下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;以后,你就能重新打开组策略编辑窗口,然后按照上面的设置,实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。
系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。
但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!
不同用户,不同权限
也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
在该窗口中,依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;
在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;
在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。
同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!
保护设置,避免冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来说,操作起来有点难度;其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;
在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了。
双击其中的“策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核;
为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核,如此一来即使一些已经实施攻击、但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。