网管宝典8

第八章组策略的配置与应用本章以域组策略管理配置和应用为例全面介绍组策略的配置与应用。本章重点如下：用户账户策略、本地策略、受限制的组策略配置方法“用户权限分配”和“安全选项”策略项的用途和应用文件夹重定向的意义及策略配置方法“软件限制策略”的配置与应用，以及利用InstallShield制作MSI程序包的方法软件限制策略的4种过滤规则及创建、配置方法磁盘配额策略选项用途和设置方法8.1“账户策略”配置与应用账户策略位置如下图所示。账户策略只能在域级别上设置，不能在组织单位，或者站点、林级别上设置。这一点应特别注意。8.1.1“密码策略”及配置用户账户密码策略在组策略编辑器控制台的位置如下：计算机设置→Windows设置→安全设置→账户策略→密码策略。配置方法是先选择“定义这个策略设置”复选框，然后选择“已启用”单选按钮，单击【确定】按钮即启用了密码复杂性要求这个策略选项。如果要启用该策略，则密码必须符合以下最低要求：长度至少为6个字符包含来自以下4个类别中的3个的字符：不包含全部或部分的用户账户名–英文大写字母（从A到Z–英文小写字母（从a到z）–10个基本数字（从0到9）–非字母字符（例如，!、$、#、%）更改或创建密码时，会强制执行复杂性要求。而且在域控制器上是默认启用的，而在独立服务器上默认是禁用的。其他策略项的配置方法类似，有关其他策略项的具体说明参见书中介绍。8.1.2“账户锁定策略”及配置账户锁定策略用于域账户或本地用户账户，所包括的3个策略选项如下图所示。它们确定某个账户被系统锁定的情况和时间长短。其中“账户锁定阈值”策略选项就是用来设置示例中当用户尝试多少次登录失败即锁定账户的要求，这样做的目的就是为了避免非法用户通过穷举法来猜测用户密码。“账户锁定时间”策略设置选项确定锁定的账户在自动解锁前保持锁定状态的分钟数。“复位账户锁定计数器”策略选项设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有关各策略项的设置方法与应用参见书介绍。8.1.3“账户策略”应用账户策略应用主要体现在以下几个方面：强迫用户定期更改密码，并不允许使用近期一样的密码防止非法用户非法更改用户密码防止用户更改的密码太简单防止非法用户字典攻击具体应用方法参见书中介绍。8.2“本地策略”配置与应用“本地策略”的位置如下图所示。在“本地策略”中包括“审核策略”、“用户权限分配”和“安全选项”3个大的策略项。1．审核策略通过审核策略可确定是否将安全事件记录到计算机的安全日志中，同时也确定是否记录登录成功或登录失败，或二者都记录。2．用户权限分配用户权利授予计算环境中的用户和组账户特定的特权和登录权利。3．安全选项通过这里的安全选项可以启用或禁用计算机的安全设置。以上具体内容参见书中介绍。8.2.1“审核策略”及配置审核策略是用于确定要报告给网络管理员的安全事件的策略。审核策略中的监控对象的创建或修改为您提供了一种跟踪潜在安全性问题的方法，从而帮助您确保用户账户的责任性，并在出现违反安全的事件时提供证据。应该被审核的最普通的事件类型包括：访问对象，如文件和文件夹。用户账户和组账户的管理。用户登录到系统和从系统注销。具体审核策略项功能说明及配置方法参见书中介绍。8.2.2“用户权限分配”策略及配置“用户权限分配”策略定义了本地级别上的功能，也就是它只作用于特定的域中，而不能跨域。它在域组策略中的位置如下图所示。与权限一样，虽然用户权利可以应用于单个的用户账户，但最好是在组账户基础上管理。这样可以确保作为组成员登录的账户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利，可以简化用户账户管理的任务。用户权利可以划分为两种类型，一种为特权，如备份文件和目录的权利；另一种是登录权利，如登录到本地系统的权利。具体策略项说明参见书中介绍。