根据组策略限制程序
我试图完成的是在2012年的Active Directory环境中允许某些可执行文件基于组策略。
我在我的广告中有3种不同types的用户。
A组只能访问foo.exe。 B组应该有权访问bar.exe。 最后C组应该可以访问foo.exe和bar.exe。
我如何使用我的2012年服务器完成这个? 我已经看到不同的网站使用gpedit.msc的物理机器,但我希望这在服务器级别上实现,因为我设置了漫游configuration文件,它将很容易扩展。
- 远程桌面:“在login时运行这些程序”和“在连接时启动以下程序”有什么区别?
- Windows服务器组策略:安装软件 – 激活?
- 推迟更新:更改Windows 10版本1607的策略文件
- Windows Server Backup包含GPO吗?
- 文件夹redirect策略如何实际工作?
在2012年Active Directory环境中允许某些可执行文件基于组策略。
A组只能访问foo.exe。 B组应该有权访问bar.exe。 最后C组应该可以访问foo.exe和bar.exe。 我如何使用我的2012年服务器完成这个?
因此,假设这些是.NET或某些types的可执行文件,可以在客户端上运行,而不需要实际安装在本地或terminal服务器等,您可以将每个应用程序可执行文件放在自己的networking共享文件夹位置。
每个应用程序文件夹都有自己独立的AD安全组 ,无论需要什么样的访问来运行它(例如读取和执行等)。 通过这种方式,您可以将每个AD用户帐户分别放置在应用程序安全组中,以确保他们可以访问其中的一个或另一个。 您也可以嵌套这些组,并且如果您拥有包含组A,组B和组C的AD安全组,则可以使它们中的每一个都成为他们需要访问的相关应用程序安全组的成员。
最后,设置“ 组策略首选项” ,然后在桌面或其他位置创build一个指向这些位置的快捷方式,只显示特定AD安全组中的那些用户帐户。
请参阅下面的详细信息(和屏幕截图),了解如何设置满足此需求的导航和选项。 您显然需要插入组名和UNCpath的环境详细信息,等等。
一旦你获得了GPP,安全组,文件夹位置和安全等等,就可以简单地通过你的AD账户(给你足够的时间在你的域中传播)或者一个虚拟/testingAD帐户来确认所有的工作。
示例文件夹结构
-
\\servername\sharename\apps\Foo\Foo.exe- A组和C组 – 阅读权限
-
\\servername\sharename\apps\Bar\Bar.exe- B组和C组 – 阅读权限
集团政策信息
导航: 用户configuration| 首选项| Windows设置| 快捷键
- 右键单击快捷方式| 新| | 捷径
常规选项卡
常用选项卡
从常用选项卡定位选项
请注意,在使用1Fish_2Fish_RedFish_BlueFish概述的共享方法时,如果用户知道共享名称(他们可以轻松地浏览它们)仍然可以访问这些应用程序,
为了确保上述方法隐藏共享(在共享名称末尾附加一个“$”符号)或者(或者更确切地说)更改共享的安全属性,以允许从所讨论的各个组中进行访问。
您可能还想看看“applocker”function:
如何configurationAppLocker组策略以防止软件运行
在Windows Server 2012和Windows 8 / 8.1中pipe理AppLocker