在域環(huán)境中，如果能夠合理利用管理模板，則能夠給我們的管理工作帶來很大的便利。當(dāng)客戶端的計(jì)算機(jī)處在“管理模板策略”時(shí)，系統(tǒng)會(huì)將管理模板中的策略配置值存儲(chǔ)到用戶計(jì)算機(jī)的登陸環(huán)境內(nèi)。但是，它并不會(huì)將客戶端計(jì)算機(jī)默認(rèn)的登陸值覆蓋掉。客戶端主機(jī)將同時(shí)應(yīng)用管理模板策略與本地計(jì)算機(jī)默認(rèn)的登陸值。如果當(dāng)兩者的配置發(fā)生沖突的時(shí)候，當(dāng)然以管理模板的策略值為準(zhǔn)。由于在應(yīng)用管理模板策略時(shí)，客戶端主機(jī)原有的默認(rèn)值沒有被修改，所以，當(dāng)管理模板策略失效時(shí)，客戶端仍然可以采用其默認(rèn)值登陸。

　　管理模板策略，可以簡化我們的組策略配置，而且，也給我們網(wǎng)絡(luò)管理員提供了一個(gè)統(tǒng)一管理的平臺(tái)。如我們可以把一些常用的組策略通過模板來實(shí)現(xiàn)，如此的話，就不需要給每個(gè)組進(jìn)行重復(fù)的組策略配置。

　　具體的來說，我們常用管理模板策略，來實(shí)現(xiàn)如下的一些配置。

　　一、 限制用戶只可以運(yùn)行指定的程序

　　在企業(yè)網(wǎng)絡(luò)管理中，很大一部分工作就是員工網(wǎng)絡(luò)行為的管理。如在以前沒有有效管理手段之前，我們網(wǎng)絡(luò)管理員還不得不不定期的去各個(gè)辦公室視察，看看員工是否在上班時(shí)間利用QQ聊天;是否在利用公司的電腦打游戲，等等。這么做，不僅效率不高，而且還得罪人，是一個(gè)吃力不討好的差事。

　　不過后來這方面的控制手段就多了起來，各個(gè)廠家都在員工網(wǎng)絡(luò)行為管理上下功夫。微軟在這方面當(dāng)然也不敢落后。他們?cè)诮M策略中，提供了一個(gè)很好的工具，即可以指定某臺(tái)計(jì)算機(jī)只能夠運(yùn)行哪些程序。如我們就可以利用這個(gè)功能，指定公司電腦只能夠運(yùn)行OFFCIE、郵件客戶端、金山詞霸以及其他的一些必要的應(yīng)用程序。而把QQ、游戲等軟件排除在外，如此的話，員工就無法在客戶端運(yùn)行這些程序。從權(quán)限上排除這些軟件，如此，我們網(wǎng)絡(luò)管理員也不用老是去充當(dāng)“間諜”，因?yàn)槲覀兛梢詫?shí)現(xiàn)事先控制。

　　具體的配置方法為

　　我們?cè)诨顒?dòng)目錄用戶與計(jì)算機(jī)內(nèi)，依次打開用戶配置、管理模板、系統(tǒng)，找到“只運(yùn)行許可的應(yīng)用程序”選項(xiàng)，然后，在程序列表中，輸入我們?cè)试S其運(yùn)行的程序文件名稱。不過這里我們需要明白一點(diǎn)，有時(shí)候精通這方面的人員，若修改應(yīng)用程序的名稱，則這個(gè)策略就不會(huì)起作用。如他們把QQ這個(gè)應(yīng)用程序名修改為其他我們?cè)试S運(yùn)行的程序名，則這個(gè)QQ應(yīng)用程序就允許被運(yùn)行。不過，在企業(yè)中，有這方面才能的人還是極少數(shù)的，所以在企業(yè)中還是有比較大應(yīng)用價(jià)值。如果大家不放心的話，則還可以通過軟件限制策略來實(shí)現(xiàn)這個(gè)需求。

