Windows Server 2008确实强大。基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进。比如,笔者将要和大家分享的这两例应用,在实践中就能帮你解决很多难题。
1、实现客户端移动设备权限的统一管理
使用过Vista的用户应该知道,通过组策略可以在本地主机实现对移动磁盘(USB存储设备\光驱\移动硬盘)的权限管理。如果要统一实现对所有客户端(Vista或非Vista)的移动设备的权限管理,该怎么办呢?在Windows Server 2008的域环境下,这一切轻松实现。
首先将Server 2008配置成AC(域控制器),并将所有的客户端加入该域,然后只需在Server 2008上进行如下部署即可。依次执行“开始→管理工具→组策略管理”打开组策略管理器;找到需要部署该策略的域(本例为 fr.zhongtian.com),展开后定位到Default Domain Policy(默认策略);右键点击该策略选择“编辑”打开“组策略管理编辑器”,依次展开“计算机配置→管理模板→系统→可移动存储访问”;在右侧找到 “可移动磁盘:拒绝读取权限”和“可移动磁盘:拒绝写入权限”两项,双击启用策略。最后打开命令行工具(cmd),输入命令“gpupdate /force”更新组策略,使刚才的策略生效,这样默认情况下只有域管理员有权限读写移动磁盘。(图1)
图1 更改默认域策略
为了验证效果我让某客户端登录fr域,然后插入移动设备(比如U盘),进行文件的读写操作。如图所示,弹出拒绝窗口该操作被拒绝提示只有管理员才有权限执行操作。点击“跳过”按钮,输入有权限的用户才可实现操作。(图2)
图2 拒绝访问
2、自由定制针对用户或者用户组的密码策略和帐户锁定策略
密码是系统安全一道关键屏障,大家知道在在Windows2000/2003上,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的具体对象。这在实际应用中带来了诸多不便,更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。在Win2008中引入了多元密码策略的技术,使得我们的上述需求得到实现。