项目4-使用组策略管理用户工作环境.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Windows Server,活动目录企业应用（微课版）,项目,4,使用组策略管理用户的工作环境,杨云 主编,4.1,相关知识,识,组策略是一种能够让系统管理员充分管理与控制用户工作环境的功能通过它来确保用户拥有符合组织要求的工作环境，也通过它来限制用户，这样不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。,本节介绍如何使用组策略来简化在,Active Directory,环境中管理计算机和用户。将了解组策略对象,(GPO),结构以及如何应用,GPO,，还有应用,GPO,时的某些例外情况。,本节还将讨论,Windows Server 2012,提供的组策略功能，这些功能也有助于简化计算机和用户管理。,4.1.1,组策略,组策略是一种技术，它支持,Active Directory,环境中计算机和用户的一对多管理，特点如图,6-1,所示。,图,6-1,组策略,通过编辑组策略设置，并针对目标用户或计算机设计组策略对象,(GPO),，可以集中管理具体的配置参数。这样，只更改一个,GPO,，就能管理成千上万的计算机或用户。,组策略对象是应用于选定用户和计算机的设置的集合。组策略可控制目标对象的环境的很多方面，包括注册表、,NTFS,文件系统安全性、审核和安全性策略、软件安装和限制、桌面环境、登录,/,注销脚本等。,通过链接，一个,GPO,可与,AD DS,中的多个容器关联。反过来，多个,GPO,也可链接到一个容器。,1,域策略,域级策略只影响属于该域的用户和计算机。默认情况下存在两个域级策略，如表,6-1,所示。,策略,描述,默认域策略,此策略链接到域容器，并且影响该域中的所有对象,默认域控制器策略,此策略链接到域控制器的容器，并影响该容器中的对象,表,6-1,默认域级策略（域策略、域控制器策略）,可以创建其他域级策略，然后将其链接到,AD DS,中的各种容器，以将具体配置应用于选定对象。例如，提供额外安全性设置的,GPO,可应用于包含应用程序服务器计算机账户的组织单位。又如，,GPO,可限制某个组织单位中用户的桌面环境。,2,本地策略,运行,Windows 2000 Server,或更高版本操作系统的每台计算机都有本地组策略。此策略影响本地计算机以及登录到该计算机的任何用户，包括从该本地计算机登录到域的域用户。,在工作组或单机情况下，只有本地组策略可用于控制计算机环境。,本地策略设置存储在本地计算机上的,%systemroot%system32GroupPolicy,文件夹中，该文件夹为隐藏文件夹。,4.1.2,组策略的功能,组策略提供的主要功能如下。,账户策略的设置：例如设置用户账户的密码长度、密码使用期限、账户锁定策略等。,本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。,脚本的设置：例如登录与注销、启动与关机脚本的设置。,用户工作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行，搜索,/,关机等选项、在开始菜单中添加注销选项、删除浏览器的部分选项、强制通过指定的代理服务器上网等。,软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。,限制软件的执行通过各种不同的软件限制策略来限制域用户只能运行指定的软件。,文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。,限制访问可移动存储设备：例如限制将文件写,AU,盘，以免企业内机密文件轻易被带离公司。,其他的系统设置：例如让所有的计算机都自动信任指定的,CA,（,Certificate Authority,）、限制安装设备驱动程序,(device driver),等。,可以在,AD DS,中针对站点,(site),、域,(domain),与组织单位,(OU),来设置组策略。组策略内包含计算机配置与用户配置两部分。,计算机配置：当计算机开机时，系统会根据计算机配置的内容来设置计算机的环境。,举例来说，若您针对域,设置了组策略，则此组策略内的计算机设置就会被应用到这个域内的所有计算机。,用户配置：当用户登录时，系统会根据用户配置的内容来设置用户的工作环境。