8.2.3“安全选项”策略及配置“安全选项”策略在组策略中的位置如下图所示。安全设置和安全策略是配置在一台或多台计算机上的规则，用于保护计算机或网络上的资源。安全设置可以控制：用户访问网络或计算机的身份认证方式。授权给用户的可以使用的资源。无论用户的或者组的操作都被记录在事件日志中。组成员。具体策略项说明参见书中介绍。8.2.4“本地策略”应用“本地策略”的应用主要体现在以下几个方面：跟踪非法用户的登录跟踪非法用户的账户创建防止拒绝服务攻击中的远程关机拒绝非administrators组成员在域控制器上本地登录保护敏感的计算机限制使用终端服务进行远程登录防止用户在本地计算机中私自安装软件不允许非法用户使用网络共享资源防止非法用户通过交互登录获取用户账户禁止通过缓存来登录到域网络让WindowsServer2003系统也可以匿名访问禁止远程修改注册表具体内容参见中介绍。8.3“受限制的组”策略配置与应用“受限制的组”策略选项默认没有策略配置，其位置如下图所示。它允许管理员为安全敏感的组（“受限制的组”）定义两个属性，分别是“成员”和“隶属于”。“成员”列表定义了哪些用户属于及哪些用户不属于受限制的组，“隶属于”列表指定受限制的组属于其他哪些组。当强制实施“受限制的组”策略时，则未在“成员”列表中的受限制组的当前成员都将被删除，同时，“成员”列表中任何当前不是受限制组成员的用户将被添加。具体内容参见书中介绍。8.4“文件夹重定向”策略配置与应用在组策略对象编辑器中，可以使用“文件夹重定向”策略项将某些特殊文件夹重定向到网络位置。特殊文件夹是指DocumentsandSettings之下诸如“MyDocuments”和“MyPictures”这样的文件夹。“文件夹重定向”允许管理员将文件夹的路径重定向到新的位置。该位置可以是本地计算机上的文件夹，也可以是网络文件共享上的目录。用户能够处理服务器上的文档，就像文档基于本地驱动器一样。用户可以从网络上的任何计算机来访问文件夹中的文档。“文件夹重定向”位于组策略对象编辑器的控制台树中“用户配置”中的“Windows设置”下面，如下图所示。8.4.1“文件夹重定向”概述1．可重定向的文件夹目前在WindowsServer2003系统域组策略中可以对5个文件夹进行重定向，如书中表8-13所示。2．文件夹重定向的好处重定向所带来的好处有如下几个方面：在每次用户登录和注销时，不需要将其内容在客户机和服务器之间来回复制，这样可大大加快登录和注销过程。即使用户登录到网络上的不同计算机，也始终可以访问其文档。在用户没有连接到网络上时，也可以使用脱机文件技术为用户提供对该文件夹的访问。共享网络文件夹中存储的数据可以作为日常系统管理工作的一部分而进行备份。“文件夹重定向”是一种在网络上保存用户数据的安全方法，但条件是打开了“授予用户独占权限”选项。可以将用户特有的数据从装有操作系统文件的硬盘重定向到用户本地计算机的另外一块硬盘上。用户可以使用WindowsServer2003的卷影复制服务功能，恢复文件在其重定向文件夹中的旧副本，而无须技术支持人员进行干预。管理员可以使用组策略来设置磁盘配额，从而限制了用户的特殊文件夹所占用的空间。3．“文件夹重定向”的策略删除注意事项书中表8-14总结了组策略对象不再适用时，重定向文件夹及其内容将出现的情况。具体内容参见书中介绍。8.4.2“文件夹重定向”策略应用（略）具体应用示例参见书中介绍。8.5“软件安装”策略配置与应用可以使用组策略的软件安装扩展来集中管理组织中的软件分发，可以使用此扩展为用户和计算机组分配和发布软件。“软件安装”策略在组策略中有两个位置，分别是在“计算机配置”和“用户配置”容器“软件设置”策略项下，如下图所示。也就是主说它既可以针对网络中的计算机对象进行设置，又可以针对网络中的用户进行设置。8.5.1“软件安装”的两种软件安装方式“软件安装”组策略能帮助您指定如何在组织内部安装和维护应用程序。1．