組策略在企業(yè)中的應(yīng)用項(xiàng)目設(shè)計(jì)方案

1 組策略在企業(yè)中的應(yīng)用項(xiàng)目設(shè)計(jì)方案 第 1 章 前言 中國(guó)互聯(lián)網(wǎng)的高速發(fā)展，讓人們?cè)谏睢⒐ぷ鞯榷加辛藰O大的改變，在體驗(yàn)和享受互聯(lián)網(wǎng)帶來(lái)的方便及愜意時(shí)?；ヂ?lián)網(wǎng)里大量存在的一些不正當(dāng)行為，如黑客攻擊、計(jì)算機(jī)病毒、內(nèi)部泄密、信息丟失、篡改、銷毀、木馬程序、等等，總是讓我們感覺許多的無(wú)奈。特別是中國(guó)的廣大企業(yè)，在利用互聯(lián)網(wǎng)更加快速、便捷地實(shí)現(xiàn)業(yè)務(wù)全球化的同時(shí)，來(lái)自外界的病毒、木馬、黑客，以及內(nèi)部員工在工作時(shí)間濫用網(wǎng)絡(luò)資源，聊 地主、農(nóng)場(chǎng)偷菜、用光驅(qū)看電影等等運(yùn)行與工作無(wú)關(guān)的程序，隨便使用 備導(dǎo)致病毒肆意傳 播，也帶到了電腦上。為應(yīng)對(duì)這種外憂內(nèi)患的局面，反病毒、防火墻、入侵檢測(cè)，在一定程度上排除了外憂。而解內(nèi)患的問題也迫不及待地被提上日程。 對(duì)于一些小型的企業(yè)來(lái)說(shuō)，他們沒有過(guò)多的時(shí)間監(jiān)督每一位員工，沒有過(guò)的時(shí)間查看每一臺(tái)電腦，那么他們是如何解決這種現(xiàn)狀的呢？ 有一種技術(shù)，它可以幫助沒有過(guò)多資金的企業(yè)適當(dāng)?shù)亟鉀Q內(nèi)部網(wǎng)絡(luò)管理與內(nèi)部員工的辦公環(huán)境的安全，那就是“組策略”技術(shù)。 2 第 2 章 活動(dòng)目錄概述 活動(dòng)目錄簡(jiǎn)介 活動(dòng)目錄（ 面 向 及 目錄服務(wù) 。（ 能運(yùn)行在 ，但是可以通過(guò)它對(duì)運(yùn)行 計(jì)算機(jī)進(jìn)行管理。） 儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。 用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ) 對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。 務(wù)是 臺(tái)的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。 活動(dòng)目錄功能 活動(dòng)目錄 (要提供以下功能： (1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括 書服務(wù)等。 服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。 (2)用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄 （與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。 資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。 (3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。 (4)應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。 活動(dòng)目錄的優(yōu)點(diǎn) 與 成活動(dòng)目錄使用域名系統(tǒng) ( 一種 準(zhǔn)服務(wù)，它將用戶能夠讀取的計(jì) 算機(jī)名稱（例如 譯成計(jì)算機(jī)能夠讀取的數(shù)字 議 (址（由英文句號(hào)分隔的四組數(shù)字）。這樣，在 P 網(wǎng)絡(luò)計(jì)算機(jī)上運(yùn)行的進(jìn)程即可相互識(shí)別并進(jìn)行連接。 (1)靈活的查詢。用戶和管理員如果要通過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)中的對(duì)象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 戶和計(jì)算機(jī)管理單元。