举例来说，若针对组织单位,sales,设置了组策略，则其中的用户配置就会被应用到这个组织单位内的所有用户。,4.1.3,组策略对象,组策略是通过组策略对象,(Group Policy Object,，,GPO),来设置的，而您只要将,GPO,链接到指定的站点、域或组织单位，此,GPO,内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机。,1,内置的,GPO,AD DS,域有两个内置的,GPO,（见前表,6-1,），它们分别如下。,Default Domain Policy,：此,GPO,默认已经被链接到域，因此其设置值会被应用到整个域内的所有用户与计算机。,Default Domain Controller Policy,：此,GPO,默认已经被链接到组织单位,DomainControllers,，因此其设置值会被应用到,Domain Controllers,内的所有用户与计算机（,Domain Controllers,内默认只有域控制器的计算机账户）。,您可以使用,【,单击左下角的,开始,图标,管理工具,组策略管理,如图,6-2,所示,】,的方法来验证,Default Domain Policy,与,Default Domain Controller Policy GPO,分别已经被链接到域,与组织单位,Domain Controllers,。,图,6-2,内置,GPO,2,GPO,的内容,GPO,的内容被分为,GPC,与,GPT,两部分，它们分别被存储到不同的位置。,（,1,）,GPC,GPC,（,Group Policy Container,）：,GPC,存储在,AD DS,数据库内，它记载着此,GPO,的属性与版本等数据。域成员计算机可通过属性来得知,GPT,的存储位置，而域控制器可利用版本来判断其所拥有的,GPO,是否为最新版表以便作为是否需要从其他域控制器复制最新,GPO,的依据。,可以通过下面方法来查看,GPC:【,开始,管理工具,Active Directory,管理中心,单击树视图图标,单击域（例如,long,）,展开,System,容器,如图,6-3,所示单击,Policies】,，图中间圈起来的部分为,Default Domain Policy,与,Default Domain Controller Policy,这两个,GPO,的,GPC,，图中的数字分别是这两个,GPO,的,GUID(Global Unique Identifier),。,图,6-3,查看,GPC,如果您要查询,GPO,的,GUID,，例如要查询,Default Domain Policy GPO,的,GUID,，可以使用如图,6-4,所示,【,在,组策略管理,控制台中单击,Default Domain Policy,单击,详细信息,选项卡,唯,-ID,】,的方法。,图,6-4,查询,GPO,的,GUID,（,2,）,GPT,GPT(Group Policy Template),：,GPT,用来存储,GPO,的设置值与相关文件，它是一个文件夹，而且被建立在域控制器的,%systemroot%SYSVOLsysvol,域名,Policies,文件夹内。系统利用,GPO,的,GUID,来当作,GPT,的文件夹名称，例如图,6-5,中两个,GPT,文件夹分别是,Default Domain Policy,与,Default Domain Controller Policy GPO,的,GPT,。,图,6-5 GPT(Group Policy Template),组策略领域,作用,计算机配置,影响,HKEY Local Machine,注册表配置单元,用户配置,影响,HKEY Current User,注册表配置单元,组策略有上千个可配置设置（约,2400,个）。这些设置可影响计算环境的几乎每个方面。不可能将所有设置应用于所有版本的,Windows,操作系统。例如，,Windows 7,操作系统,Service Pack(SP)2,附带的很多新设置（如软件限制策略），只适用于该操作系统。同样，数百种新设置中的很多设置只适用于,Windows 8,操作系统和,Windows Server 2012,。如果对计算机应用它无法处理的设置，那么它将直接忽略该设置,。,1,组策略结构,组策略分成两个不同的领域，如,表,6-2,所示。