我尝试实现的是根据组策略在 2012 Active Directory 环境中允许某些可执行文件。
我的 AD 中有 3 种不同类型的用户。
组 A 应该只能访问 foo.exe。组 B 应该可以访问 bar.exe。最后,组 C 应该可以访问 foo.exe 和 bar.exe。
我如何使用我的 2012 服务器实现这一点?我见过不同的网站使用带有 gpedit.msc 的物理机,但我希望在服务器级别实现这一点,因为我已设置漫游配置文件,并且可以轻松扩展。
答案1
根据组策略,在 2012 Active Directory 环境中允许某些可执行文件。
组 A 应该只能访问 foo.exe。组 B 应该可以访问 bar.exe。最后,组 C 应该可以访问 foo.exe 和 bar.exe。如何使用我的 2012 服务器实现此目的?
因此假设这些是.NET某种类型的可执行文件,可以在客户端运行而无需实际安装在本地或终端服务器等,您可以将每个应用程序可执行文件放在其自己的网络共享文件夹位置。
每个应用程序文件夹都会有它有自己独立的 AD 安全组以及运行它所需的任何访问权限(例如读取和执行等)。这样,您可以将每个单独的 AD 用户帐户放入每个应用程序安全组中,以确保他们可以访问其中一个、另一个或两者。您还可以嵌套组,如果您有一个包含组 A、组 B 和组 C 的 AD 安全组,您可以将每个组都设为他们需要访问的相关应用程序安全组的成员。
最后,你设置组策略首选项,然后为这些位置创建快捷方式作为桌面或其他位置上的图标,仅供特定 AD 安全组中的用户帐户使用。
请参阅以下详细信息(和屏幕截图),了解您在为此需求设置时选择的导航和选项。您显然需要插入组名和 UNC 路径等环境详细信息。
一旦您获得 GPP、安全组、文件夹位置和安全性等,只需进行测试即可确认您的 AD 帐户(给予足够的时间在整个域中传播)或虚拟/测试 AD 帐户的所有内容均按预期工作。相应地设置。
文件夹结构示例
\\servername\sharename\apps\Foo\Foo.exe- A 组和 C 组 - 读取访问权限
\\servername\sharename\apps\Bar\Bar.exe- B 组和 C 组 - 读取访问权限
组策略信息
导航: 用户配置 | 首选项 | Windows 设置 | 快捷方式
- 右键单击快捷方式 | 新建 | 快捷方式
常规选项卡
常用选项卡
常用选项卡中的定位选项
答案2
请注意,当使用 1Fish_2Fish_RedFish_BlueFish 概述的共享方法时,如果用户知道共享名称,他们仍然可以访问应用程序(并且他们可能可以轻松浏览它们)
为了确保上述方法的安全,可以隐藏共享(在共享名末尾附加“$”符号)或(或者和) 更改共享的安全属性以仅允许讨论的各个组进行访问。
您可能还想看看“applocker”功能: