组策略的应用

  活动目录

组策略的部署规划

组策略的部署规划中的注意事项:

QQ图片20191115093357.png

合理的规划规则设置和GPO对应关系,尽量避免把所有设置放到一个GPO中,举例如下图:

QQ图片20191115105924.png

组策略的企业实战

计算机配置

1 – 销售部电脑需要通过组策略进行MSI软件批量推送安装

注:选择所需部署的软件,只能部署MSI格式的应用程序,EXE格式需要进行重新封装为MSI格式才能部署(SCCM支持推送EXE软件)

主域服务器D盘新建Share共享文件夹,把需要推送的MBSA 2.1.msi软件拷贝进去,设置everyone权限为只读

微信图片_20191118125501.png

确保客户端能正常访问

微信图片_20191119171342.png

打开「服务器管理器」-「工具」-「组策略管理」,依次展开到「组策略对象」,右击选择「新建」创建一个新的「软件安装」组策略对象,在所需部署策略的OU(SM)上右键选择“链接现有GPO”,选择「Software Installation」;右击「Software Installation」-「编辑」- 计算机配置 – 软件安装 – 新建 – 数据包,添加MBSA 2.1.msi安装包

注:路径不能选择本地路径,要选择网络路径

微信图片_20191119171730.png

点击「已分配」

微信图片_20191118134834.png

微信图片_20191119171933.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,输入Y重新启动客户机,登陆后即可看到MBSA已安装

微信图片_20191119172145.png

微信图片_20191119175706.png

MBSA 2.1版本升级MBSA 2.3版本

QQ图片20191120111133.png

QQ图片20191120111600.png

QQ图片20191120111622.png

QQ图片20191120111654.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,输入Y重新启动客户机,登陆后即可看到MBSA 2.3已安装

微信图片_20191120112907.png

删除推送安装的MBSA软件

删除MBSA 2.3和MBSA 2.1数据包

QQ图片20191120115117.png

选择「立即从用户和计算机中卸载软件」

QQ图片20191120115215.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,输入Y重新启动客户机,登陆后即可看到MBSA软件已被卸载

2 – 销售部电脑需要通过组策略限制用户运行与安装软件

计算机配置

AppLocker即「应用程序控制策略」,可用来对可执行程序、安装程序和脚本进行控制,是一款用于替代「软件限制策略」功能的全新系统管理工具

AppLocker可以针对不同类别的程序来设置不同的规则,共分为以下5大类别:

■可执行文件规则:适用于.exe .com程序

■Windows安装程序规则:适用于.msi .msp .mst程序

■脚本规则:适用于.ps1 .bat .cmd .vbs .js程序

■已封装的应用程序规则:适用于.appx程序(windows应用商店的程序)

■DLL规则:适用于.dll .ocx程序

注:一旦创建规则后,凡是未在规则内的执行文件都会被阻止,因此必须创建默认规则,这些默认规则允许普通用户执行Program Files与Windows文件夹内的所有程序,允许系统管理员执行所有程序

注:经过「小陈家园」测试,AppLocker仅适用于「Windows 10企业版和旗舰版」,点击进入微软使用AppLock要求

设置规则前必须确认「Application Identity」服务设置为自动启动,只有该服务启动,「Applocker」设置才能生效

创建「Restricted Software」组策略对象并链接SM组织单元,通过组策略开启客户机「Application Identity」服务

QQ图片20191121150004.png

QQ图片20191121150038.png

打开「组策略管理编辑器」,在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”,可以看到AppLocker组策略配置项

