客户端桌面环境的管理一直以来都是企业在IT维运上的一大负担，然而无论是在应用程序的部署、操作系统的部署、软件资产的清点、软件使用策略的管理等需求上，Microsoft一路走来也提供了各式各样的解决方案，来适应不同企业的实际环境。

其中，在软件使用策略的管理方面，对于构建在Active Directory下的Windows运行环境来说，很多网管人员都知道可以通过软件限制策略（SRP，Software Restriction Policies）来加以管理，它至今仍被许多网管员运用在Windows XP与Windows Vista的作业环境中。但是如果您使用的比较深入，那么可能会发现在实际管理上仍有相当不尽人意的地方。

举例来说，许多网管员都很喜欢使用哈希策略（Hash rules），当我们限制了某一个网络应用程序版本的使用之后，一旦这个应用程序发行了新的版本，IT人员便需要再加入新的哈希规则到软件限制策略中，对于在如今软件更新速度非常快速的年代里，单单这样的管理机制恐怕就会让许多网络管理人员吃不消。

应用程序策略控制

在Windows 7与Windows Server 2008 R2操作系统中，针对软件使用策略的管理上，企业网管人员将能够拥有更精细与弹性的管理能力，那就是通过最新的群组策略功能→应用程序策略控 制（Application Control Policies）。而这一项功能能够为企业在IT维运管理上，达到以下几点效益：

● 让一些未经授权或是不合法的软件无法在客户端计算机上运行。

● 避免可能带有恶意程序码或是安全漏洞的应用程序在客户端计算机上运行。

● 避免客户端所执行的非法网络相关应用程序，影响到公司网络的正常运作。

● 避免因客户端执行了一些非法的应用程序造成系统运行不稳定，而增加网络管理部门在支持成本上的负担。

● 通过有效的桌面应用程序管理机制，让企业应用程序在部署与管理上更加容易。

● 让使用者仅能够执行企业已核准的合法软件与必要的应用程序更新或安装。

● 协助企业确保桌面环境的使用符合企业规范以及工业标准，例如 ：PCI DSS、Sarbanes-Oxley、HIPAA、Basel II。

哪些操作系统支持应用程序策略控制

全新应用程序策略控制设置可以套用在所有版本的Windows Server 2008 R2，以及Windows 7的旗舰版（Ultimate）、企业版（Enterprise）。至于 Windows 7的专业版（Professional），则仅能用来建立应用程序策略，而无法作为被管理的目标。

增强数据安全管理

在数据加密保护的安全管理上，在前一版Windows Vista中，许多移动办公人员逐渐懂得通过BitLocker这项内建的磁盘加密保护的安全功能，来保护可能因移动计算机遗失，所造成的商业机密数据泄露的问题。

而在最新版Windows 7中的BitLocker，则延伸了一项名为BitLocker to Go的安全功能，主要用以加密保护USB移动储存设备，并且可以设置开启受保护移动设备的密码，这样就可以避免可能因USB储存设备遗失，导致商业机密数据泄露的问题发生。

此外，对于许多功能的使用，都可以整合群组策略来加以管理，例如，您可以使用BitLocker群组策略的设置来管理业务部、财务部以及研发部门，对于将数据储存至U盘的使用上，必须预先启用BitLocker对此U盘的保护之后才能够储存，并且无法在其他环境中写入数据到此U盘。