,4.1.4,组策略设置,表,6-2,组策略的不同领域,策略部分,作用,软件设置,软件可部署到用户或计算机。部署到用户的软件特定于该用户。部署到计算机上的软件对该计算机的所有用户可用,Windows,设置,包含针对用户和计算机的脚本设置和安全性设置，以及针对用户配置的,Internet Explorer,维护,管理模板,包含数百个设置，这些设置修改注册表以控制用户或计算机环境的各个方面,2,配置组策略设置,每个领域有,3,个部分，如,表,6-3,所示。,表,6-3,组策略的设置,4.1.5,首选项设置,只有域的组策略才有首选项设置功能，本地计算机策略并无此功能。,策略设置是强制性设置，客户端应用这些设置后就无法更改（有些设置虽然客户端可以自行变更设置值，不过下次应用策略时，仍然会被改为策略内的设置值）；而首选项设置是非强制性的，客户端可自行更改设置值，因此首选项设置适合用来当作默认值。,若要过滤策略设置的话，必须针对整个,GPO,来过滤，例如某个,GPO,已经被应用到,sales,，但是我们可以通过过滤设置来让其不要应用到,sales,经理,Alice,，也就是整个,GPO,内的所有设置项目都不会被应用到,Alice,，而首选项设置可以针对单一设置项目来过滤。,如果在策略设置与首选项设置内有相同的设置项目，而且都已做了设置，但是其设置值却不相同的话，则以策略设置优先。,（,1,）设备安装,通过策略，可以用阻止用户安装驱动程序的方法限制用户安装某些特定类型的硬件设备。,通过首选项可以禁用设备和端口，但它不会阻止设备驱动程序的安装，它也不会阻止具有相应权限的用户通过设备管理器启用设备或端口。,如果想完全锁定并阻止某个特定设备的安装和使用，可以将策略和首选项配合起来使用用首选项来禁用已安装的设备，通过策略设置阻止该设备驱动的安装。,策略位置：计算机配置,策略,管理模板,系统,设备安装限制,首选项位置：计算机配置,首选项,控制面板设置,设备,（,2,）文件和文件夹,通过策略可以为重要的文件和文件夹创建特定的访问控制列表（,ACL,）。然而，只有目标文件或文件夹存在的情况下，,ACL,才会被应用。,通过首选项，可以管理文件和文件夹。对于文件，可以通过从源计算机复制的方法来创建、更新、替换或删除；对于文件夹，可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。,因此，可以用首选项来创建一个文件或文件夹，通过策略对创建的文件或文件夹设置,ACL,。需要注意的是，在首选项的设置中应该选择,【,只应用一次而不再重新应用,】,，否则，创建、更新、替换或删除的操作会在下一次组策略刷新时被重新应用。,策略位置：计算机配置,策略,Windows,设置,安全设置,文件系统,首选项位置：计算机配置,首选项,Windows,设置,文件,计算机配置,首选项,Windows,设置,文件夹,（,3,）,Internet Explorer,在计算机配置中，策略（,Internet Explorer,）配置了浏览器的安全增强并帮助锁定,Internet,安全区域设置。,在用户配置中，策略（,Internet Explorer,）用于指定主页、搜索栏、链接、浏览器界面等。在用户配置中的首选项（,Internet,选项）中，允许设置,Internet,选项中的任何选项。,因为策略是被管理的而首选项是不被管理的，当用户想要强制设定某些,Internet,选项时，应该使用策略设置。尽管也可以使用首选项来配置,Internet Explorer,，但是因为首选项是非强制性的，所以用户可以自行更改设置。,策略位置：计算机配置,策略,管理模板,Windows,组件,lnternet Explorer,用户配置,策略,管理模板,Windows,组件,Internet Explorer,首选项位置：用户配置,首选项,控制面板设置,lnternet,设置,（,4,）打印机,通过策略，可以设置打印机的工作模式、计算机允许使用的打印功能、用户允许对打印机的操作等。,通过首选项可以映射和配置打印机，这些首选项包括配置本地打印机以及映射网络打印,机。,因比，可以运用首选项为客户机创建网络打印机或本地打印机，通过策略来限制用户和客户机的打印相关功能设置。,策略位置：用户配置,策略,管理模板性制面板,打印机,计算机配置,策略,管理模板,控制面板,打印机,首选项位置：用户配置,首选项,控制面板设置,打印机,（,5,）,【,开始,】,菜单,通过策略设置，可以控制和限制,【,开始,】,菜单选项和不同的,【,开始,】,菜单行为。