組政策限制軟體運作

轉載自http://gnaw0725.blogbus.com/logs/36359065.html

組政策限制軟體運作。客戶部署了windows 2003域環境，所有用戶端機器都加入了域。每位使用者都有一個域帳号，同時也擁有本機管理者的帳号。先在客戶的管理層要求普通使用者禁止使用迅雷，電驢等嚴重消耗網絡資源的程式，希望能利用組政策的技術阻止這些程式運作（不管使用者用何種權限登入）。我們檢視了關于軟體限制政策的幫助，描述的比較簡略。初步在一個測試OU上做評估，使用建立hash規則進行限制，發現用戶端仍可以運作相應程式。能否幫忙指導一下配置思路，幫助應對客戶的這種需求。

回答：根據您的描述，我對這個問題的了解是：公司需要禁止使用者使用迅雷/電驢等大量消耗網絡資源的軟體，這些使用者都有工作站上的本地管理者帳号。您的初步構想為使用軟體限制政策中的哈希規則實作，結果發現用戶端的程式仍在運作。這個問題确實存在普遍性，解決方案也很多，而且各有優劣。您看到的文章來自活動目錄seo http://gnaw0725.blogbus.com/c1404552/

使用哈希規則限制軟體的使用是個很好的方法，由于哈希值的唯一性，可以使用組政策根據程式的哈西值拒絕使用者運作該程式，不論該程式的名字和路徑都有效。但也正因為這個原因，如果使用者使用的軟體的版本不一樣，則該軟體執行檔案的哈希值也不一樣，也就無法被軟體政策限制了。

在您的環境中，就使用哈希規則而言，建議确認兩個方面：

1. 确認軟體限制政策是定義在計算機配置上而非使用者配置；因為使用者可以使用本地使用者登入而非域使用者。

2. 确認所有已知版本的迅雷/電驢程式的哈希值都加入到了軟體限制政策。

該操作很費時，而且就算所有的版本都被定義為拒絕，由于使用者有本地管理者帳号，使用者可以采用一種極端的做法将計算機退出域，所有政策都會失效。您看到的文章來自活動目錄seo http://gnaw0725.blogbus.com/c1404552/

是以，在使用者有本地管理者帳号時，單純使用軟體限制政策會有些問題。這種情況下，從網絡的角度進行限制效果會起到互補的作用。比如：

1. 可以在網絡中部署代理伺服器，然後在用戶端上安裝代理伺服器用戶端軟體，然後在代理伺服器上對軟體的網絡通路進行限制。

2. 可以在代理伺服器或防火牆上限制使用者允許使用的帶寬。

3. 在域中部署IPSec政策，使客戶機如果不加入到域就不能夠進行網絡通信。

以上措施再配合規章制度，就能将這個問題完全解決。

穆骥 微軟全球技術支援中心

hash的問題排查請參考 不能應用哈希規則|活動目錄域軟體限制政策

軟體限制的非技術層面問題，請參考 從軟體限制政策到使用者解決方案

軟體限制的相關文章請參考 軟體限制政策的優先級是怎麼樣的|活動目錄域組政策執行優先級活動目錄SEO

-- gnaw0725