第10章 Windows server 2003组策略

第10章组策略10.1组策略概述10.1.1组策略的概念“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。10.1.1组策略的概念1.组策略对象（GPO）系统已经有两个内建GPO，分别是：DefaultDomainPolicy此策略已被连接到域，因此该策略将影响域内所有计算机和用户。DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU，因此该策略将影响域控制器组织单元内的所有计算机和用户10.1.1组策略的概念2．组策略配置类型应用组策略时存在两种配置选项：计算机配置和用户配置。计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。10.1.1组策略的概念3．组策略功能类型软件部署：软件部署包括“应用程序分配”和“应用程序发行”两部分内容。“应用程序分配”指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；“应用程序发行”指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如，用户的“开始”菜单、屏保程序或用户配置文件的设置，包括操作系统组件和注册表设置。文件夹管理：文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。例如，可以根据安全组成员的身份把网络应用程序提供给用户。脚本：脚本能够用于在某些时间自动运行批处理文件的进程，如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。安全：安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策略。例如，密码的使用期、网络安全策略和账户锁定策略等。10.1.1组策略的概念4.组策略的应用时机组策略计算机配置的启动时机是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；或手工启动。组策略用户配置的启动时间是：用户登录时自动启动；系统即使用户不注销、登录，系统默认每隔90~120钟自动启动；手工启动。10.1.2组策略的应用顺序组策略的应用顺序如下：（1）本地组策略（2）域组策略（3）域控制器策略（4）组织单元组策略默认情况下，这些策略不一致时，后应用的策略将覆盖以前的策略。但是，如果这些设置对象不一致，前后的策略都是有效策略。组策略可以继承，也可以阻止策略继承。10.1.3WindowsServer2003组策略的特点组策略管理控制台（GPMC）策略结果集（Rsop）新策略设置跨域林支持用户数据设置和管理的增强组策略通过Web视图整合到组策略对象编辑器中软件限制策略10.2组策略对象的管理10.2.1创建组策略每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略，而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略10.2.1创建组策略10.2.2链接已有的GPO10.2.2链接已有的GPO10.2.2链接已有的GPO10.2.3委托GPO管理控制10.2.3委托GPO管理控制10.2.4设置组策略10.2.4设置组策略10.2.4设置组策略•未配置：表示该设置不会更改注册表。•已启用：表示该配置应用到该GPO的用户和计算机。•已禁用：表示注册表将指示策略不会应用到隶属于该GPO的用户和计算机。10.2.5删除GPO链接10.2.5删除GPO链接10.2.6删除GPO10.3组策略的应用10.3.1指派应用程序可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击和该软件的文档时，该软件才会被自动安装。10.3.1指派应用程序10.3.1指派应用程序10.3.1指派应用程序10.3.2发布应用程序和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要用“控制面板”中的“添加或者删除应用程序”来安装软件。发布应用程序只用于用户配置，在组策略中发布的程序是否被用户安装，取决于用户。10.3.2发布应用程序10.3.3配置桌面10.3.3配置桌面10.3.3配置桌面10.3.3配置桌面2．设置最近打开文档记录不想让人知道自己浏览过哪些网页和打开过哪些文件。10.3.3配置桌面10.3.3配置桌面10.3.3配置桌面3．设置系统关机每次关闭WindowsServer2003系统时，总会出现关机原因提示框，关闭关机原因提示窗口.10.3.3配置桌面10.3.3配置桌面10.3.4使用脚本所谓的脚本就是一段类似VisualBasicScript或者JavaScript的一段程序或命令。脚本用于管理用户环境，WindowsServer2003提供了脚本用于计算机的启动、关机和用户的登录和注销。10.3.4使用脚本10.3.4使用脚本10.3.5文件夹重定向在组策略中系统管理员可以重定向的文件夹有：应用程序、桌面、我的文档、开始菜单。如果用户要保存数据到我的文档时，数据不再保存到本机而是网络位置。这样做好处是：用户登录到域中任何计算机，他的文档会很容易获得。10.3.5文件夹重定向10.3.5文件夹重定向10.3.5文件夹重定向10.3.6安全设置10.3.6安全设置1.账户策略10.3.6安全设置2本地策略这里的“本地策略”和本地安全策略是不一样的，本地安全策略是本地组策略的安全设置这部分。这里的“本地策略”是组策略中的安全设置的小一部分（如图10－32的“计算机配置”→“Windows设置”→“安全设置”），也就是说本地组策略中包括本地安全策略，而本地安全策略包含这里所说的“本地策略”。当然域组策略也包含了“本地策略”。10.3.6安全设置审核策略决定哪些安全事件记录到计算机的安全日志中，可以审核成功和失败事件，例如：审核对象访问是审核用户访问文件、文件夹、打印机的事件用户权利指派决定哪个用户或组有登录或任务特权，例如我们指定哪些用户可以关闭系统。安全选项用以启动或禁用计算机的安全设置，例如：Administrator和Guest的账户名、软驱和光盘的访问、驱动程序的安装以及登录提示等。10.3.6安全设置10.3.6安全设置3．事件日志10.3.6安全设置4．受限制的组受限制的组是用以控制组的成员，防止有人增加某个组的成员。10.3.6安全设置5．系统服务系统服务策略项用于为计算机上运行的服务配置安全设置和启动设置。10.3.6安全设置6．注册表注册表策略项用以指定用户或组访问注册表的权限.10.3.6安全设置10.3.6安全设置7．文件系统文件系统允许你在策略级别上设置文件系统对象（NTFS目录和文件）的权限。10.3.7安全模板安全模式实际上是保存有组策略中的安全设置的一个文件，可以把它当成一个样板应用到组策略中，则组策略中的安全设置就和模板中的安全设置一样。把所有的安全设置存放在文件中方便于使用和管理，这样可以把安全设置进行备份或者复制到别的计算机上。10.3.7安全模板10.3.7安全模板可以把安全模板导入到组策略中10.3.7安全模板也可以导出本地安全策略或者当前的有效安全策略到一个安全模板中，以实现安全设置的备份（常常在改变安全策略前进行这项工作）。