例如，您可以按照一個(gè)用戶帳戶的姓名、電子郵件名、辦公地點(diǎn)或其他屬性查找該用戶。而且 ,使用全局編 錄優(yōu)化了查找信息的操作。 (2)可擴(kuò)展性。 可擴(kuò)展的；也就是說(shuō)，管理員既可以在架構(gòu)中添加新的對(duì)象類別，也可在原有的對(duì)象類別中添加新屬性。架構(gòu)包含每個(gè)對(duì)象類別的定義，以及能夠存儲(chǔ)于目錄中的每個(gè)對(duì)象類別的屬性。例如，您可能會(huì)為 象添加 性，然后將每個(gè)用戶的購(gòu)買權(quán)限額保存為用戶帳戶的一部分。 (3)基于策略的管理。 組策略是在初始化時(shí)應(yīng)用于計(jì)算機(jī)或用戶的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 點(diǎn)、域或部門 的組策略對(duì) 3 象 (。 置決定了對(duì)目錄對(duì)象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對(duì)其用途的配置方式。 (4)可伸縮性。 括一個(gè)或多個(gè)域，每個(gè)域均有一個(gè)或多個(gè)域控制器，由此，您能夠?qū)δ夸涍M(jìn)行自由擴(kuò)展，從而滿足所有網(wǎng)絡(luò)的需求。多個(gè)域可合并成一個(gè)域目錄樹，多個(gè)域目錄樹可合并成一個(gè)目錄林。在只有一個(gè)域的最簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個(gè)目錄樹，又是一個(gè)目錄林。 (5)信息復(fù)制。 用多主機(jī)復(fù)制，使您可以更新任何域控制器中的目錄。在一個(gè)域中部署多個(gè)域控制器還提供了容錯(cuò)能力和負(fù)載平衡功能。因?yàn)檫@些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個(gè)域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。 (6)信息安全。在 008 操作系統(tǒng)中，用戶身份驗(yàn)證和訪問控制的管理都與 全結(jié)合在一起，這是該系統(tǒng)的一項(xiàng)關(guān)鍵性安全功能。身份驗(yàn)證集中進(jìn)行。不僅可以定義對(duì)目錄中每個(gè)對(duì)象的訪問控制，還可定義對(duì)每個(gè)對(duì)象的每個(gè)屬性的 訪問控制。此外， 為安全策略提供了存儲(chǔ)區(qū)和應(yīng)用范圍。 (7)互操作性。由于 標(biāo)準(zhǔn)目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議 (為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進(jìn)行交互操作。有些應(yīng)用程序編程接口 (務(wù)接口 ( 組策略概況 組策略的功能 “ 組策略 ” 其實(shí)與 “ 組 ” 并沒有關(guān)系，它是一組策略的集合。組策略加強(qiáng)了管理員通過(guò)活動(dòng) 目錄數(shù)據(jù)庫(kù)在站點(diǎn)、域、或組織單位中配置用戶和計(jì)算機(jī)的能力，在 008 中，通過(guò)應(yīng)用組策略，管理員可以很方便地管理 的計(jì)算機(jī)和用戶的工作環(huán)境，例如，用戶桌面環(huán)境、計(jì)算機(jī)啟動(dòng) /關(guān)機(jī)與用戶登陸 /注銷時(shí)所執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等。 管理員一般會(huì)設(shè)置多種配置集合，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及 “ 開始 ” 菜單選項(xiàng)等，也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策略是 其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。 組策略內(nèi)包含計(jì)算機(jī)配置與用戶配置兩部分，其中計(jì)算機(jī)配置只對(duì)計(jì)算機(jī)環(huán)境有影響，而用戶配置只對(duì)使用者工作環(huán)境有影響。