Ограничение программ на основе групповой политики
Что я? m пытается выполнить определенные исполняемые файлы, разрешенные в среде Active Directory 2012 на основе групповой политики.
В моей AD есть 3 разных типа пользователей.
Группа A должна иметь доступ только к foo.exe. Группа B должна иметь доступ к bar.exe. И, наконец, группа C должна иметь доступ к foo.exe и bar.exe.
Как мне сделать это на моем сервере 2012 года? Я видел разные сайты, использующие физический компьютер с gpedit.msc, но я бы хотел, чтобы это было реализовано на уровне сервера, потому что у меня настроены перемещаемые профили, и их будет легко масштабировать.
наличие определенных исполняемых файлов, разрешенных в Active Directory 2012 среда, основанная на групповой политике.
Группа A должна иметь доступ только к foo.exe. Группа B должна иметь доступ в bar.exe. И, наконец, группа C должна иметь доступ к foo.exe и bar.exe. Как мне сделать это с помощью моего сервера 2012 года?
Предположим, что это .NET или исполняемые файлы какого-либо типа, которые можно запускать на стороне клиента без фактической установки локально или терминального сервера и т. Д. .вы можете поместить исполняемый файл каждого приложения в отдельную сетевую папку.
Каждая папка приложения будет иметь свою собственную отдельную группу безопасности AD с любым доступом, необходимым для ее запуска (например, чтение и выполнение и т. Д.). Таким образом, вы можете поместить каждую отдельную учетную запись пользователя AD в группу безопасности приложения для каждого, чтобы гарантировать, что у них есть доступ к одному, другому или обоим. Вы также можете вложить группы, и если у вас есть группы безопасности AD, которые содержат группу A, группу B и группу C, вы можете сделать каждую из них членом соответствующих групп безопасности приложений, к которым им нужен доступ.
Наконец, вы устанавливаете Предпочтения групповой политики , чтобы затем создать ярлык для этих мест в виде значков на рабочем столе или в других местах только для тех учетных записей пользователей, которые входят в определенную группу безопасности AD.
См. детали ниже ( и снимки экрана) для навигации и параметров, которые вы должны выбрать при настройке чего-либо для этой потребности. Очевидно, вам нужно будет указать данные вашей среды для имен групп, путей UNC и так далее.
Просто проверьте, чтобы убедиться, что все работает должным образом, с вашей учетной записью AD (дайте достаточно времени для распространения по всему домену) или фиктивной / тестовой учетной записью AD, как только вы настроите GPP, группы безопасности, расположение папок, безопасность и т. Д. Соответственно. .
ПРИМЕР СТРУКТУРЫ ПАПКИ
\\ servername \ sharename \ apps \ Foo \ Foo.exe- Group A и Group C - доступ на чтение
\\ servername \ sharename \ apps \ Bar \ Bar.exe- Группа B и Группа C - Доступ для чтения
ИНФОРМАЦИЯ О ПОЛИТИКЕ ГРУППЫ
Навигация: Конфигурация пользователя | Предпочтения | Настройки Windows | Ярлыки
- Ярлык правой кнопки мыши | Новый | Ярлык
Вкладка «Общие»
Вкладка «Общие»
Параметр таргетинга на вкладке «Общие»
Обратите внимание, что при использовании подхода к совместному использованию, описанного 1Fish_2Fish_RedFish_BlueFish, пользователи по-прежнему могут получать доступ к приложениям, если они знают имена общих ресурсов (и они могут легко найти их)
Защитите вышеуказанный метод, либо скройте общие ресурсы (добавьте знак «$» в конец имени общего ресурса), либо (вернее, и ) измените свойства безопасности общих ресурсов, чтобы разрешить доступ только из отдельных групп обсуждали.
Вы также можете ознакомиться с функцией «блокировщик приложений»:
Как настроить групповую политику AppLocker для предотвращения запуска программного обеспечения
Управление AppLocker в Windows Server 2012 и Windows 8 / 8.1