QQ图片20191121152628.png

创建规则,右击「可执行规则」-「创建新规则」

QQ图片20191121153303.png

保持默认

QQ图片20191122085656.png

选择「拒绝」,保持默认「Everyone」

QQ图片20191122085713.png

选择「发布者」

QQ图片20191122085728.png

点击「浏览」,找到QQ安装包

QQ图片20191122085830.png

保持默认

QQ图片20191122085848.png

QQ图片20191122085903.png

由于刚开始未创建默认规则,提示需要创建,选择「是」

注:一旦创建规则后,凡是未列在规则内的执行文件都会被阻止,如果不创建默认规则,则系统所有应用程序无法打开,导致Windows无法正常启动操作系统

QQ图片20191122085927.png

QQ图片20191122090039.png

右击「AppLocker」,选择「属性」,勾选可执行规则为「已配置」

QQ图片20191122134858.png

QQ图片20191122134801.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,双击QQ安装包进行安装,提示「系统管理员已阻止这个应用」

QQ图片20191122090334.png

注:一旦创建规则后,凡是未列在规则内的执行文件都会被阻止,所以客户端桌面上360浏览器无法安装,需要在「可执行规则」中创建允许规则

QQ图片20191122112518.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,可正常安装360浏览器

QQ图片20191122112012.png

注:虽然在可执行规则处创建规则,但是已封装的应用程序也会被阻止「例如应用商店,Edge浏览器等」,因此还需要在「封装应用规则」处允许运行签名的封装应用,只要通过「创建默认规则」来开放即可:选择「封装应用规则」-「创建默认规则」,此默认规则会开放所有签名的封装应用

QQ图片20191122103919.png

右击「AppLocker」,选择「属性」,勾选封装应用规则为「已配置」

QQ图片20191122134539.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,可正常打开应用商店、Edge浏览器等

QQ图片20191122113649.png

3 – 销售部用户需要通过组策略进行桌面和我的文档重定向

用户配置

桌面数据放到D:\Data

我的文档数据放到\\cz669dc1\Data

企业应用环境中,将用户文件夹重定向到本地计算机的其他逻辑磁盘中,即使重新安装操作系统,也不会丢失个人数据;最佳做法还是建议将文件夹重定向到服务器中,即使客户端计算机硬盘损坏也不会造成数据丢失

创建「Folder Redirection」组策略对象并链接SM组织单元,通过组策略「用户配置」,修改桌面和文档的重定向路径

QQ图片20191122154603.png

QQ图片20191122161442.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,桌面和文档文件夹路径已重定向

QQ图片20191122161913.png

QQ图片20191122161841.png

4 – 销售部用户需要通过组策略统一桌面墙纸

用户配置

创建「Desktop」组策略对象并链接SM组织单元,通过组策略「用户配置」-「桌面墙纸」修改客户端桌面墙纸

QQ图片20191122164933.png

点击已启用,修改墙纸名称路径为服务器共享背景图片路径:\\cz669dc1\Data\BJ.jpg

QQ图片20191122165037.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,桌面背景已更新

QQ图片20191122165313.png

5 – 销售部用户需要通过组策略映射网络驱动器

用户配置

目的:让所有位于组织单位“销售部”内的用户在登录时,都能自动将共享文件夹\\cz669dc1\SM映射为本地磁盘Z

在服务器共享设置好权限的SM文件夹,创建「映射网络驱动器」组策略对象并链接SM组织单元,通过组策略「用户配置」-「驱动器映射」新建「映射驱动器」

微信图片_20191126165736.png

在「位置」输入共享文件夹的路径\\cz669dc1\SM,将共享文件夹映射为Z盘

微信图片_20191126170715.png

常用选项勾选「在登录用户的安全上下文中运行(用户策略选项)」

微信图片_20191126172303.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,已映射Z盘

QQ图片20191126173331.png

6 – 销售部用户需要通过组策略禁用移动存储U盘

用户配置

目的:为了避免病毒通过U盘传入内网,为了企业的网络安全,禁用客户端U盘使用

创建「禁用移动存储」组策略对象并链接SM组织单元,通过组策略「用户配置」-「可移动存储访问」,启用「所有可移动存储类:拒绝所有权限」

QQ图片20191126175706.png

完成策略部署后,为了让客户机策略立刻生效,打开命令窗口输入「gpupdate /force」进行组策略强制更新,访问U盘「提示拒绝访问」