@烟雨
3年前 提问
1个回答

域环境中的软件限制策略是什么

Anna艳娜
3年前
官方采纳

在企业网络管理中,可利用域控制器实现对某些软件的使用限制。当用户利用域账户登录到本机电脑时,系统会根据这个域账户的访问权限,判断其是否有某个应用软件的使用权限。当确定其没有相关权限时,操作系统就会拒绝用户访问该应用软件,从而管理企业员工的操作行为。这就是域环境中的软件限制策略。

应用软件与数据文件的独立原则

在使用软件限制策略时,应坚持“应用软件与数据文件独立”的原则,即用户即使具有数据文件的访问权限,但若没有其关联软件的访问权限,仍然不能打开这个文件。比如,某个用户从网上下载了一部电影,虽然他作为所有者具有对该数据文件进行访问的权限,但软件限制策略限制了该用户账户对任何视频播放软件的访问,因此,该用户仍然无法播放这部电影。

这就是应用软件与数据文件独立的原则,该原则在实际应用中非常有用。因为很难控制用户从网络上下载文件,如用户可从网络上下载歌曲,甚至通过U盘等移动存储介质从企业外部把文件拷贝到内部电脑中,这些行为很难控制。但是可以做到对用户的应用程序进行控制,只需把这些应用程序控制好,即使用户私自下载了受限制的文件,用户最终也不能打开。

软件限制策略的冲突处理原则

软件限制策略与其他组策略一样,可以在多个级别上进行设置。即可将软件限制策略看成是组策略中的一个特殊分支。所以,软件限制策略可以在本地计算机、站点、域或组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。

当在各个设置级别上的软件限制策略发生冲突时,应考虑优先性问题。一般来说,其优先性的级别从高到低为“组织单元策略”“域策略”“站点策略”和“本地计算机策略”。这就是说组织单元策略要比域策略的优先级高。如在域策略中限制用户使用视频播放器,而在一个组织单元中允许该单元中的账户具有视频软件的权限,即使这个组织单元在这个域中,只要账户属于这个组织单元,仍然可以使用视频软件。

软件限制的规则

默认情况下,软件限制策略提供了“不受限的”和“不允许的”两种软件限制规则。“不受限的”规则规定所有用户都可以运行指定的应用软件。只要用户具有数据文件的访问权限,就可以利用软件打开该文件。因此,应用软件的访问权限与数据文件的访问权限是独立的。用户只具有应用软件或数据文件的访问权限往往还不够,只有当两者权限都有,才能够打开相关的文件。“不允许的”规则规定所有用户,都不能运行指定应用软件,无论其是否对数据文件具有访问权限。系统默认的策略是所有软件运行都是“不受限的”,即只要用户对于数据文件有访问权限,就可以运行对应的应用软件。