軟件限制策略企業(yè)網(wǎng)絡(luò)應(yīng)用

在企業(yè)網(wǎng)絡(luò)管理中，我們很重要的一塊工作，就是對企業(yè)員工的網(wǎng)絡(luò)行為的管理。如不允許他們使用QQ、MSN等聊天工具，或者不允許他們在上班時間看電影等等。要實現(xiàn)這些方面的控制，現(xiàn)在已經(jīng)有不少好的工具。利用域控制器，來實現(xiàn)對某些軟件的限制，也是其中一種比較流行的方式之一。
    域環(huán)境中的軟件限制策略，也就是說，當(dāng)用戶利用域帳戶登陸到本機(jī)電腦的時候，系統(tǒng)會根據(jù)這個域帳戶的訪問權(quán)限，來判斷其是否有某個應(yīng)用軟件的使用權(quán)限。當(dāng)其沒有相關(guān)權(quán)限的時候，則操作系統(tǒng)就會拒絕用戶訪問某個應(yīng)用軟件，從而來管理企業(yè)員工的操作行為。
    在這篇文章中，筆者將對軟件限制策略的一些常識進(jìn)行一些簡短的介紹，然后在后續(xù)的文章中，筆者會結(jié)合自己公司的設(shè)置，來講解一些具體的應(yīng)用。希望這一系列的文章能夠?qū)Ω魑蛔x者有所幫助。
    一、 應(yīng)用軟件與數(shù)據(jù)文件獨(dú)立
    在應(yīng)用軟件限制策略的時候，需要明白的第一個原則就是“應(yīng)用軟件與數(shù)據(jù)文件獨(dú)立”獨(dú)立原則。也就是說，你即使具有數(shù)據(jù)文件的訪問權(quán)限，但是，若其沒有其關(guān)聯(lián)軟件的訪問權(quán)限的話，則仍然不能夠打開這個文件。如現(xiàn)在某個用戶從網(wǎng)上私自下載了一部電影，其作為所有者人，當(dāng)然具有對這個數(shù)據(jù)文件進(jìn)行訪問的權(quán)限。但是，我們在軟件限制策略設(shè)置的時候，這個用戶帳戶無法訪問任何的視頻播放軟件。如此的話，這個用戶仍然無法播放這部電影。
    這就是應(yīng)用軟件與數(shù)據(jù)文件獨(dú)立的原則。這個原則在實際應(yīng)用中非常有用。因為我們很難控制用戶從網(wǎng)絡(luò)上下載文件。如用戶若從網(wǎng)絡(luò)上下載歌曲，甚至通過U盤等工具從企業(yè)外部把文件拷貝到電腦上去。這些行為我們很難控制。但是，我們對于用戶電腦上應(yīng)用程序的控制來說，則相對簡單許多。我們只需要把這些應(yīng)用程序控制好，則即使用戶私自下載受限制的文件，則用戶最終也沒有軟件可以打開它。這也就可以控制他們的相關(guān)不正當(dāng)行為。
    二、 軟件限制策略的沖突處理原則
    軟件限制策略跟其他組策略一樣，可以在多個級別上進(jìn)行設(shè)置?；蛘哒f，軟件限制策略是組策略中的一個特殊分支也未嘗不可。所以，軟件限制策略可以在本地計算機(jī)、站點(diǎn)、域與組織單元等多個環(huán)節(jié)進(jìn)行設(shè)置。每個級別又可以針對用戶與計算機(jī)進(jìn)行設(shè)置。而就是因為如此，所以也就產(chǎn)生了沖突的可能性。當(dāng)在各個設(shè)置級別上的軟件限制策略發(fā)生沖突的時候，其優(yōu)先性如何呢?