分配应用程序在为用户或计算机分配应用程序时，在登录（对于为用户分配的应用程序）或启动（对于为计算机分配的应用程序）时就会自动在其计算机上安装这些应用程序。在为用户分配应用程序时，默认行为是下次用户登录时将该应用程序播发到计算机上。这意味着，应用程序的快捷方式会出现在【开始】菜单上，并使用有关该应用程序的信息更新注册表，其中包括应用程序包的位置及安装源文件的位置。2．发布应用程序要安装发布的应用程序，用户可以使用控制面板中的“添加或删除程序”，它包括用户可安装的所有已发布应用程序的列表。或者，如果管理员选择了“通过文件扩展名激活自动安装该应用程序”功能，则用户可以打开一个与发布的应用程序关联的文档文件。具体内容参见书中介绍。8.5.2利用“软件安装”策略的注意事项在利用组策略为用户，或计算机发布软件之前，请参考以下的注意事项。了解组策略软件安装和SystemsManagementServer之间的差别为组织指定应用程序类别确保在发布或指派WindowsInstaller软件包之前已将其正确转换仅对每个组策略对象指派或发布一次重新打包现有软件在ActiveDirectory层次结构的高级别中指派或发布应用程序使用必需的（而不是可选的）升级使用“组策略软件安装”属性进行范围广泛的控制使用WindowsINstaller软件包属性进行精细控制以上具体内容参见书中介绍。8.5.3利用“软件安装”策略分配应用程序“分配应用程序”在原来的组策略版本中称之为“指派应用程序”，它可以分别在组策略编辑器的“用户配置”选项，或者“计算机配置”选项中进行。将应用程序分配给用户后，在用户下次登录到工作站时，该应用程序将公布给用户。应用程序的公布取决于该用户，而不管用户实际使用哪台物理计算机。用户第一次在计算机上激活应用程序时，将安装应用程序。激活的方法是：在【开始】菜单上选择应用程序，或者激活与应用程序相关联的文档。分配应用程序的方法是在组策略编辑器控制台树中的“计算机配置”（如果是为用户对象指派，则要在选择“用户配置”项下）找到“软件设置”选项，单击鼠标右键，在弹出菜单中选择【新建】下的【程序包】命令，打开一个窗口，在其中选择你要指派的应用程序（事先必须配置共享），随即打开如下页左图所示对话框。选择“已指派”单选按钮，然后单击【确定】按钮。指派后的.MSI软件包就会在组策略编辑器窗口的对应“软件安装”栏中显示，如下页右图所示。对计算机，或者用户指派了应用软件后，在客户端计算机下次重启，或者用户下次登录时系统会提示用户安装所指派的软件。当然也可不安装，但这样在每次重启，或者登录时都会有这样的提示，直到安装了指派的软件为止具体应用示例参见书中介绍。8.5.4利用“软件安装”策略发布应用程序本节所要介绍的“发布应用程序”只能针对用户进行，必须在“组策略编辑器”控制台“用户配置”下的“软件安装”选项上单击鼠标右键进行。但基本方法与上面的“分配应用程序”类似，只是在如下左图所示对话框中要选择“已发布”单选按钮。发布后的应用程序在组策略中的显示状态为“已发布”，如下右图所示。具体示例内容参见书中介绍。8.5.5利用InstallShield11.5创建MSI程序包1．单一软件MSI程序包制作新建MSI程序包的方法可单击程序主界面左边中间“ProjectTasks”栏（项目任务）中的“Createanewproject”（创建新的项目）选项，在打开的对话框中选择“Common”（通用）选项卡，如下面左图所示。再选择“BasicMSIProject”（基本的MSI项目）选项，然后在“ProjectName”（项目名称）文本框中输入一个项目名称，单击【OK】按钮，打开如下右图所示界面。这是一个“Projectassistant”（项目助手）界面，显示了整个MSI程序包的基本创建流程，直接按界面底部左、右端箭头可以以向导方式进行。按照这个向导提示进行操作即可。整个流程在界面底部显示，显示当前步骤的选项会以高亮显示。整个过程比较长