例如，可以指定是否要在用户注销时清除最近打开的文档历史，或是否在,【,开始,】,菜单上禁用拖放操作，还可以锁定任务栏，移除系统通知区域的图标以及关闭所有气球通知等。,通过首选项，可以如同控制面板中的任务栏和,【,开始,】,菜单属性对话框一样来配置。,（,6,）用户和组,通过策略设置，可以限制,AD,组或计算机本地组的成员。,通过首选项设置，可以创建、更新、替换或删除计算机本地用户和本地组。,对于计算机本地用户，可以进行如下操作：,重命名用户账号。,设置用户密码。,设置用户账号的状态标识（如账号禁用标识）。,对于计算机本地组，首选项可以进行如下操作：,重命名组。,添加或删除当前用户。,删除成员用户或成员组，,策略位置：计算机配置,策略,Windows,设置,安全设置,受限制的组,首选项位置：计算机配置,首选项,控制面板设置,本地用户和组,用户配置,首选项,控制面板设置,本地用户和组,4.1.6,组策略的应用时机,当您修改了站点、域或组织单位的,GPO,设置值后，这些设置值并不是立刻就对其中的用户与计算机有效，而是必须等,GPO,设置值被应用到用户或计算机后才有效。,GPO,设置值内的计算机配置与用户配置的应用时机并不相同。,1.,计算机配置的应用时机,域成员计算机会在下面场合应用,GPO,的计算机配置值。,计算机开机时会自动应用,若计算机已经开机，则会每隔一段时间自动应用：,域控制器：默认是每隔,5,分钟自动应用一次。,非域控制器：默认是每隔,90,到,120,分钟自动应用一次。,不论策略设置值是否发生变化，都会每隔,16,小时自动应用一次安全设置策略。,手动应用：到域成员计算机上打开命令提示符或,Windows PowerShell,窗口、执行“,gpupdate/target:computer/force,”命令。,2,用户配置的应用时机,域用户会在下面场景中应用,GPO,的用户配置值。,用户登录时会自动应用,若用户已经登录的话，则默认会每隔,90,到,120,分钟自动应用一次。且不论策略设置值是否发生变化，都会每隔,16,小时自动应用一次安全设置策略。,手动应用：到域成员计算机上打开命令提示符或,Windows PowerShell,窗口、执行：“,gpupdate/target:user /force,”命令。,4.1.7,组策略处理顺序,默认情况下，组策略具有继承性，即链接到域的组策略会应用到域内的所有,OU,，如果,OU,下还有,OU,，则连接到上级,OU,的组策略默认也会应用到下级,OU,中。,但应用于用户或计算机的,GPO,并非都有相同的优先顺序。,GPO,是按照特定顺序应用的。此顺序意味着后处理的设置可能覆盖先被处理的设置。例如，应用在域级的限制访问控制面板的策略，可能会被应用于,OU,级的策略取消。,组策略通常会根据活动目录对象的隶属关系按顺序应用对应的组策略，组策略应用顺序如图,6-6,所示。,图,6-6,组策略处理顺序,本地组策略。,站点级,GPO,。,域级,GPO,。,组织单位,GPO,。,任何子组织单位,GPO,。,在组策略应用中，计算机策略总是先于用户策略，默认情况下，如果图,6-6,所示的组策略间存在设置冲突，则按“就近原则”，后应用的组策略设置将生效。,4.2,项目设计及准备,未名公司决定实施组策略来管理用户桌面以及配置计算机安全性。公司已经实施了一种,OU,配置，在该配置中，顶级,OU,代表不同的地点，每个地点,OU,中的子,OU,代表不同的部门。用户账户与其工作站计算机账户处于同一个容器中。服务器计算机账户分散在各个,OU,中。,企业管理员创建了一个,GPO,部署计划。公司要求你创建,GPO,或编辑,GPO,，以使某些策略可应用于所有域对象。部分策略是必须实施的策略。你还需要创建将只应用于一小部分域对象的策略设置，并且希望使计算机设置和用户设置有不同的策略。公司要求你配置组策略对象，以使特定设置应用于用户桌面和计算机。,本项目主要的管理计算机与用户的工作环境的设置如下：,计算机配置的管理模板策略、用户配置的管理模板策略、账户策略、用户权限分配策略、安全选项策略、登录,注销、启动,/,关机脚本,与,文件夹重定向,。,本项目要用到,域控制器、,win8-1,（安装了,Windows 8,操作系统）和,ms1,（安装了,Windows Server 2012,的成员服务器）加入域的客户计算机。,4.3,项目实施,下面开始具体任务。