　　二、 限制瀏覽器的更改，保護(hù)瀏覽器安全

　　在微軟的操作系統(tǒng)中，瀏覽器可以說是一個(gè)比較脆弱的環(huán)節(jié)，很多操作系統(tǒng)的問題，都是因?yàn)闉g覽器遭受到攻擊所造成的。所以，有效保護(hù)瀏覽器，防止修改某些參數(shù)，對(duì)于保護(hù)瀏覽器安全，甚至企業(yè)網(wǎng)絡(luò)安全來說，都有非常重要的作用。

　　我們希望在組策略管理中，能夠?qū)崿F(xiàn)對(duì)某些修改參數(shù)的限制。如我們不希望用戶隨意修改瀏覽器中的安全選項(xiàng);或者禁止用戶修改internet選項(xiàng)中的高級(jí)頁簽中的相關(guān)功能。其實(shí)，有時(shí)候，也不是用戶故意更改，而是在一些不良網(wǎng)站的利誘下，甚至他們私下進(jìn)行更改。如有些不良網(wǎng)站會(huì)提示用戶降低瀏覽器的安全性或者啟用某些不安全的瀏覽器功能，以正常訪問他們的網(wǎng)站。如此，一些沒有安全觀念的用戶，就會(huì)造著去做。這就會(huì)給對(duì)方有機(jī)可乘。而更有甚者，有些網(wǎng)站或者木馬、病毒，會(huì)利用瀏覽器的漏洞直接修改瀏覽器的相關(guān)設(shè)置，以方便他們的攻擊。不過，無論是哪種方式的修改，都需要當(dāng)前登陸帳戶具有這種權(quán)限，或者的話，他們是無法達(dá)到修改的目的。

　　所以，我們通過組策略的相關(guān)控制，讓用戶沒有這方面的權(quán)限，同時(shí)，又能夠讓他們滿足正常辦公的需要，這就是我們的目的。這個(gè)需求我們可以通過管理模板策略，輕松的完成。因?yàn)樵诮M策略中，有一個(gè)選項(xiàng)可以限制用戶使用瀏覽器的某些功能。如我們依次打開用戶配置、管理模板、Windows組件、瀏覽器，找到Internet控制面板選項(xiàng)。打開這個(gè)選項(xiàng)，我們就可以設(shè)置用戶具有哪些操作瀏覽器的權(quán)限;不能做哪些動(dòng)作，等等。不過，這里僅限微軟的瀏覽器，而其他的瀏覽器，如FIREFOX等等，就不再組策略的管理范圍之內(nèi)了。

#p#副標(biāo)題#e#

　　一般來說，在對(duì)瀏覽器的管理上，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面。

　　一是插件的安裝。有時(shí)候在訪問網(wǎng)頁的時(shí)候，可能需要安裝一些插件，如FALSH插件或者一些安全認(rèn)證插件。有時(shí)候這些插件是必須的，但是，有時(shí)候病毒或者木馬也會(huì)利用這些插件作為掩護(hù)，在插件中植入一些不安全的代碼，從而破壞瀏覽器。如實(shí)現(xiàn)一些垃圾廣告、自動(dòng)打開網(wǎng)頁，甚至竊取用戶密碼等等。所以，一般情況下，不要讓用戶具有安裝這些插件的權(quán)限。

　　二是代碼的運(yùn)行。在瀏覽器中，也可以運(yùn)行一些諸如JAVA之類的代碼。這可以大大的強(qiáng)加瀏覽器的功能，但是，隨之帶來的是很大的安全隱患。根據(jù)筆者多年的工作經(jīng)驗(yàn)，在企業(yè)網(wǎng)絡(luò)中，完全沒有必要讓員工的主機(jī)具有這方面的功能，它們用得到的幾率很小，這反而增加了網(wǎng)絡(luò)的不穩(wěn)定性因素。所以，一般來說，用戶瀏覽器不需要有代碼的執(zhí)行權(quán)限。

　　三、 隱藏控制面板中無用的圖標(biāo)

