FusionAccess V100R005 通过AD组策略限制用户虚拟机安装软件

发布时间:  2015-03-10 浏览次数:  558 下载次数:  0
问题描述
由于当前互联网软件安装存在很多捆绑安装现象,对于客户不希望安装或者版本不兼容的软件,存在被用户误安装的风险。
处理过程
1、 以域管理员或者administrator权限登录到AD上。打开组策略管理器,如下图示:



2、 如果需要对所有的域内所有的计算机设置软件限制策略,则直接编辑域下的默认组策略,如下图示:



3、 如需对某个OU下的计算机设置软件限制策略,则在该OU下新建组策略,并编辑该策略,如下图示:



4、 在组策略中找到Software Restriction Policies,如下图示:




5、 右键—>创建软件限制策略,如下图示:




6、 Additional Rules 右键——>New Hash Rule…




7、 选择安全等级为不允许,并点击浏览选中不允许安装的软件(本文中已眼睛护士为例),如下图示:




8、 点击ok,在AD上打开cmd,运行gpupdate /force.




9、 登录一台域的内的虚拟机测试效果。在需要测试效果的虚拟机上先打开cmd,运行gpupdate /force,然后点击安装眼睛护士。看到如下效果,则表示已成功。



根因
可通过组策略限制安装这类软件,组策略的机制是通过建立哈希规则针对具体软件做限制。
建议与总结
对于网络较开放的环境,很难人为管理手段去限制安装软件,肯定会存在误安装的情况,对于一些高风险的软件,可以参考该案例通过组策略去限制其安装,要注意的是,组策略需要指定具体的安装包,所以只能限制具体版本软件,对应频繁更新的软件,需要管理员手动更新策略,并且对于绿色软件,无法限制。

END