,4.3.1,任务,1,管理,“,计算机配置的管理模板策略,”,在,上设置计算机配置的策略：显示,“,关闭事件追踪程序,”,、显示用户以前交互式登录的信息。下面在域,上实现该策略，在默认的,Default Domain Controllers Policy GPO,来设置。,1.,用户将计算机关机时，系统就不会再要求用户提供关机的理由,以域控制器,为例进行设置。,步骤,1,请到域控制器,上利用系统管理员身份登录。,步骤,2,选择,【,开始,管理工具,组策略管理,】,。打开组策略管理器控制台。,步骤,3,如图,6-7,所示，,【,展开到,Domdn Controllers,选中右侧的,Default Domain Controllers Policy,并单击右键,编辑,】,。,图,6-7,组策略管理,步骤,4,如图,6-8,所示，,【,展开,计算机配置,策略,管理模板,系统,双击,显示“关闭事件追踪程序”,】,。,图,6-8,组策略管理编辑器,步骤,5,在图,6-9,中，选中“,已禁用,”单选按钮，单击,【,应用,】,按钮后，单击,【,确定,】,按钮。,图,6-9,禁用：显示“关闭事件追踪程序”,步骤,6,重启计算机使策略生效；或者在命令行输入：,gpupdate /force,，强制应用组策略生效。（,后面的例子都需要使组策略生效后再验证结果，不再一一赘述。,）,步骤,7,当再次关闭,dc1,或重启,dc1,时，直接关闭或重启，不再出现提示信息对话框。,2.,目标：显示用户以前交互式登录的信息,步骤,1,重复上面的步骤,13,。,步骤,2,如图,6-10,所示，,【,展开,计算机配置,策略,管理模板,Windows,组件,Windows,登录选项,双击,在用户登录期间显示以前登录信息,】,。,步骤三：在图,6-11,中，选中“,已启用,”单选按钮，单击,【,应用,】,按钮后，单击,【,确定,】,按钮。,步骤五：当注销,dc1,或重启,dc1,时，登录成功后显示“以前登录信息”。如图,6-12,所示。,步骤四：重启计算机使策略生效；或者在命令行输入：,gpupdate/force,，强制应用组策略生效。,图,6-12,在用户登录期间显示以前登录信息,思考：如果上述组策略应用到“,Default Domain Policy,”上，有何不同吗,?,请读者思考。,特别注意：若您在客户端计算机上通过,本地计算机策略,来启用此策略，但是此计算机并未加入域功能等级为,Wlndows Server 2008,（含）以上的域，则用户在这台计算机登录时将无法获取登录信息，也无法登录。,4.3.2,任务,2,管理“用户配置的管理模板策略”,域,内有一个组织单位,sales,，而且已经限定它们需通过企业内部的代理服务器上网（代理服务器,proxy server,的设置请参考后面的说明），而为了避免用户自行修改这些设置值，下面要将其浏览器,Internet Explorer,的连接选项卡内更改代理服务器设置的功能禁用。,由于目前并没有任何,GPO,被链接到组织单位,sales,，因此我们将先建立一个链接到,sales,的,GPO,，然后通过修改此,GPO,设置值的方式来达到目的。,1.,目标：指定组织单位的用户无法更改代理设置,步骤,1,：到域控制器,上利用系统管理员身份登录。,步骤,2,：选择,【,开始管理工具组策略管理,】,。,步骤,3,：如图,6-13,所示,【,展开到组织单位,sales,选中,sales,并单击右键,在这个域中创建,GPO,并在此处链接,】,。,步骤,4,：您也可以先通过,【,选中组策略对象并单击右键新建,】,的方法来建立,GPO,，然后再通过,【,选中组织单位,sales,并单击右键链接现有,GPO】,的方法来将上述,GPO,链接到组织单位,sales,。,步骤,5,：在图,6-14,中为此,GPO,命名（例如,sales,的,GPO,）后单击,【,确定,】,按钮。,图,6-14,新建,GPO,步骤,6,：如图,6-15,所示，选中这个新建的,GPO,并单击右键编辑。,图,6-14,组策略管理,-,编辑,步骤,7,：如图,6-15,所示，,【,展开用户配置策略管理模板,Windows,组件,lnternet Explorer,将右侧“阻止更改代理设置”设置为,已启用,】,。,图,6-15,组策略管理编辑器,-,阻止更改代理设置,步骤,8,：请利用,sales,内的任何一个用户账户，例如,jane,，到任何一台域成员计算机（,ms1,）上登录。