　　人總是有好奇心的。筆者在平時(shí)網(wǎng)絡(luò)管理中，最頭痛的不是那些對(duì)電腦一竅不通的員工。他們對(duì)電腦什么都不懂，那么也就會(huì)很乖，我讓他們干什么，他們就干什么，從來不會(huì)去亂搞。但是，若在電腦網(wǎng)路方面是個(gè)半桶水的人，那么就麻煩了，他們一方面會(huì)想著法子玩?zhèn)€性，如會(huì)擅自修改電腦的名字;擅自刪除他認(rèn)為不需要的程序，以為這可以提高系統(tǒng)速度。另一方面，他們不僅自己這么做，還會(huì)帶動(dòng)旁邊一片人，甚至還充當(dāng)起他們的老師來。這種人反而是我們最頭疼的。

　　為此，筆者的做法就是，一不做，二不休，把控制面板中一些圖標(biāo)都隱藏掉，如此的話，他們就無從修改了。其實(shí)，要實(shí)現(xiàn)這個(gè)需求，可以直接通過管理模板策略來實(shí)現(xiàn)。我們依次打開用戶設(shè)置、管理模板、控制面板，然后找到“隱藏指定的控制面板程序”即可。當(dāng)這里指定把某些圖標(biāo)隱藏起來后，用戶就無法通過控制面板來訪問他們。

　　以XP操作系統(tǒng)為例，我們可以把這些圖標(biāo)給隱藏掉

　　一是網(wǎng)絡(luò)連接。若用戶有相關(guān)的權(quán)限，則就可以通過網(wǎng)絡(luò)連接在更改IP地址，或者把IP地址的取得方式從自動(dòng)取得改為固定IP地址，等等。這些行為很可能導(dǎo)致企業(yè)網(wǎng)絡(luò)內(nèi)IP地址的沖突，從而造成企業(yè)網(wǎng)絡(luò)的不穩(wěn)定。特別是一些企業(yè)通過IP地址來限制對(duì)網(wǎng)絡(luò)的訪問。如某些IP地址無法訪問外部網(wǎng)絡(luò)或者無法使用QQ等等。此時(shí)，就可能會(huì)引發(fā)用戶擅自修改IP地址，目的就是為了獲取相關(guān)的網(wǎng)絡(luò)訪問權(quán)限。一般來說，可以把這個(gè)網(wǎng)絡(luò)連接程序隱藏掉，沒有必要放在那邊讓用戶修改。

　　二是用戶帳戶程序。一般來說，我們不需要員工具有建立本機(jī)帳戶的權(quán)限。對(duì)于客戶端的登陸帳戶，一般都是有網(wǎng)絡(luò)管理員進(jìn)行統(tǒng)一管理與配置。所以，其他用戶的話，也就沒有需要具有這個(gè)權(quán)力。但是，在實(shí)際工作中，我們可能是按員工編號(hào)作為員工的登陸名，但是，有些員工卻不樂意了，他們憑著自己對(duì)電腦的了解，在系統(tǒng)中新建了一個(gè)以自己名字命名的登陸名。這就破壞了我們網(wǎng)絡(luò)管理員的帳戶統(tǒng)一管理的策略，我們是不允許的。所以，我們可以通過管理模板策略，把這個(gè)隱藏掉，從源頭限制他們進(jìn)行修改。

　　三時(shí)字體應(yīng)用程序。在一些比較特殊的應(yīng)用環(huán)境中，可能需要用戶安裝一些特殊的字體，軟件才能夠正常使用。遇到這種情況的話，我們是不允許用戶擅自增加字體。一方面，從網(wǎng)絡(luò)上下載的字體可能帶有病毒，安全性不高。二是字體安裝的難度雖然不高，但是，一不小心的話，可能破壞原有的字體，反而造成其他軟件運(yùn)行的不穩(wěn)定。所以，需要把這個(gè)應(yīng)用程序隱藏起來。在有需要的時(shí)候，讓網(wǎng)絡(luò)管理員來進(jìn)行相關(guān)的操作，這相對(duì)來說，比較安全。

　　總之筆者認(rèn)為，管理模板策略可以幫助網(wǎng)絡(luò)管理員方便的實(shí)現(xiàn)一些共性的內(nèi)容，是一個(gè)很不多的管理平臺(tái)。