管理員可用過(guò)如下兩個(gè)途徑配置和應(yīng)用組策略： 在單一計(jì)算機(jī)上配置，用戶所作的配置只會(huì)應(yīng)用到本地計(jì)算機(jī)，用戶配置被本機(jī)所有用戶所應(yīng)用。 策略對(duì)象 ):在域控制器上針對(duì)站點(diǎn)，域或 配置組策略，其中域策略內(nèi)的配置應(yīng)用到所有域內(nèi)計(jì)算機(jī)和用戶上， U 內(nèi)，如果本機(jī)沖突則以域或 策略的配置優(yōu)先，本機(jī)無(wú)效。 4 組策略實(shí)現(xiàn)的目標(biāo) 對(duì)域設(shè)置組策略影響整個(gè)域的工作環(huán)境，對(duì) 置組策略影響本 的工作環(huán)境；降低布置用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用，因?yàn)橹恍枰O(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置，減少用戶不正確配置環(huán)境的可能性；推行公司使用計(jì)算機(jī)規(guī)范，包括桌面環(huán)境規(guī)范以及安全策略等內(nèi)容。例如：軟件 分發(fā)；軟件限制；安全設(shè)置（如密碼策略、管理模板下相關(guān)設(shè)置等）；基于注冊(cè)表的設(shè)置（管理模板）； 護(hù)；脫機(jī)文件夾；漫游配置文件和文件夾重定向；計(jì)算機(jī)和用戶腳本。 5 第 3 章 企業(yè)面臨的問題與需求 企業(yè)面臨的現(xiàn)狀 現(xiàn)有某小型公司的整個(gè)網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D。整個(gè)公司主要分為員工宿舍樓、工作區(qū)、生產(chǎn)部門以及體育館四個(gè)部分。本次網(wǎng)絡(luò)設(shè)計(jì)主要設(shè)備有核心交換機(jī)一臺(tái)，務(wù)器共一臺(tái)（集各種功能與一體），硬件防火墻一臺(tái)，中型交換機(jī) 5 臺(tái)，小型交換機(jī) 18 臺(tái)，域控制器一臺(tái)， 干。具體網(wǎng)絡(luò)規(guī)劃為員工宿舍樓一個(gè) 產(chǎn)部門一個(gè) 導(dǎo)辦公室一個(gè) 作區(qū)每個(gè)部門分別劃分一個(gè) 次網(wǎng)絡(luò)管理主要針對(duì)工作區(qū)，其他部門在網(wǎng)絡(luò)規(guī)劃之中。工作區(qū)每個(gè)部門一個(gè) 要目的是為了增加各部門資料的安全性，為了讓每個(gè)部門的成員至可以訪問本部門的網(wǎng)絡(luò)資源。 在公司不同的部門對(duì)軟件和一些材料的需求各不相同，為了更好的管理與區(qū)分我就需要按需定制，如：哪些用戶可使用的軟件有哪些，對(duì)哪些文檔具有哪些權(quán)限，和一些上網(wǎng)行為的規(guī)范。 圖 3企業(yè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖 企業(yè)應(yīng)用需求分析 域環(huán)境下，所有的網(wǎng)絡(luò)資源，包括用戶，都是在域控制器上維護(hù)，便于集中管理，所有用戶只要登錄到域 ,在域內(nèi)均能進(jìn)行身份驗(yàn)證，管理人員可以較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低防止公司員工在客戶端上亂裝軟件，能夠增強(qiáng)客戶端安全性，減少客戶端故障，降低維護(hù)成本。 6 此小型公司域名為 心機(jī)房?jī)?nèi)架設(shè)有主域控制器（主 務(wù)器）、文件服務(wù)器、 件服務(wù)器、 務(wù)器、 務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、管理機(jī)等。根據(jù)此小型公司現(xiàn)狀和需求， 通過(guò)和管理員的了解我最終利用組策略來(lái)實(shí)現(xiàn)以下應(yīng)用： * 使用組策略使員工部門的軟件統(tǒng)一部署 * 使用組策略限制員工使用及安裝軟件 * 通過(guò)查看事件日志觀察已設(shè)置的組策略審核策略是否應(yīng)用成功 7 第 4 章 組策略應(yīng)用架構(gòu)設(shè)計(jì) 設(shè)計(jì)總體思路 針對(duì)我這個(gè)小型企業(yè)的網(wǎng)絡(luò)拓?fù)鋱D，我重點(diǎn)把網(wǎng)絡(luò)管理工作放到了工作區(qū)。