电脑技术学习

Linux系统下的安全配置六招技巧

dn001
  有一句格言是“一分钟的思考等价于一个小时盲目的工作,所以在开始使用解决组策略问题的工具和技术之前,您应该先考虑一下几个简单的问题。

  1.组策略应该应用到哪些用户和计算机?

  这是一个非常重要的问题。比方说一个用户抱怨他不能通过点击开始菜单的快捷方式来安装某一个程序,而它的另一位同事可以。像他的这种抱怨一定会让您挠头并想知道为什么软件安装策略没有应用到这位用户。对于这种问题我们首先得搞清楚应不应该应用这个策略到这个用户,或许可以安装软件的那个用户与这个用户不是在一个部门里,而只有那个部门的用户被允许使用这个软件。所以实际上对于这种情况组策略设置没有问题,问题是出在用户上,用户之间喜欢攀比,喜欢更多的特权,大多数公司都会有这种问题,关键是搞清楚组策略应该应用给谁。

  2. 用户与计算机没用应用上正确的组策略

  这个问题适用于用户与计算机没有得到他们应该得到的策略。5个销售部的用户反映他们无法访问控制面板,您应该检查连接到销售部的组策略对象并查看是否“禁止访问控制面板被启用了(这个策略可以从User ConfigurationAdministrative TemplatesControl Panel访问),如果这个策略已经禁用或者未配置,那就检查一下上层的策略或者是域策略的设置。

  3.留意组策略发生问题的时间

  留意发生问题的时间可能会帮助您立即找出问题所在,是在您做出对组策略改动后马上出现问题的么?比如连接一个新的GPO到一个OU;或者是否对AD做了一些管理性的改动?比如将计算机账号从默认的计算机容器中移动到一个OU里,在这种情况下,计算机不但会应用域的组策略,也会应用其所在OU的组策略。

  4.什么时候您配置的策略会实际生效?

  当配置了策略,您会检查所配置的策略是否已经按照您的要求应用到了计算机或用户账户。这样很好,但不要忘记组策略只会在后台周期性的更新,所以可能只要等待一会儿,所有的设置都OK了;也可能您所做的设置在刷新的时候并不会应用到用户,需要他们再此登录或者重新启动计算机,比如软件安装策略,文件夹重定向策略,开机或登录脚本等,这种情况下为了保证组策略能够应用,可能会等到用户一天工作结束,或者发个邮件让他们注销或重启,最极端的就是远程强制重启,但如果用户没有保存他们的工作则会出现问题;也可能在重新启动后有的策略没有被应用,因为目标计算机与域控制器不是在一个本地网络中,因为WAN连接带宽的“组策略慢速连接监测会阻止某些策略。

标签: linux