（登录前重启设置组策略的计算机或者运行：,gpupdate /force,，使设置的组策略生效。）,步骤,9,：运行浏览器,Internet Explorer,按,Alt,键单击工具菜单,lnternet,选项如图,6-16,所示单击,【,连接,】,选项卡下,【,局域网设置,】,按钮，从图中可知无法修改代理服务器设置。,图,6-16 sales,成员,jane,无法更改代理服务器设置,2.【,用户配置策略管理模板,】,的其他设置,限制用户只可以或不可以执行指定的,Windows,应用程序,：其设置方法为,【,系统,双击右侧的,只运行指定的,Windows,应用程序,或,不运行指定的,Windows,应用程序,】,。在添加程序时，请输入该应用程序的执行文件名称，例如,eMule.exe,。,思考：如果用户利用资源管理器更改此程序的文件名，这个策略是否就无法发挥作用？,是的，不过您可以利用项目,6,的软件限制策略来达到限制用户执行此程序的 目的，即使其文件名被改名。,隐藏或只显示在控制面板内指定的项目：,用户在控制面板内将看不到被隐藏起来的项目或只看得到被指定要显示的项目。操作方法：,【,控制面板双击右边的隐藏指定的“控制面板”项或只显示指定的”控制面板“项,】,。在添加项目时，请输入项目名称，例如鼠标、用户账户等。,禁用按,Ctrl+Alt+Del,键后所出现界面中的选项：,用户按这,3,个键后，将无法使用界面中被您禁用的选项，例如更改密码、启动任务管理器（或任务管理器）、注销等。其设置方法为：,【,系统,CtrI+Alt+Del,项,】,。,隐藏和禁用桌面上所有的项目：,其设置方法为,【,桌面隐藏和禁用桌面上的所有项目,】,。用户登录后的传统桌面上（非,Modern UI,）所有项目都会被隐藏，选中桌面按鼠标右键也无效。,删除,Internet Explorer,的,Internet,选项中的部分选项卡：,用户将无法选择,【,工具菜单,lnternet,选项,】,中被删除的选项卡，例如安全性、连接、高级等选项卡。其设置方法为,【Windows,组件,lnternet Explorer,双击右边的,Internet,控制面板,】,。,删除开始莱单中的关机、重新启动、睡眠及休眠命令,：其设置方法为,【,开始菜单和任务栏双击右侧删除并阻止访问“关机”、“重新启动”、“睡眠”及“休眠”命令,】,。在用户的开始菜单中，这些功能的图标会被删除或无法使用，按,CtrI+Alt+Del,键后也无法选择它们。,4.3.3,任务,3,配置账户策略,可以通过账户策略来设置密码的使用规则与账户锁定方式在设置账户策略时请特别注意下面说明：,针对域用户所设置的账户策略需通过域扳删的,GPO,来设置才有效，例如通过域的,Default Domain Policy GPO,未设置，此策略会被应用到域内所有用户。通过站点或组织单位的,GPO,所设置的账户策略，对域用户没有作用。,账户策略不但会被应用到所有的域用户账户，也会被应用到所有域成员计算机内的本地用户账户。,若您针对某个组织单位（图,6-17,中的,sales,）来设置账户策略，则这个账户策略只会被应用到位于此组织单位的计算机（例如图中的,ms1,）的本机用户账户而已，但是对位于此组织单位内的域用户账户（例如图中的,jane,等）却没有影响。,图,6-17 sales,组织单位,要设置域账户策略步骤,:【,选中,Default Domain Policy GPO,（或其他域级别的,GPO,）并单击右键选择编辑，如图,6-18,所示展开计算机配置策略,Windows,设置安全设置账户策略,】,。,图,6-18,账户策略,1,密码策略,如图,6-19,所示，单击密码策略后就可以设置下面策略。,图,6-19,密码策略,用可还原的加密来存储密码,：如果有应用程序需要读取用户的密码，以便验证用户身份的话，就可以启用此功能，不过它相当于用户密码没有加密，因此不安全。默认为禁用。,密码必须符合复杂性要求,：若启用此功能，则用户的密码有下面规范。,不可包含用户账户名称（指用户,SamAccountName,）或全名,长度至少为,6,个字符。,至少包含,A-Z,、,a,z,、,0,9,、特殊符号（例如！、,$,、,#,、,%,）,4,组字符中的,3,组。,因此,123ABCdef,是有效的密码，然而,87654321,是无效的，因它只使用数字这一种字符。又例如若用户账户名称为,Alice,，则,123ABCAlice,是无效密码，因为包含用户账户名称。