在企业内部，我们需要针对用户做最严谨的设置，也就是说，让用户使用计算机的范围越小，则出现安全性的事故的可能性就越小，用户的误操作的概率也就越小。我曾经写过关于通过组策略来限制用户使用计算机仅仅在IE浏览器的范围内，开机直接进入，而关闭浏览器则进入了注销状态。而在另外一种应用下，我们的用户需要浏览器以外的环境进行工作，我们就需要对这个环境进行相关的设定，减少网络中出现的安全问题，减少用户的误操作。

      本章内容我们将介绍关于软件限制策略概述。同样是通过组策略来实现的。关于软件限制，通常在一些企业中，会禁止员工使用USB等移动设备进行内部资料的保护，和禁止员工在计算机中装入一些与工作无关的软件。而这里的软件限制策略就更为明了，通过对软件的限定，只允许运行某些安全的软件来进行对软件安全并且运行进行限制。这样的操作不但避免了员工本身的问题，并且我们可以想一下，一些病毒通过自动运行来完成病毒的植入和传播，通过对软件的限制，禁止运行的方式也会这些病毒进行一些防范。

      首先我们对组策略进行一些描述，以便于以后朋友们对组策略的应用更加自如。首先组策略可以针对于用户配置和计算机配置，所区别就是针对于计算机所做的组策略是使用计算机系统帐户运行的，也就是说当用户开关机的时候就会去应用这些组策略，如果再加以限制用户更改，就无法进行抵抗性的操作。而针对于用户配置，就是针对于用户帐户所进行的策略。这时候就出现了一个问题，用户配置和计算机配置相冲突的时候哪个会生效。我个人对于组策略生效的问题有一个共同的见解，这种见解会使用与组策略应用当中的很多情况：后应用的生效。在计算机与用户配置相互冲突，计算机配置属于先生效，当用户登录后用户配置生效，所以用户配置是最后生效的。基于这个问题，这里相对于站点，域，OU中的组策略生效也是可以解释的。策略由站点首先发出下面是域，域在传达给OU，这时候发现域上的策略与OU的策略相冲突，则OU上的策略生效了。而进行策略强制检查的时候是反向的，OU上的策略检查是否本条策略阻止继承，然后检查域上是否有强制生效，当然后者生效。这样就构成了我们对于生效问题所形成了AGDLP规则。

这里，我们是通过组策略来完成对软件进行限制的动作

      在计算机配置中，选择windows设置，再选中其中的安全设置，选中软件限制策略，在windows server 2008中，默认是没有任何软件限制策略的，我们需要右键这个选项，然后选择新建，则会出现安全级别和其他规则两个目录，首先我们一起来看一下其他规则，在其他规则中点击右键，可以看到我们可以进行新建的项目。

证书规则： 通过加密的方式进行软件限制。

哈希规则： 通过数字签名证书的方式进行软件限制。

路径规则： 通过对本地路径，UNC路径的方式进行范围限制。

区域规则： 针对一个Internet范围进行限制。

除了可以针对这些限制进行设置，我们还需要做的就是设置安全级别。

      在windows server 2008中，安全级别分为三种。

不允许的：无论用户的访问权限如何，软件都不会运行。

基本用户：允许程序访问一般用户可以访问的资源，但没有admin访问权限

不受限的：软件访问权由用户的访问权来决定。

      默认情况下没有做任何的设置，而这里我们可以透过这三种安全模式的更改做不同的需求。例如，当不同的用户需要运行不同的软件时，我们可以针对这些用户先做一些关于软件使用权限的设定，然后将安全级别设置为不受限的，也就是说，如果这个用户没有使用这个软件的权限，那么他就不能使用。如果我们需要让所有用户都不能使用软件，则使用不允许的安全级别。

选中我们需要设定的安全级别，选择属性。

这里有一个设为默认的选项，点选他，然后确定就完成了设定。

本章内容，我们组策略完成了对于软件的限制，并且对组策略的生效问题做详细的解说。

本文转自 郑伟  51CTO博客，原文链接:http://blog.51cto.com/zhengweiit/346338