活动目录组策略1

9/8/2019组策略9/8/2019主要内容8.1组策略概述8.2组策略对象8.3管理模板策略的设置8.4账户策略的设置8.5本地策略的设置8.6登录/注销、启动/关闭脚本8.7部署应用程序9/8/20198.1组策略概述组策略就是修改注册表中的配置。组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。9/8/2019组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内（域控制器“%systemroot%\SYSVOL\sysvol\域名\Policies”目录下）。9/8/20198.1.1组策略简介计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有计算机。9/8/2019用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有用户。9/8/2019本地组策略:它是针对每一台Windows2000Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%\system32\GroupPolicy”目录内，只针对本地计算机和本地用户。9/8/20198.1.2组策略的应用顺序与规则如果在本地计算机、站点、域和组织单位内分别设置了组策略，则这些组策略的应用顺序为：1.本地组策略（即本地安全策略，存储在本地计算机内）；2.站点的组策略；3.域的组策略；4.组织单位的组策略（后3项的数据存储在活动目录内）。9/8/2019具体的应用规则说明如下:（1）如果在父容器内建立了一个组策略，但是并未在子容器建立组策略，则子容器会继承在父容器内所建立的组策略。（2）如果另外在子容器内建立了组策略，在默认情况下子容器的组策略则要取代父容器的组策略。9/8/2019（3）如果父容器未被设置组策略，则子容器不会继承父容器的组策略。（4）如果父容器设置了组策略，但是子容器内的组策略并未设置，则子容器会继承父容器的组策略。9/8/2019存在这样一些机制：用户可以强制继承或阻止组策略对象影响用户组和计算机组，这可以通过“禁止替代”和“阻止策略继承”的设置来实现。特别要指出的是，组策略不影响安全组。但是可以使用安全组来过滤组策略，也就是改变它的范围。组策略的特性9/8/20198.1.3组策略的继承一、阻止组策略继承在子容器组策略内，可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置。9/8/2019二、强迫继承策略在父容器的组策略内，可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置，而不管子容器的组策略内是否设置了“阻止策略继承”，即“强迫继承”策略的优先级要高于“阻止策略的继承”。9/8/20198.1.4组策略和ADGPO是一种与域、地址或组织单元相联系的物理策略，GPO包括文件和AD对象，要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的WindowsServer2003服务器和工作站都可以采用它。9/8/2019访问本地GPO的方法:1.MS-DOS命令窗口：gpedit.msc2.MMC控制台中选择GPO插件9/8/20198.2组策略对象一、根据不同的计算机，设置不同的组策略1．域控制器开始→程序→管理工具→域控制器安全策略2．成员服务器、独立服务器控制面板→管理工具→本地安全策略3．WindowsXP/2000Professional控制面板→管理工具→本地安全策略9/8/2019二、利用“ActiveDirectory用户和计算机”设置组策略图8-1组策略9/8/20198.2.1更改组策略在默认情况下，只有某些组内的用户账户（如administrators组内的账户）才可以在域控制器上登录，而一般用户无法在域控制器上登录。图8-2更改组策略9/8/20198.2.2测试“在本地登录”策略是否正常策略设置好后，并不是立即生效，因为针对域所设置的策略，此域内的计算机（包括域控制器）往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效，必须利用以下3种方式之一来达到目的。9/8/20198.2.2测试“在本地登录”策略是否正常一、使组策略生效1.运行命令：Secedit/Refreshpolicymachine_policeSecedit/Refreshpolicyuser_police2.重新启动/注销计算机3.等待此策略应用到计算机9/8/2019图8-3打开组策略9/8/2019测试组策略的效果利用administrator账号登录“开始”“程序”“管理工具”“ActiveDirectory用户和计算机”在User组织单位上右键“新建”普通用户账户使策略应用到计算机用新建账号重新登录9/8/20198.3管理模板策略的设置管理模板策略的设置：（1）隐藏用户桌面的“网上邻居”和“我的文档”图标。（2）将“开始”菜单中的“运行”、“文档”等命令删除。（3）在“开始”菜单中添加“注销”的功能。9/8/20198.3.1建立组织单位与用户账户管理工具ActiveDirectory用户和计算机新建组织单元（Beijing)在新建和组织单元中新建用户(john)。9/8/2019图8-4新建对象9/8/20198.3.2设置与测试组策略的替代功能设置与测试组策略的功能，可以先在“Beijing”组织单位内建立一个GPO，然后利用“Beijing”组织内的用户账户“John”来验证GPO的设置是否有效，然后再利用“School”子组织单位中的用户账户“Lili”登录，来验证“School”子组织单位是否会继承“Beijing”组织单位的GPO设置。