组策略管理难点之应用控制

在域环境中，组策略为我们网络管理员提供了一个很好的网络管理平台，大大提高了我们网路管理的效率与安全性。不过，组策略强调的是一个统一的安全管理策略。为了达到这个目标，光用组策略还是不行的，需要一些组策略应用的控制手段，才能够达到这个目标。下面，笔者就为大家说说在域控制器的组策略管理平台中，提供了哪些组策略的管理工具，以及这些工具在什么时候使用可以达到事半功倍的效果。一、 强制使用组策略我们在配置组策略的时候，
往往具有共性与个性的区别。如一些共性的设置，我们希望企业内部不分老幼都必须遵守。如我们可以通过组策略实现当主机加入到域中时必须自动安装杀毒软件的客户端并自动升级;如我们还可以通过组策略限制用户端修改IP地址等等。这些对于企业网络来说，是一些共性的内容。我们虽然在分组的时候，按部分分组，分了销售部门OU、采购部么OU等等，
但是，这些共性的内容我们希望这些OU都遵守。但是，在上篇文章中，笔者也谈到了一些例外。如对于“禁止用户修改IP地址”这个组策略，若在下面的子OU中，若没有对这个组策略配置过，则其会继承这个组策略。但是，若其配置过这个组策略，把这个策略配置成“允许用户修改IP地址”，则一般情况下，这个配置值
就会覆盖上级传递下来参数。这是我们不希望看到的。遇到这种情况我们该如何呢?在域控制器的组策略应用中，提供了一个“强制策略继承”的选项。若我们在配置组策略的过程中，选中这个选型的话，则无论下面的容器是否对这个组策略配置过，域控制器会强制的让子OU继承父OU的选项。官方资料时这么定义强制策略继承的，强制策略继承是指可以在父容器中通过组策略的“禁止替代”选项强制子容器必须继承(不准覆盖)此组策略内的组策略设定，而不论子容器是否设置了阻止策略继承。通过这个定义，我们可以明白以下几点内容。一是这个“禁止替代”选项，是针对具体的组策略而言的，而不是应用在OU上的所有组策略。如现在有个父OU叫管理人员，在这个OU上我们配置了5个组策略。
然后，若网络管理员
认为其中的两个组策略比较具有共性，需要下面的
所有人员都遵守，如此的话，就可以把这两个组策略设置为“禁止替代”。则下面的子OU只有这两个组策略不能覆盖，另外的三个组策略仍然可以通过更改子OU的配置而实现覆盖。二是“禁止替代”选项对于“阻止策略继承”也仍然有效。也就是说，我们在子OU中，设置了“阻止策略继承”选项，组策略仍然以子OU的配置值为准，即使没有配置，也才用默认的值，而不采用父OU的组策略配置。但是，我们若在父OU的某个组策略中，选中了“禁止替代”的值，则域控制器在组策略应用的时候，就会忽略子OU中的“阻止策略继承”选项，而直接把父OU的组策略配置传递给子OU。当然，这也是针对特定的组策略而言，而不是指应用在父OU上的所有组策略。二、 针对计算机或者用户的阻止策略在上篇文章中，笔者讲述了一个组策略应用的例外，即“阻止策略继承”。这个选项是针对OU而言的，或者更确切的说，是针对域控制器内的容器而言。但是，我们有时候，往往觉得这个范围比较宽，我们喜欢针对具体的用户或者计算机。如我们信息部一共有六个人，大家平时的工作都是分工负责。为此，在IT这个OU中，我们希望只有两个人可以更改客户