,AD DS,域与独立服务器默认是启用此策略的。,密码最长使用期限,：用来设置密码最长的使用期限（可为,0,999,天）。用户在登录时，若密码使用期限已到，系统会要求用户更改密码。若此处为,0,表示密码没有使用期限限制。,AD DS,域与独立服务器默认值都是,42,天。,密码最短使用期限,：用来设置用户密码的最短使用期限（可为,0-998,天），在期限未到前，用户不得更改密码。若此处为,0,表示用户可以随时变更密码。,AD DS,域的默认值为,1,，独立服务器的默认值为,0,。,强制密码历史,：用来设置是否要记录用户曾经使用过的旧密码，以便决定用户在修改密码时，是否可以重复使用旧密码。此处可被设置为如下的值。,1-24:,表示要保存密码历史记录。例如若设置为,5,，则用户的新密码不可与前,5,次所使用过的旧密码相同。,0,：表示不保存密码历史记录，因此密码可以重复使用，也就是用户更改密码时，可以将其设置为以前曾经使用过的任何一个旧密码。,AD DS,域的默认值为,24,，独立服务器的默认值为,0,。,密码长度最小值,：用来设置用户账户的密码最少需要几个字符。此处可为,0-14,，若为,0,，表示用户账户可以没有密码。,AD DS,域的默认值为,7,，独立服务器的默认值为,0,。,2,账户锁定策略,您可以通过图,6-20,中的账户锁定策略来设置锁定用户账户的方式。,账户锁定阈值,：我们可以让用户在多次登录失败后（密码错误），就将该用户账户锁定，在未被解除锁定之前，用户无法再利用此账户来登录。此处用来设置登录失败次数，其值可为,0-999,。默认值为,0,，表示账户永远不会被锁定。,账户锁定时间,：用来设置锁定账户的时间，时间过后会自动解除锁定。此处可为,0-99999,分钟，若为,0,分钟表示永久锁定，不会自动被解除锁定，此时需由系统管理员手动来解除锁定（账户被锁定后会在账户属性里会有有此“,解除锁定,”选项）。,重置账户锁定计数器,：“锁定计数器”用来记录用户登录失败的次数，其初始值为,0,，用户若登录失败，则锁定计数的值就会加,1,，若登录成功，则锁定计数器的值就会归零。若锁定计数器的值等于账户锁定阈值，该账户就会被锁定。,4.3.4,任务,4,配置用户权限分配策略,系统默认只有某些组（例如,administrators,）内的用户，才有权在扮演域控制器角色的计算机上登录，而普通用户,alice,在域控制器上登录时，屏幕上会出现类似图,6-21,所示的警告信息，且无法登录，除非他们被赋予允许本地登录的权限。,图,6-21,不允许本地登录域控制器,1,在域控制器上开放“允许本地登录”权限,下面假设要让域,long,内,Domain Users,组内的用户可以在域控制器上登录。我们将通过默认的,Default Domain Controllers Policy GPO,来设置，也就是说要让这些用户在域控制器上拥有允许本地登录的权限。,注意：一般来说，域控制器等重要的服务器不应该开放普通用户登录。要在成员服务器、,Windows 8,、,Windows 10,等非域控制器的客户端计算机上练习，则下面步骤可免，因为,Domain Users,默认已经在这些计算机上拥有允许本地登录的权限。,步骤,1,请到域控制器,dc1,上利用系统管理员身份登录。,步骤,2,选择【开始管理工具组策略管理】。,步骤,3,如图,6-22,所示，【展开到,Domdn Controllers,选中右侧的,Default Domain Controllers Policy,并单击右键编辑】。,图,6-22,组策略管理,步骤,4,如图,6-23,所示，【展开计算机配置策略,Windows,设置安全设置本地策略用户权限分配双击,允许本地登录,】。,图,6-23,组策略管理,-,用户权限分配,步骤,5,如图,6-24,所示，【单击“添加用户和组”按钮输入或选择域,long,内的,Domain Users,组按两次“确定”按钮】。由此图中可看出默认只有,Account Operators,、,Administrators,等组才拥有允许本地登录的权限。,图,6-24,添加用户和组（,Domain Users,）,6,完成后，必须等这个策略应用到,Domain Controllers,内的域控制器后才有效（见前面的说明）。待应用完成后，就可以利用任何一个域用户账户到域控制器上登录，来测试允许本地登录功能是否正常。