软件限制策略企业网络应用

在企业网络管理中，我们很重要的一块工作，就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具，或者不允许他们在上班时间看电影等等。要实现这些方面的控制，现在已经有不少好的工具。利用域控制器，来实现对某些软件的限制，也是其中一种比较流行的方式之一。
　　域环境中的软件限制策略，也就是说，当用户利用域帐户登陆到本机电脑的时候，系统会根据这个域帐户的访问权限，来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候，则操作系统就会拒绝用户访问某个应用软件，从而来管理企业员工的操作行为。
　　在这篇文章中，笔者将对软件限制策略的一些常识进行一些简短的介绍，然后在后续的文章中，笔者会结合自己公司的设置，来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。
　　一、 应用软件与数据文件独立
　　在应用软件限制策略的时候，需要明白的第一个原则就是“应用软件与数据文件独立”独立原则。也就是说，你即使具有数据文件的访问权限，但是，若其没有其关联软件的访问权限的话，则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影，其作为所有者人，当然具有对这个数据文件进行访问的权限。但是，我们在软件限制策略设置的时候，这个用户帐户无法访问任何的视频播放软件。如此的话，这个用户仍然无法播放这部电影。
　　这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲，甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是，我们对于用户电脑上应用程序的控制来说，则相对简单许多。我们只需要把这些应用程序控制好，则即使用户私自下载受限制的文件，则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。
　　二、 软件限制策略的冲突处理原则
　　软件限制策略跟其他组策略一样，可以在多个级别上进行设置。或者说，软件限制策略是组策略中的一个特殊分支也未尝不可。所以，软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此，所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候，其优先性如何呢?