端的IP地址以及取得IP地址的方式，即是固定IP地址还是自动获得IP地址。而其他信息部人员都没有这个权力。这虽然也可以通过“阻止策略继承”来实现。如我们可以把这个两个具有特权的IT部人员设置为一个OU，然后通过“阻止策略继承”工具，或者修改这个OU的配置，让其不继承或者覆盖父OU的设置。但是，很明显，这么处理的话，工作量比较大，而且OU太多，也不容易后续的维护。为此，域控制器在考虑到用户的具体需求，实现了一个针对特殊用户或者计算机的过滤策略。一般情况下，只要把用户加入到一个特定的OU，则其就会受到这个OU中组策略的限制。若我们比喜欢其中一些特定的计算机或者用户受到这些组策略的限制呢?如在公司范围内，用户不能够更改IP地址或者取得IP地址的方式，而只有IT部门中的两个人可以有这个权力，此时，我们就可以首先利用“强制使用组策略”选项，让公司内的所有用户都遵守这些组策略设置;然后，再通过“计算机或者用户组策略过滤”功能，让一些特定的用户或者计算机具有相应的权限。一般来说，使针对具体的用户，而不是计算机采用组策略过滤选项。其实，这跟上面讲到的“阻止策略继承”具有异曲同工之妙，只是两者针对的具体对象不同。计算机或者用户组策略过滤是针对终端主机或者域帐户而言;而“阻止策略继承”则是针对域控制器中的子容器而言。不过，笔者还是建议要慎用“计算机或者用户组策略过滤”功能。因为这个功能会破坏组策略的统一性。因为在企业网络管理中，有一个基本的原则就是要减少特权用户的产生。或者说，要避免针对特定的帐户或者计算机配置组策略。而“计算机或者用户组策略过滤”功能则会破还这个原则性的内容。故笔者建议，能够不用“计算机或者用户组策略过滤”功能就不用。三、 网络速度慢时组策略的处理方式有时会一些组策略的应用效果，还跟网络速度有比较大的关系。当网络速度不怎么理想的时候，如有病毒或者其他原因导致网络拥塞的时候，实现某些族策略比较费时。此时，若需要强制使用组策略的话，可能用户登录到系统或者域中需要十分钟、半个小时甚至更长的时间。如我们在配置组策略的时候，让计算机登录到域中的时候，必须检查杀毒软件的版本，若客户端不是最
新的版本，则必须进行强制升级。而杀毒软件的升级速度跟网络速度有着很大的关联，当网络有拥塞时，杀毒软件的升级不是一下子可以完成的。此时，我们若让终端主机在登录的时候强制进行病毒软件升级的话，则显得不怎么现实。针对这种情况，我们该如何呢?是放弃使用这种组策略吗?当然不是。让用户终端电脑每次登录域环境中，实现杀毒软件的自动升级，这是一个关系到企业网络安全的组策略手段，我们不能放弃。我们现在只能想一个折中的方法，即当网络速度不怎么理想的时候，则可以放弃使用这个组策略;而在网络速度还可以的情况下，必须采用这个组策略。通过这种有区别的对待，即可以保障企业网络的安全，也可以在网络速度不理想的情况下，提高用户登录的速度。在域环境中，可以设置让域内的计算机自动探测他们与域控制器之间的连接速度是否理想。如果不理想的话，可以设置不要应用位于域控制器内的组策略配置。当然，这个选项也是针对一些具体的组策略而言。也就是说，某个帐户所在的组可能有十个组策略，我们可以设置其中的三个当网路速度不理想的时候，可以不采用。而其他的组策略，则必须采用，无论网路是否理想。在使用这个功能的时候，还需要注意一点，有些组策略域控制器默认是必须使用的，无论网络速度是否理想，如“安全策略处理”与“登录策略处理”这两个组策略，系统就默认无论网络是否畅通，则必须使用。否则的话，就无法使用域帐户登录到主机或者企业网络中去。另外，上面速度是不理想的网络速度，什么时候又是理想的网路速度，这我么可以自己定义。这往往没有统一的标准，
而是要根据具体的策略而言的。如“禁止在桌面上显示网上邻居这个组策略，应用起来对于网络速度的依赖性就不是很高，
所以，我们可以把网络速度设置的低一点，如制需要其有100K的速度及可以利用这个组策略。但是，有些组策略则对于网络速度要求比较高，如一些软件维护与升级的策略，如杀毒软件的自动安装与升级策略、WORD等办公软件的自动安装与维护策略等等，对于网络速度就有比较高的要求。此时，在这些组策略上，我们就可以自定义这个网络的速度，当低于什么速度的时候，可以不利用这个组策略。这无疑，为组策略的应用，提高了更加灵活的手段。