客戶端桌面環(huán)境的管理一直以來都是企業(yè)在IT維運上的一大負擔，然而無論是在應用程序的部署、操作系統(tǒng)的部署、軟件資產(chǎn)的清點、軟件使用策略的管理等需求上，Microsoft一路走來也提供了各式各樣的解決方案，來適應不同企業(yè)的實際環(huán)境。

其中，在軟件使用策略的管理方面，對于構建在Active Directory下的Windows運行環(huán)境來說，很多網(wǎng)管人員都知道可以通過軟件限制策略（SRP，Software Restriction Policies）來加以管理，它至今仍被許多網(wǎng)管員運用在Windows XP與Windows Vista的作業(yè)環(huán)境中。但是如果您使用的比較深入，那么可能會發(fā)現(xiàn)在實際管理上仍有相當不盡人意的地方。

舉例來說，許多網(wǎng)管員都很喜歡使用哈希策略（Hash rules），當我們限制了某一個網(wǎng)絡應用程序版本的使用之后，一旦這個應用程序發(fā)行了新的版本，IT人員便需要再加入新的哈希規(guī)則到軟件限制策略中，對于在如今軟件更新速度非?？焖俚哪甏铮瑔螁芜@樣的管理機制恐怕就會讓許多網(wǎng)絡管理人員吃不消。

應用程序策略控制

在Windows 7與Windows Server 2008 R2操作系統(tǒng)中，針對軟件使用策略的管理上，企業(yè)網(wǎng)管人員將能夠擁有更精細與彈性的管理能力，那就是通過最新的群組策略功能→應用程序策略控 制（Application Control Policies）。而這一項功能能夠為企業(yè)在IT維運管理上，達到以下幾點效益：

● 讓一些未經(jīng)授權或是不合法的軟件無法在客戶端計算機上運行。

● 避免可能帶有惡意程序碼或是安全漏洞的應用程序在客戶端計算機上運行。

● 避免客戶端所執(zhí)行的非法網(wǎng)絡相關應用程序，影響到公司網(wǎng)絡的正常運作。

● 避免因客戶端執(zhí)行了一些非法的應用程序造成系統(tǒng)運行不穩(wěn)定，而增加網(wǎng)絡管理部門在支持成本上的負擔。

● 通過有效的桌面應用程序管理機制，讓企業(yè)應用程序在部署與管理上更加容易。

● 讓使用者僅能夠執(zhí)行企業(yè)已核準的合法軟件與必要的應用程序更新或安裝。

● 協(xié)助企業(yè)確保桌面環(huán)境的使用符合企業(yè)規(guī)范以及工業(yè)標準，例如 ：PCI DSS、Sarbanes-Oxley、HIPAA、Basel II。

哪些操作系統(tǒng)支持應用程序策略控制

全新應用程序策略控制設置可以套用在所有版本的Windows Server 2008 R2，以及Windows 7的旗艦版（Ultimate）、企業(yè)版（Enterprise）。至于 Windows 7的專業(yè)版（Professional），則僅能用來建立應用程序策略，而無法作為被管理的目標。

增強數(shù)據(jù)安全管理

在數(shù)據(jù)加密保護的安全管理上，在前一版Windows Vista中，許多移動辦公人員逐漸懂得通過BitLocker這項內(nèi)建的磁盤加密保護的安全功能，來保護可能因移動計算機遺失，所造成的商業(yè)機密數(shù)據(jù)泄露的問題。

而在最新版Windows 7中的BitLocker，則延伸了一項名為BitLocker to Go的安全功能，主要用以加密保護USB移動儲存設備，并且可以設置開啟受保護移動設備的密碼，這樣就可以避免可能因USB儲存設備遺失，導致商業(yè)機密數(shù)據(jù)泄露的問題發(fā)生。

此外，對于許多功能的使用，都可以整合群組策略來加以管理，例如，您可以使用BitLocker群組策略的設置來管理業(yè)務部、財務部以及研發(fā)部門，對于將數(shù)據(jù)儲存至U盤的使用上，必須預先啟用BitLocker對此U盤的保護之后才能夠儲存，并且無法在其他環(huán)境中寫入數(shù)據(jù)到此U盤。