所以，我的工作區(qū)里的組織部、技術(shù)部、銷售部、財(cái)務(wù)部和質(zhì)量監(jiān)督部都是在一個(gè)域名為 域里面，也就是每個(gè)部門的計(jì)算機(jī) 都是域成員，都可以通過(guò)被允許的域用戶名登錄到域。這樣就方便了我在域控制器上統(tǒng)一部署軟件以及一些限制類的組策略的應(yīng)用到每臺(tái)域成員計(jì)算機(jī)上。 對(duì)于員工部門軟件的統(tǒng)一部署，我只需要管理員在域控制器上把需要部署的軟件統(tǒng)一指派到每臺(tái)域成員計(jì)算機(jī)上，這樣當(dāng)域用戶登錄到計(jì)算機(jī)的時(shí)候，就可以自行下載安裝已指派的軟件了。 在 此小型公司的 網(wǎng)絡(luò)管理中，經(jīng)常會(huì)發(fā)現(xiàn)一些權(quán)限比較高的用戶私自從網(wǎng)上下載或者用自己的光盤、 U 盤之類的安裝軟件， 除此之外，在工作時(shí)間里，員工會(huì)運(yùn)行一些如旺旺、 軟件，降低了工作的效率，嚴(yán)重時(shí)會(huì)泄漏公司的重要 信息， 這 些 對(duì)于企業(yè) 來(lái)說(shuō)是不被允許的，但是各種規(guī)定都沒辦法完全禁止這些行為，以前通常是采用行政手段進(jìn)行限制， 在了解了這些情況之后，我 利用組策略 的設(shè)置限制 員工運(yùn)行 一些 與工作無(wú)關(guān)的軟件，這樣即使他們安裝了其他不允許使用的軟件，也運(yùn)行不了。 組策略 審核策略是 000 及以后版本組策略中引入的一個(gè)安全機(jī)制。它可以用日志形式記錄系統(tǒng)中已經(jīng)被審核的事件，而系統(tǒng)管理員通過(guò)生成的日志文件，能輕易發(fā)現(xiàn)和跟蹤發(fā)生在所管理區(qū)域內(nèi)的可疑事件。比如 :誰(shuí)曾經(jīng)訪問過(guò)哪個(gè)文件、哪些非法程序入侵了你的電腦等。 這樣我就能有效的保護(hù) 企業(yè)的一些商業(yè)機(jī)密和計(jì)劃目標(biāo)不被外泄等等。 應(yīng)用架構(gòu)拓?fù)?在 環(huán)境中，通過(guò)組策略可以對(duì)計(jì)算機(jī)和用戶組進(jìn)行高效集中化的管理。組策略是 環(huán)境中最有吸引力的基礎(chǔ)架構(gòu)應(yīng)用之一。通過(guò) 連接，我們可以將設(shè)置好的組策略應(yīng)用到域活動(dòng)目錄中的不同級(jí)別用戶和計(jì)算機(jī)，這樣就可以實(shí)現(xiàn)對(duì)小到一個(gè)組織單元的管理，簡(jiǎn)單地說(shuō)， 到了橋梁的作用，通過(guò)將 統(tǒng)容器 和組織單位相關(guān)聯(lián)，實(shí)現(xiàn)組策略設(shè)置的具體應(yīng)用。還可以將 略設(shè)置應(yīng)用于 器中的具體用戶和計(jì)算機(jī)。 組策略通過(guò)在域控制器上設(shè)置應(yīng)用到域成員計(jì)算機(jī)拓?fù)?，如圖 4示。 8 圖 4組策略應(yīng)用拓?fù)鋱D 9 第 5 章 組策略在企業(yè)中的應(yīng)用實(shí)施 創(chuàng)建域服務(wù)器 創(chuàng)建 一臺(tái)網(wǎng)內(nèi)的服務(wù)器（ 008系統(tǒng) ）提升為域控制器，并創(chuàng)建域用戶。然后將 工作區(qū)的組織部，技術(shù)部，銷售部，財(cái)務(wù)部和質(zhì)量監(jiān)督部中的成員計(jì)算機(jī)都加入到域環(huán)境中。 安裝 組策略管理控制臺(tái)， 策略管理控制臺(tái) (是一個(gè)用于組策略管理的新工具，它通過(guò)改進(jìn)易管理性和提高效率幫助管理員更經(jīng)濟(jì)有效地管理企業(yè)。它包含一個(gè)新的 理控制臺(tái) (管理單元和一組可編程。 運(yùn)行 程序包。在服務(wù)器“ ，瀏覽到包含“ 文件夾，雙擊“ 序包， 2、單擊“下一步”，單擊“我同意”，接受最終用戶許可協(xié)議 ( 3、單擊“下一步”，單擊“完成”以完成 裝。 