[组策略分发-降级客户端登陆用户成为受限用户]经验交流(IT)

1、 2007 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL12/15/2021黄海泉黄海泉时间时间:2008-08-17域策略分发域策略分发-降级客户端登陆用户成为受限用户降级客户端登陆用户成为受限用户 经验交流经验交流 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL212/15/2021目标和要求目标和要求目标：目标： 由于公司现行的个人电脑登陆时的域用户都具有本地管理员的权限,基于安全和盗版软件控制考量,计划在OFFICE部门下发域策略,使登陆个人电脑的

2、域用户降级为受限用户. 要求：要求： 1. 策略实施后受限用户权限:考虑到用户的实际需求,我们策略实施的受限用户的权限 =普通受限用户+ (配置网络属性,更改时间,关闭计算机) 的权限. 普通受限用户是本地 Users 组的成员,且“不是”任何管理组的成员.在加入域的计算机上,属于 Domain Users 组的帐户也都属于本地 Users 组.普通受限用户权限只有查看,运行,读取的权限,如不能安装软件,修改系统配置等. 2. 所有部门经理和经理以上级别的不下发域策略. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL31

3、2/15/2021策略实施必要性策略实施必要性 一一.安全性增强安全性增强 用户以受限用户帐户登录，在这些用户的上下文中运行的程序只能对操作系统进行最小的更改,显著降低安装和运行恶意软件的能力，提供了安全性而不影响用户执行其任务,主要方面: 1. 降低恶意软件攻击的风险 2. 保护公司及其计算机资产免遭攻击者利用二二.可管理性增强可管理性增强 1. 标准化管理: 如果用户能够安装软件和进行系统范围的配置更改时,会不可避免地产生管理复杂性. 2. 用户和管理员之间划定明确的管理界限: 此界限可以让用户和网络管理员各司其职,用户集中精力执行他们的工作,而网络管理员负责管理基础结构. 2008 Hi

4、tachi Global Storage TechnologiesHITACHI CONFIDENTIAL412/15/2021策略实施必要性策略实施必要性 三三.工作效率提高工作效率提高 1. 客户端计算机配置稳定保持工作效率: 如果用户不能更改他们计算机的配置，这些计算机将更稳定,从而可以减少停机时间并保证工作效率. 2. 减少恶意软件控制计算机,也将提高工作效率.四四.成本降低成本降低 受限用户可帮助阻止安装未经授权的,无许可证的或恶意的软件,如果系统感染和受控这些恶意的软件将显著增加,如恶意软件占用的 Internet 带宽 ;硬件和软件的独特的、未经测试的组合;对操作系统进行的未知更

5、改对资源的额外消耗等等.五五.盗版软件控制盗版软件控制 能够有效控制盗版软件安装,减少侵权和法律责任问题. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL512/15/2021完成状况完成状况策略分发完成状况策略分发完成状况HGST SZ SITE完成状况 除了Global IT and Head advance test engineering部门外,已经完成其他所有部门的组策略分发,目前被分发的用户运行状况良好. 2008 Hitachi Global Storage TechnologiesHITACHI CONF

6、IDENTIAL612/15/2021计划状况计划状况管理工具管理工具 我们可使用微软提供的免费GPMC组策略管理工具.主域策略主域策略 在顶级域上推行主域策略,完成用户具有配置网络属性,更改时间,关闭计算机的权限.OU策略策略 考虑到公司大范围同时分发域策略可能的承担的风险，我们新建计算机OU,对各个部门分批实施策略的分发. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL712/15/2021实现过程实现过程 一一环境构建环境构建 一.使用GPMC工具管理组策略:在一台域成员服务器上以域管理员的身份安装此管理工具,此软

7、件可到微软官方网站下载: http:/ 二.用GPMC管理平台在域控制器上创建新的OU,在这个OU里面再建权限组. 三.在顶级域上用GPMC管理平台创建组策略对象GPO_1,完成更改时间,关闭计算机权限的分发. 四.在新建的OU上用GPMC管理平台创建策略对象GPO_2,完成降级域用户权限. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL812/15/2021实现过程实现过程 二二编写脚本编写脚本 一.编写vbs脚本,此脚本实现将本地管理员组只保留administrator和Domain Admins,其它的用户和组均被

8、剔除,实现用户登陆的帐号只为普通用户,同时把被剔除的用户加到Network Configuration Operators组,使用户具有配置网络属性的权限. 二.编写bat脚本,此脚本修改一些应用程序的NTFS权限,如 Notes 等,这些程序需要对本地有读写的权限. 三.如下两个脚本vbs和bat可为参考: 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL912/15/2021实现过程实现过程 三三策略实施策略实施一. 受限用户的实施: 1. 在顶级域上用实施组策略对象GPO_1,完成更改时间,关闭计算机权限的 分发.

9、2. 在新建的OU上实施组策略对象GPO_2,通过在计算机启动脚本中运行vbs和bat脚本,完成降级域用户权限和可配置网卡属性的权限. 基于1,2完成受限用户的实施后,用户只要重启计算机后就生效.二.策略的分步实施:可按照部门分批实施域策略,突发问提发生时具有可控性. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL1012/15/2021存在有问题的事件存在有问题的事件存在问题和解结方法存在问题和解结方法用户在应用组策略后,可能会出现以下问题:1. 问问 题题: Lotus不能正常使用 解结方法解结方法: Lotus安装

10、目录和数据目录都应该给予Users组写权限.2. 问问 题题: 金山词霸不能正常工作 解结方法解结方法: 金山词霸2003安装目录给予Users组写权限;金山词霸2003要打SP3以上的补丁;通过 右键点击Runas的方式来以管理员运行一次金山词霸，接着再用普通用户运行金山词霸，则可以正常运行.3. 问问 题题: IBM手提电脑无线网络概要文件不能切换和修改 解结方法解结方法: 用管理员身份登陆启用“允许Windows用户无需管理员权限就可创建和应用位置概要 文件“ 配置.4. 问问 题题: DB2客户端没有权限连接数据库 解结方法解结方法: 把登陆用户加到DB2users 或DB2admin组.5. 问问 题题: 用户不具有共享文件权限 解结方法解结方法: 可使用户把数据放在服务器上,由IT统一控制访问文件的权限. 2008 Hitachi Global Storage TechnologiesHITACHI CONFIDENTIAL1112/15/2021建议建议一一. 完成各环节测试完成各环节测试: 在策略实施之前,要完成各环节测试,如脚本测试,域策略是否可顺利分发, 客户端应用程序的权限是否分配,客户端应用程序是否正常运行等.二二. 策略分步实施策略分步实施: 不建议在顶级域上直接分发域策略,大范围同时分发域策略要