Назад | Перейти на главную страницу

Ограничение программ на основе групповой политики

Я пытаюсь добиться того, чтобы определенные исполняемые файлы были разрешены в среде Active Directory 2012 года на основе групповой политики.

У меня в AD есть 3 разных типа пользователей.

Группа A должна иметь доступ только к foo.exe. Группа B должна иметь доступ к bar.exe. И, наконец, группа C должна иметь доступ к foo.exe и bar.exe.

Как мне сделать это на моем сервере 2012 года? Я видел разные сайты, использующие физический компьютер с gpedit.msc, но я бы хотел, чтобы это было реализовано на уровне сервера, потому что у меня настроены перемещаемые профили, и их можно легко масштабировать.

Обратите внимание, что при использовании подхода к совместному использованию, описанного 1Fish_2Fish_RedFish_BlueFish, пользователи все еще могут получить доступ к приложениям, если они знают имена общих ресурсов (и они могут легко найти их)

Чтобы обезопасить указанный выше метод, либо скройте общие ресурсы (добавьте знак «$» в конец имени общего ресурса), либо (вернее и) измените свойства безопасности общих ресурсов, чтобы разрешить доступ только из отдельных обсуждаемых групп.

Вы также можете взглянуть на функцию «applocker»:

Как настроить групповую политику AppLocker для предотвращения запуска программного обеспечения

Управление AppLocker в Windows Server 2012 и Windows 8 / 8.1

наличие определенных исполняемых файлов, разрешенных в среде Active Directory 2012 года, на основе групповой политики.

Группа A должна иметь доступ только к foo.exe. Группа B должна иметь доступ к bar.exe. И, наконец, группа C должна иметь доступ к foo.exe и bar.exe. Как мне сделать это на моем сервере 2012 года?

Предполагая, что это .NET или исполняемые файлы какого-либо типа, которые могут запускаться на стороне клиента без фактической установки локально или на сервере терминалов и т. д., вы можете поместить каждый исполняемый файл приложения в его собственное расположение общей сетевой папки.

Каждая папка приложения будет иметь собственная отдельная группа безопасности AD с любым доступом, необходимым для его запуска (например, чтение и выполнение и т. д.). Таким образом вы можете поместить каждую отдельную учетную запись пользователя AD в группу безопасности приложения для каждого, чтобы гарантировать, что у них есть доступ к одному, другому или обоим. Вы также можете вложить группы, и если у вас есть группы безопасности AD, содержащие группу A, группу B и группу C, вы можете сделать каждую из них членом соответствующих групп безопасности приложений, к которым им нужен доступ.

Наконец, вы настроили Настройки групповой политики, чтобы затем создать ярлык для этих мест в виде значков на рабочем столе или в других местах только для тех учетных записей пользователей, которые входят в определенную группу безопасности AD.

См. Приведенную ниже информацию (и снимки экрана) для навигации и параметров, которые вы бы выбрали при настройке чего-либо для этой потребности. Очевидно, вам нужно будет указать данные вашей среды для имен групп, путей UNC и так далее.

Просто протестируйте, чтобы убедиться, что все работает должным образом, с вашей учетной записью AD (дайте достаточно времени для распространения по всему домену) или фиктивной / тестовой учетной записью AD, как только вы настроите GPP, группы безопасности, расположение папок, безопасность и т. Д. Соответственно.

ПРИМЕР СТРУКТУРЫ ПАПКИ

  • \\servername\sharename\apps\Foo\Foo.exe
    • Группа A и группа C - доступ для чтения
  • \\servername\sharename\apps\Bar\Bar.exe
    • Группа B и группа C - доступ для чтения

ИНФОРМАЦИЯ О ПОЛИТИКЕ ГРУППЫ

Навигация: Конфигурация пользователя | Предпочтения | Настройки Windows | Ярлыки

  • Ярлык правой кнопкой мыши | Новый | Ярлык

Вкладка Общие

Общая вкладка

Вариант таргетинга на вкладке "Общие"