首先配置DC在開始處的管理工具處選擇Active Directory 用戶和計算機,在此處對DC進行配置。
右擊域選擇新建組織單位,新建一個jishubu ,(如果在創建組織單位時復選中了“防止容器被意外刪除”復選框,那么這個OU將無法被隨意刪除)。
并在技術部下創建用戶lisi,點擊下一步。
在下列框中輸入密碼,為了不讓用戶下次登錄時,再輸入一個新的密碼,可以選擇勾選密碼永不過期,然后點擊下一步。
右擊域選擇新建組織單位,新建一個renshibu ,并在人事部中新建一個用戶zhangsan ,操作步驟同上所示。
創建完成后,在開始——>管理工具——>打開組策略管理,如下圖所示的界面。
在 “組策略對象”上右擊新建一個名為test 的GOP,點擊確定。
然后就可以按住左鍵將GPO拖動組織單位jishubu上,組策略便會對相應的對象生效。
首先對jishubu進行設置,右擊test選擇編輯,進入如下圖所示的組策略管理編輯器。
8.展開“用戶配置”——>“策略”——>“Windows設置”——>“安全設置”——>“軟件限制策略”,在軟件限制策略上右擊選擇“創建軟件限制策略”命令
然后在下方會多出“安全級別”和“其它規則”兩個項目,右擊“其他規則”,可以選擇創建4中不同的軟件限制規則(最常用的是路徑規則和哈希規則)。
jishubu我們通過路徑規則來對軟件進行限制,在打開對話框中輸入要限制的記事本程序的路徑C:\\\\Windows\\\\System32\\\\notepad.exe,且安全級別設為“不允許”,點擊確定。
然后以jishubu員工lisi的身份在客戶機上登錄進行驗證,當打開記事本時出現警告提示。記事本成功地被禁用。
對renshibu進行設置,在 “組策略對象”上右擊新建一個名為tes1t 的GOP,點擊確定。
然后就可以按住左鍵將GPO拖動組織單位renshibu上,組策略便會對相應的對象生效。
右擊test1,選擇編輯,然后展開“用戶配置”——>“策略”——>“Windows設置”——>“安全設置”——>“軟件限制策略”,在軟件限制策略上右擊選擇“創建軟件限制策略”命令,然后,在下方會多出“安全級別”和“其它規則”右擊“其他規則”選擇新建哈希規則。
15.單擊“瀏覽”找到要禁用的mspaint.exe,系統會自動生成他的哈希值,安全級別為不允許,點擊應用。
16.規則設置成功后,然后以renshibu員工zhangsan的身份在客戶機上
登錄驗證,并打開畫圖工具時出現警告提示,畫圖工具成功地被禁用。
實驗結束。
實驗中需要注意的事項:
執行策略時會有延遲,延遲時間的長短不確定。
所以減緩延遲的策略的方法:(1)強制執行策略(在服務器端)、
(2)刷新策略,在客戶端執行gpudate/force.
更多關于云服務器,域名注冊,虛擬主機的問題,請訪問三五互聯官網:m.shinetop.cn