程序的NTFS权限,如Notes等,这些程序需要对本地有读写的权限.三.如下两个脚本vbs和bat可为参考:,9,5/18/2020,实现过程三,策略实施一.受限用户的实施:1.在顶级域上用实施组策略对象GPO_1,完成更改时间,关闭计算机权限的分发.2.在新建的OU上实施组策略对象GPO_2,通过在计算机启动脚本中运行vbs和bat脚本,完成降级域用户权限和可配置网卡属性的权限.基于1,2完成受限用户的实施后,用户只要重启计算机后就生效.二.策略的分步实施:可按照部门分批实施域策略,突发问提发生时具有可控性.,10,5/18/2020,存在有问题的事件,存在问题和解结方法用户在应用组策略后,可能会出现以下问题:1.问题:Lotus不能正常使用解结方法:Lotus安装目录和数据目录都应该给予Users组写权限.2.问题:金山词霸不能正常工作解结方法:金山词霸2003安装目录给予Users组写权限;金山词霸2003要打SP3以上的补丁;通过右键点击Runas的方式来以管理员运行一次金山词霸，接着再用普通用户运行金山词霸，则可以正常运行.3.问题:IBM手提电脑无线网络概要文件不能切换和修改解结方法:用管理员身份登陆启用“允许Windows用户无需管理员权限就可创建和应用位置概要文件“配置.4.问题:DB2客户端没有权限连接数据库解结方法:把登陆用户加到DB2users或DB2admin组.5.问题:用户不具有共享文件权限解结方法:可使用户把数据放在服务器上,由IT统一控制访问文件的权限.,11,5/18/2020,建议,一.完成各环节测试:在策略实施之前,要完成各环节测试,如脚本测试,域策略是否可顺利分发,客户端应用程序的权限是否分配,客户端应用程序是否正常运行等.二.策略分步实施:不建议在顶级域上直接分发域策略,大