9/8/2019然后再在“School”子组织单位中建立一个新的GPO，利用“Lili”登录来验证在子容器中设置的组策略是否替代了父容器中的组策略。9/8/2019一、设置“Beijing”组织单位的“GPO”二、测试组策略的应用三、测试组策略在子组织单位中的应用四、设置School的组策略五、测试School子组织单位组策略的应用9/8/20198.3.3拒绝继承组策略在子组织单位的GPO内，若有些策略被设置为“未被配置”，则子组织单位内的这些设置将继承父组织单位内的设置。但是却可以在子组织单位的GPO内，通过“阻止策略继承”复选框，将子组织单位的GPO设置为不要继承父组织单位的设置。9/8/20198.3.4强迫继承组策略用户可以在父组织单位内，设置强迫其所有的子组织单位必须继承父组织单位的GPO设置。那就是父组织单位的“禁止替代”功能。通过GPO的“选项”按钮打开如图8-5所示的对话框，进行设置。9/8/2019图8-5继承组策略9/8/20198.4账户策略的设置一、账户策略设置的注意事项（1）若针对域设置的账户策略，则这个策略会应用到域内的所有计算机。（2）若针对某个组织单位设置账户策略，则这个策略只会应用到这个组织单位内的计算机而已，不会影响到其他的计算机。9/8/2019二、设置账户策略的步骤开始程序管理工具ActiveDirectory用户和计算机在域或组织单位右键属性组策略选定GPO编辑9/8/2019图8-6账户策略9/8/20198.4.1密码策略密码策略包含多个与用户账户的密码有关的选项，如图8-7所示：图8-7密码策略9/8/20198.4.2账户锁定策略单击图8-7窗口中的“账户锁定策略”，显示如图8-8所示的窗口：图8-8账户锁定策略9/8/20198.5本地策略的设置8.5.1用户权利指派策略开始→程序→管理工具→ActiveDirectory用户和计算机域或组织单位上单击鼠标右键属性组策略选定GPO编辑计算机配置→Windows设置→安全设置→本地策略→用户权利指派用户权利指派。9/8/2019图8-9安全选项9/8/2019常用的用户权力指派中包括以下选项：（1）在本地登录：允许用户在本台计算机上按CTRL+ALT+DEL键登录。（2）域中增加工作站：允许用户将WindowsNT/Windows2000计算机加入到域内。（3）关闭系统：允许用户关闭此计算机。9/8/2019（4）从网络访问此计算机。（5）从远端计算机来关闭此计算机。（6）备份文件和目录。（7）还原文件和目录。9/8/2019（8）管理审核和安全日志。（9）更改系统的时间。（10）装载和卸载设备驱动程序。（11）取得文件或其他对象的所有权。9/8/20198.5.2安全选项策略设置步骤：1.打开“ActiveDirectory用户和计算机”对话框2.在域或组织单位上单击鼠标右键3.在弹出的快捷菜单中选择“属性”在对话框中选择“组策略”9/8/20194.选定GPO5.单击“编辑”按钮6.在打开的窗口中单击“计算机配置”7.“Windows设置”9/8/20198.“安全设置”9.“本地策略”10.“安全选项”9/8/2019图8-10安全选项9/8/2019常用的安全策略包括以下选项：（1）登录屏幕上不要显示上次登录的用户名。（2）允许在未登录前关机。（3）在密码到期前提示用户更改用户密码。（4）禁用按Ctrl+Alt+Del进行登录的设置。（5）只有在本地登录的用户才能访问CD-ROM。9/8/20198.6登录/注销、启动/关闭脚本8.6.1登录/注销脚本的设置登录/注销脚本用于指定用户登录或注销计算机时运行的脚本。登录/注销脚本是可选的。9/8/20198.6.2启动/关闭脚本的设置启动/关闭脚本是针对计算机进行的设置，当所有使用此计算机的用户启动和关闭计算机时，预先设置好的启动或关闭脚本就可以执行。启动/关闭脚本的设置与登录/注销脚本的设置步骤十分相似。9/8/2019启动脚本文件名称为：startup.vbs文件内容为：wscript.echo“WelcometoWindowsServer2000”。9/8/2019关闭脚本文件名称为：shutdown.vbs文件内容为：wscript.echo“Windows2000willbeshutdown,goodbye”。9/8/20198.7部署应用程序部署应用程序包括如下内容：（1）将应用程序发布（发行）给用户（2）将应用程序指派给用户或计算机（3）自动修复应用程序（4）删除用户应用程序9/8/20198.7.1发布应用程序一、发布应用程序二、安装被发布的应用程序三、测试自动修复应用程序功能9/8/20198.7.2给用户指派应用程序给用户指派应用程序与给用户发布应用程序的方法基本一致:1.首先建立包含Windows安装程序包的文件夹2.接下来设置默认程序包位置3.最后给用户指派应用程序只需要将给用户发布应用程序中的步骤部署软件的类型由“已发行”改为“已指派”即可。9/8/2019图8-11指派应用程序9/8/20198.7.3给计算机指派应用程序图8-12新建程序包9/8/20198.7.4更改部署应用程序的设置图8-13删除任务9/8/20198.7.5文件夹重定向可以利用组策略将一些WindowsServer2003内的特殊文件夹的存储位置，重定向到网络上的其他位置。9/8/2019特殊文件夹，是指如“我的文档”、“mypictures”等数据的存储位置。一般情况下，这些文件夹是在本地计算机内，如可以单击“我的文档”→属性→“目标文件夹”将此文件夹的存储位置指定到网络上的其他计算机内。9/8/2019通过以下两种方式来重定向文件夹：（1）针对每个用户设置，也就是将每个用户的文件夹重定向。（2）针对某个组设置，组内所有用户的文件夹都将被重定向。9/8/20198.8事件查看器事件查看器允许用户监视用户系统事件。它保存用户计算机上的程序、安全和系