[组策略分发-降级客户端登陆用户成为受限用户]经验交流(IT)幻灯片.ppt

4/4/2006 IT Process Presentation 黄海泉 时间:2008-08-17 目标和要求 策略实施必要性 一.安全性增强 用户以受限用户帐户登录，在这些用户的上下文中运行的程序只能对操作系统进行最小的更改,显著降低安装和运行恶意软件的能力，提供了安全性而不影响用户执行其任务,主要方面: 1. 降低恶意软件攻击的风险 2. 保护公司及其计算机资产免遭攻击者利用 二.可管理性增强 1. 标准化管理: 如果用户能够安装软件和进行系统范围的配置更改时,会不可避免地产生管理复杂性. 2. 用户和管理员之间划定明确的管理界限: 此界限可以让用户和网络管理员各司其职,用户集中精力执行他们的工作,而网络管理员负责管理基础结构. 策略实施必要性 三.工作效率提高 1. 客户端计算机配置稳定保持工作效率: 如果用户不能更改他们计算机的配置，这些计算机将更稳定,从而可以减少停机时间并保证工作效率. 2. 减少恶意软件控制计算机,也将提高工作效率. 四.成本降低 受限用户可帮助阻止安装未经授权的,无许可证的或恶意的软件,如果系统感染和受控这些恶意的软件将显著增加,如恶意软件占用的 Internet 带宽 ;硬件和软件的独特的、未经测试的组合;对操作系统进行的未知更改对资源的额外消耗等等. 五.盗版软件控制 能够有效控制盗版软件安装,减少侵权和法律责任问题. 完成状况 计划状况 实现过程 一 环境构建 一.使用GPMC工具管理组策略:在一台域成员服务器上以域管理员的身份安装此管理工具,此软件可到微软官方网站下载: /downloads/details.aspx?displaylang=zh-cnFamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887 二.用GPMC管理平台在域控制器上创建新的OU,在这个OU里面再建权限组. 三.在顶级域上用GPMC管理平台创建组策略对象GPO_1,完成更改时间,关闭计算机权限的分发. 四.在新建的OU上用GPMC管理平台创建策略对象GPO_2,完成降级域用户权限. 实现过程 二 编写脚本 一.编写vbs脚本,此脚本实现将本地管理员组只保留administrator和Domain Admins,其它的用户和组均被剔除,实现用户登陆的帐号只为普通用户,同时把被剔除的用户加到Network Configuration Operators组,使用户具有配置网络属性的权限. 二.编写bat脚本,此脚本修改一些应用程序的NTFS权限,如 Notes 等,这些程序需要对本地有读写的权限. 三.如下两个脚本vbs和bat可为参考: 实现过程 三 策略实施 一. 受限用户的实施: 1. 在顶级域上用实施组策略对象GPO_1,完成更改时间,关闭计算机权限的 分发. 2. 在新建的OU上实施组策略对象GPO_2,通过在计算机启动脚本中运行vbs和bat脚本,完成降级域用户权限和可配置网卡属性的权限. 基于1,2完成受限用户的实施后,用户只要重启计算机后就生效. 二.策略的分步实施: 可按照部门分批实施域策略,突发问提发生时具有可控性. 存在有问题的事件 存在问题和解结方法 用户在应用组策略后,可能会出现以下问题: 1. 问 题: Lotus不能正常使用 解结方法: Lotus安装目录和数据目录都应该给予Users组写权限. 2. 问 题: 金山词霸不能正常工作 解结方法: 金山词霸2003安装目录给予Users组写权限;金山词霸2003要打SP3以上的补丁;通过 右键点击Runas的方式来以管理员运行一次金山词霸，接着再用普通用户运行金山词霸，则可以正常运行. 3. 问 题: IBM手提电脑无线网络概要文件不能切换和修改 解结方法: 用管理员身份登陆启用“允许Windows用户无需管理员权限就可创建和应用位置概要 文件“ 配置. 4. 问 题: DB2客户端没有权限连接数据库 解结方法: 把登陆用户加到DB2users 或DB2admin组. 5. 问 题: 用户不具有共享文件权限 解结方法: 可使用户把数据放在服务器上,由IT统一控制访问文件的权限. 建议 一. 完成各环节测试: 在策略实施之前,要完成各环节测试,如脚本测试,域策略是否可顺利分发, 客户端应用程序的权限是否分配,客户端应用程序是否正常运行等. 二. 策略分步实施: 不建