組策略具體實(shí)施 組策略管理軟件的部署 （ 1）準(zhǔn)備安裝文件 使用組策略部署軟件分發(fā)的第一步是獲取 擴(kuò)展名的安裝文件包。裝文件包是微軟專門為軟件部署而開發(fā)的。有些軟件程序直接提供這兩個(gè)文件，有些不提供。 （ 2）分發(fā)軟件 1）建立分發(fā)點(diǎn)。要發(fā)布或指派計(jì)算機(jī)程序，必須在發(fā)布服務(wù)器上創(chuàng)建一個(gè)分發(fā)點(diǎn)。把安裝文件所在的文件夾創(chuàng)建為一個(gè)共享網(wǎng)絡(luò)文件夾，并對(duì)該共享設(shè)置權(quán)限以允許特定的 織單位）才能訪問此分發(fā)程序。 2）編輯組策略。在“ 戶和在“ 戶和計(jì)算機(jī)”管理單元中，右鍵單擊“ 在快捷菜單中選擇屬性，單擊“組策略”選項(xiàng)卡，單擊“編輯”按鈕，打開組策略編輯窗口。 3）指派 /分發(fā)程序包。右鍵單擊“軟件安裝”，在快捷菜單中選擇“新建”“程序包”，如圖 5示。打開 件，這里一定填入網(wǎng)絡(luò)路徑，因?yàn)榉职l(fā)的用戶要能從網(wǎng)絡(luò)路徑訪問到這個(gè)文件。 10 圖 5新建程序包 打開文件后，彈出“部署軟件”對(duì)話框，選擇“已指派”，如圖 5示。 圖 5選擇部署方法 添加完成后，如圖 5示，關(guān)閉組策略編輯器，單擊“確定”按鈕，完成組策略編輯。 11 圖 5已指派軟件名稱 4）客戶端軟件安裝。 指派完成后 ， 以合法域用戶身份從 工作區(qū)任一個(gè)部門的域成員計(jì)算機(jī) 登錄到域中。依次單擊 “ 開始 ”“ 程序 ” ，這時(shí)會(huì)發(fā)現(xiàn)程序組中已經(jīng)出現(xiàn)了 單項(xiàng)，單擊 件，則自動(dòng)進(jìn)入安裝過(guò)程。安裝完畢后就可以正常使用了 。 現(xiàn)在 企業(yè)老板要求 在 “財(cái)務(wù)部” 分 用戶只允許運(yùn)行 日常應(yīng)用軟件， 而 不允許運(yùn)行 軟件。具體步驟如下： （ 1）先把用戶劃分到不同的 ，例如分為了甲組 乙 組 甲組位上編輯組策略，打開“用戶配置”“ 置”“安全設(shè)置”“軟件限制策略”，如圖 5示。 圖 5編輯軟件限制策略 12 （ 2）在“軟件限制策略”上右擊，在快捷菜單中 選擇“創(chuàng)建軟件限制策略”，軟件限制策略下多出幾個(gè)子項(xiàng)，在“其他規(guī)則”上單擊右鍵，選擇新建一條“哈希規(guī)則”，如圖 5示。在“文件哈?！敝刑钊?在的路徑，把安全級(jí)別設(shè)置成不允許，這樣甲組 不能夠使用 序了。 圖 5新建哈希規(guī)則 （ 3） 在 的 “財(cái)務(wù)部” 新建并鏈接一個(gè)新的 名為 “ 限制軟件運(yùn)行策略 ” 。 （ 4） 在新建的 “ 限制軟件運(yùn)行策略 ” 右擊，在彈出的快捷菜單中選擇“ 編輯 ” 選項(xiàng)，在打開的組策略編輯器中找到 “ 用戶配置 ” 管理模板 ” 系統(tǒng) ” 下的 “ 只允許運(yùn)行許可的 用程序 ”，如圖 5示 。 圖 5輯限制軟件運(yùn)行策略 （ 5）啟用該配置可實(shí)現(xiàn)對(duì)指定軟件的安裝限制。 13 組策略進(jìn)行資源訪問審核 1. 組策略資源訪問審核配 置 （ 1）打開審核策略 所有 “ 審核策略 ” 默認(rèn)是沒有打開的，需要手動(dòng)開啟。依次打開 “ 控制面板 管理工具 本地安全策略 ” 或在 “ 開始 運(yùn)行 ” 中輸入 “，打開組策略中的 “ 本地安全設(shè)置 ” 編輯器，依次定位到 “ 本地策略 審核策略 ” ，雙擊右側(cè)窗格中的 “ 審核對(duì)象訪問 ” ，勾選 “ 成功 ” 或 “ 失敗 ” ，如圖 5示。 圖 5設(shè)置審核對(duì)象訪問屬性 （ 2） 對(duì)文件夾進(jìn)行審核設(shè)置 （ 3）通過(guò)“事件查看器”查看 設(shè)置了一則審核策略，還得通過(guò)事件查看器來(lái)獲取信息。在 “ 開始 運(yùn) 行 ”中輸入 “，接著定位到 “ 事件查看器 安全性 ” ，在右側(cè)窗格中記錄了許多 “ 成功審核 ” 、 “ 失敗審核 ” 的安全性事件。