,另外，如果域内有多台域控制器，由于策略设置默认会先被存储到扮演,PDC,模拟器操作主机角色的域控制器（默认是域中的第一台域控制器），因此要等这些策略设置被复制到其他域控制器，然后再等这些策略设置值应用到这些域控制器。,可以利用【开始管理工具,Active Directory,用户和计算机选中域名并单击右键操作主机,PDC,选项卡】来查看扮演,PDC,模拟器操作主机的域控制器。,系统可以利用下面两种方式来将,PDC,模拟器操作主机内的组策略设置复制到其他域控制器。,自动复制,：,PDC,模拟器探作主机默认,15,秒后会自动将其复制出去，因此其他的域控制器可能需要等,15,秒或更久的时间才会收到此设置值。,手动立即复制,：假设,PDC,模拟器操作主机是,DC1,，而我们要将组策略设置手动复制到域控制器,DC2,。请在域控制器上单击【开始管理工具,Active Directory,站点和服务,Sites,Default-First-Site-Name,Servers,展开目标域控制器（,DC2,）,NTDS Settings,在右侧窗口选中,PDC,模拟器操作主机（,DC1,）并单击右键立即复制】。,2,其他“用户权限分配”,您可以通过图,6-25,中的用户权限分配来将执行特殊操作的权限分配绐用户或组（此图以,Default Domain Controller Policy GPO,为例,）。,要分配图,6-25,右侧任何一个权限给用户：【双击该权限在图,6-25,中单击“添加用户和组”按钮选择用户或组】。,下面列举几个比较常用的权限策略来说明。,允许本地登录,：允许用户直接在本台计算机上按,Ctrl+Alt+Del,键登录（上例）。,拒绝本地登录,：与前一个权限刚好相反。此权限优先于前一个权限。,将工作站添加到域,：允许用户将计算机加入到域。,注意：每一个域用户账户默认有,10,次将计算机加入域的机会，不过一旦拥有将工作站添加到域的权限后，其次数就没有限制。,关闭系统：,允许用户将此计算机关机。,从网络访问此计算机：,允许用户通过网络上其他计算机来连接、访问此计算机。,拒绝从网络访问此计算机：,与前一个权限刚好相反。此权限优先于前一个权限，,从远程系统强制关机：,允许用户从远程计算机来将此台计算机关机。,备份文件和目录：,允许用户备份硬盘内的文件与文件夹。,还原文件和目录：,允许用户还原所备份的文件与文件夹。,管理审核和安全记录：,允许用户指定要审核事件，也允许用户查询与清除安全记录。,更改系统时问：,允许用户更改计算机的系统日期与时间。,加载和卸载设备驱动程序：,允许用户加载扣卸载设备的驱动程序。,取得文件或其他对象的所有权：,允许夺取其他用户所拥有的文件、文件夹或其他对象的所有权。,4.3.5,任务,5,配置安全选项策略,您可以通过如图,6-26,的安全选项来启用计算机的一些安全设置。图中以“,sales,的,GPO,”,为例，并列举下面几个安全选项策略。,交互式登录,：无须按,Ctrl+Alt+Del,键。让登录界面不要再显示类似按,Ctrl+Alt+Del,键登录的提示（这是,Windows 8.1,等客户端的默认值）。,交互式登录,：不显示最后的用户名。让客户端的登录界面上不要显示上一次登录的用户名。,交互式登录,：提示用户在过期之前更改密码。用来设置在用户的密码过期前几天，提示用户更改密码。,交互式登录,：之前登录到缓存的次数（域控制器不可用时）。域用户登录成功后，其账户信息会被存储到用户计算机的缓存区，若之后此计算机因故无法与域控制器连接，该用户还可通过缓存区的账户数据来验证身份与登录。您可以通过此策略来设置缓存区内账户数据的数量，默认为记录,10,个登录用户的账户数据。,交互式登录,：试图登录的用户的消息标题、试图登录的用户的消息文本。若用户在登录时按,Ctrl+Alt+Del,键后，界面上能够显示您希望用户看到的提示信息，请通过这两个选项来设置，其中一个用来设置提示信息标题文字，一个用来设置提示信息的内容。,关机,：允许系统在未登录的情况下关闭。让登录界面的右下角能够显示关机图标，以便在不需要登录的情况下就可直接通过此图标将计算机关机（这是,Windows 8.1,等客户端的默认值）。,4.3.6,任务,6,登录,/,注销、启动,/,关机脚本,可以让域用户登录时，其系统就自动执行,登录脚本,(script),，而当用户注销时，就自动执行,注销脚本,；另外也可以让计算机在开机启动时自动执行,启动脚本,，而关机时自动执行,关机脚本,。,