通常情況記錄的事件很多，可以對(duì)其進(jìn)行篩選，依次選擇 “ 查看 篩選 ” ，在 “ 篩選器 ” 選項(xiàng)卡下面的時(shí)間類型中只勾選 “ 成功審核 ” 和 “ 失敗審核 ”; 而 “ 事件來(lái)源 ” 和 “ 類別 ” 可根據(jù)不同的審查對(duì)象和審查內(nèi)容進(jìn)行篩選，一般情況只需要查看 560 事件即可 ,如圖 5示。 14 圖 5查看事件日志 2. 組策略文件夾訪問審核 現(xiàn)在企業(yè)老板要求 監(jiān)控手下人什么時(shí)候訪問過(guò)或使用了公司電腦中指定的磁盤或文件夾中的資料， 比如 :服務(wù)器 “D:件夾。開始前首先在 “文件夾選項(xiàng) 查看 ”標(biāo)簽下取消 “使用簡(jiǎn)單文件共享 ”。 (1)在 “ 審核策略 ” 中雙擊右側(cè)的 “ 審核對(duì)象訪問 ” ，勾選 “ 成功 ” ，確認(rèn)操作并退出編輯器。右擊目標(biāo)磁盤或文件夾選擇 “ 屬性 ” ，切換至 “ 安全 ” 選項(xiàng)卡，單擊 “ 高級(jí) ” ，切換至 “ 審核 ” 標(biāo)簽。 (2)單擊 “ 添加 ” ，輸入 員工 使用的用戶名，因?yàn)?員工 屬于普通用戶組(所以輸入 “ 計(jì)算機(jī)名 ，單擊 “ 確定 ” ,如圖 5時(shí)會(huì)彈出審核項(xiàng)目選擇窗口，因?yàn)橐O(jiān)視 員工 對(duì)目標(biāo)的 “ 訪問權(quán)和執(zhí)行權(quán) ” ，因此要勾選“ 遍歷 文件夾 /運(yùn)行文件 ” ,如圖 5定所有操作。 圖 5添加用戶 15 圖 5編輯審核項(xiàng)目 (3)這時(shí)策略已經(jīng)完成了?，F(xiàn)在可以試試是否有效。打開事件查看器，右擊 “ 安全性 ” 選擇 “ 清空所有事件 ” 后注銷系統(tǒng)。這時(shí)， 用戶 登錄此系統(tǒng)，訪問一下“D: 并執(zhí)行其中一個(gè)文件 ( 比如運(yùn)行了存放在該目錄底下的“文件 )。注銷系統(tǒng)后，用管理員身份登錄，查看一下日志，是不是清楚地記錄了剛才 員工 的訪問行為 ,如圖 5 圖 5查看事件信息 16 3. 測(cè)試 對(duì)上面的限制軟件策略進(jìn)行測(cè)試，域成員通過(guò)域用戶名登錄后，除了常用的日常應(yīng)用軟件 可以安裝應(yīng)用外，還有另外安裝的一個(gè) 件，看看能不能運(yùn)行，如果不可以運(yùn)行，說(shuō)明組策略應(yīng)用成功了。 結(jié)論 通過(guò)組策略技術(shù)的應(yīng)用，防止病毒通過(guò)移動(dòng)設(shè)備傳播，來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全。通過(guò)對(duì)機(jī)房及域中每一臺(tái)電腦的控制，禁止員工用電腦 做與工作無(wú)關(guān)的娛樂項(xiàng)目，提高員工工作效率。對(duì)域中電腦集中發(fā)布、刪除軟件， 加強(qiáng) 公司電腦整體環(huán)境 的管理 。有了組策略，管理員的工作更加效率，掌握了組策略技術(shù)，管理員的工作得心應(yīng)手。 通過(guò)對(duì)這個(gè)小型公司的深入了解，我了解了網(wǎng)絡(luò)安全對(duì)于一個(gè)企業(yè)的重要性，從網(wǎng)絡(luò)開始普及之后，企業(yè)實(shí)時(shí)更新信息，在抓住了時(shí)代浪潮的同時(shí)，確保網(wǎng)絡(luò)安全也是毋庸置疑，在了解這些之后，我覺得防范于未然是最合理的，所以提高員工網(wǎng)絡(luò)安全意識(shí)也是很重要的，除此之外，建立安全管理機(jī)構(gòu)、安裝安全軟件、網(wǎng)絡(luò)系統(tǒng)備份和恢復(fù)、加強(qiáng)職業(yè)道德教育。 策略的功能非常強(qiáng)大，還有很多需要我們?nèi)グl(fā)掘。它也將在企業(yè)的應(yīng)用中展現(xiàn)強(qiáng)大的一面。 17 謝辭 感謝 鞠光明 老師在本課題的開發(fā)中一直給予指導(dǎo)和幫助。從論文的選題到結(jié)構(gòu)安排，從內(nèi)容到文字 排版 ，都凝聚了他大量的心血 ，他為人親切，平易近人，而且他也曾帶過(guò)我們構(gòu)建 線局域網(wǎng)的課，所以剛開始知道自己的指導(dǎo)老師是鞠老師的時(shí)候很是開心， 在 畢業(yè)設(shè)計(jì) 的寫作過(guò)程中， 我懂得了