第08章.组策略.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,人民邮电出版社,*,第8章,组策略,人民邮电出版社,主要内容,8.1 组策略概述,8.2 组策略对象,8.3 管理模板策略的设置,8.4 账户策略的设置,8.5 本地策略的设置,8.6 登录/注销、启动/关闭脚本,8.7 部署应用程序,人民邮电出版社,8.1 组 策 略 概 述,组策略就是修改注册表中的配置。,组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。,组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内（域控制器“

2、systemroot,%SYSVOL,sysvol,域名,Policies”,目录下）。,人民邮电出版社,8.1.1 组策略,简介,计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有计算机。,用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有用户。,本地组策略，它是针对每一台,Windows 2000 Serve,所进行的设置。本地组策略数据存储在本地计算机的“%,systemroot

3、system32,GroupPolicy,”,目录内，只针对本地计算机和本地用户。,人民邮电出版社,8.1.2,组策略的应用顺序与规则,如果在本地计算机、站点、域和组织单位内分别设置了组策略，则这些组策略的应用顺序为：本地组策略（即本地安全策略，存储在本地计算机内）；站点的组策略；域的组策略；组织单位的组策略（后,3,项的数据存储在活动目录内）。,人民邮电出版社,具体的应用规则说明如下。,（,1,）如果在父容器内建立了一个组策略，但是并未在子容器建立组策略，则子容器会继承在父容器内所建立的组策略。,（,2,）如果另外在子容器内建立了组策略，在默认情况下子容器的组策略则要取代父容器的组策略。

4、3,）如果父容器未被设置组策略，则子容器不会继承父容器的组策略。,（,4,）如果父容器设置了组策略，但是子容器内的组策略并未设置，则子容器会继承父容器的组策略。,人民邮电出版社,存在这样一些机制：用户可以强制继承或阻止组策略对象影响用户组和计算机组，这可以通过“禁止替代”和“阻止策略继承”的设置来实现。,特别要指出的是，组策略不影响安全组。但是可以使用安全组来过滤组策略，也就是改变它的范围。,组策略的特性,人民邮电出版社,8.1.3,组策略的继承,一、阻止组策略继承,在子容器组策略内，可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置

5、二、强迫继承策略,在父容器的组策略内，可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置，而不管子容器的组策略内是否设置了“阻止策略继承”，即“强迫继承”策略的优先级要高于“阻止策略的继承”,人民邮电出版社,8.1.4,组策略和,AD,GPO,是一种与域、地址或组织单元相联系的物理策略，,GPO,包括文件和,AD,对象，要充分发挥,GPO,的功能，需要有,AD,域架构的支持，利用,AD,可以定义一个集中的策略，所有的,Windows Server 2003,服务器和工作站都可以采用它,访问,本地,GPO,的方法,MS-DOS,命令窗口：,gpedit,.,msc,MMC

6、控制台中选择,GPO,插件,人民邮电出版社,8.2 组策略对象,一、根据不同的计算机，设置不同的组策略,1域控制器,开始程序管理工具域控制器安全策略,2成员服务器、独立服务器,控制面板管理工具本地安全策略,3,Windows XP/2000 Professional,控制面板管理工具本地安全策略,人民邮电出版社,二、利用“,Active Directory,用户和计算机”设置组策略,人民邮电出版社,8.2.1,更改组策略,在默认情况下，只有某些组内的用户账户（如,administrators,组内的账户）才可以在域控制器上登录，而一般用户无法在域控制器上登录。,人民邮电出版社,8.2.2,测

7、试“在本地登录”策略是否正常,策略设置好后，并不是立即生效，因为针对域所设置的策略，此域内的计算机（包括域控制器）往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效，必须利用以下3种方式之一来达到目的。,人民邮电出版社,8.2.2,测试“在本地登录”策略是否正常,一、使组策略生效,二、测试组策略的效果,添加新用户,重新启动/注销计算机用新用户帐号登录,人民邮电出版社,8.3 管理模板策略的设置,管理模板策略的设置：,（1）隐藏用户桌面的“网上邻居”和“我的文档”图标。,（2）将“开始”菜单中的“运行”、“文档”等命令删除。,（3）在“开始”菜单中添加“注销”的功能。,人民邮电

8、出版社,8.3.1,建立组织单位与用户账户,Active Directory,用户和计算机,新建组织单元（,Beijing),在新建和组织单元中新建用户(,john),人民邮电出版社,8.3.2,设置与测试组策略的替代功能,设置与测试组策略的功能，可以先在“,Beijing”,组织单位内建立一个,GPO，,然后利用“,Beijing”,组织内的用户账户“,John”,来验证,GPO,的设置是否有效，然后再利用“,School”,子组织单位中的用户账户“,Lili,”,登录，来验证“,School”,子组织单位是否会继承“,Beijing”,组织单位的,GPO,设置。,人民邮电出版社,然后再在“

9、School”,子组织单位中建立一个新的,GPO，,利用“,Lili,”,登录来验证在子容器中设置的组策略是否替代了父容器中的组策略。,人民邮电出版社,图8-158-26,一、设置“,Beijing”,组织单位的“,GPO”,二、测试组策略的应用,三、测试组策略在子组织单位中的应用,四、设置,School,的组策略,五、测试,School,子组织单位组策略的应用,人民邮电出版社,8.3.3,拒绝继承组策略,在子组织单位的,GPO,内，若有些策略被设置为“未被配置”，则子组织单位内的这些设置将继承父组织单位内的设置。但是却可以在子组织单位的,GPO,内，通过“阻止策略继承”复选框，将子组织单位

10、的,GPO,设置为不要继承父组织单位的设置。,人民邮电出版社,8.3.4,强迫继承组策略,用户可以在父组织单位内，设置强迫其所有的子组织单位必须继承父组织单位的,GPO,设置。那就是父组织单位的“禁止替代”功能。通过,GPO,的“选项”按钮打开如图8-27所示的对话框，进行设置。,人民邮电出版社,8.4 账户策略的设置,一、账户策略设置的注意事项,（1）若针对域设置的账户策略，则这个策略会应用到域内的所有计算机。,（2）若针对某个组织单位设置账户策略，则这个策略只会应用到这个组织单位内的计算机而已，不会影响到其他的计算机。,人民邮电出版社,二、设置账户策略的步骤,开始程序管理工具,Active

11、 Directory,用户和计算机,在域或组织单位,右键,属性,组策略,，选定,GPO,编辑,人民邮电出版社,8.4.1,密码策略,密码策略包含多个与用户账户的密码有关的选项，如图8-29所示。,人民邮电出版社,8.4.2,账户锁定策略,单击图8-29窗口中的“账户锁定策略”，显示如图8-32所示的窗口。,人民邮电出版社,8.5 本地策略的设置,8.5.1,用户权利指派策略,开始程序管理工具,Active Directory,用户和计算机,域或组织单位上单击鼠标右键,属性,组策略,选定,GPO,编辑,计算机配置,Windows,设置安全设置本地策略用户权利指派,用户权利指派。,人民邮电出版社,

12、图8-35 安全选项,人民邮电出版社,常用的用户权力指派中包括以下选项。,（1）在本地登录：允许用户在本台计算机上按,CTRL+ALT+DEL,键登录。,（2）域中增加工作站：允许用户将,Windows NT/Windows 2000,计算机加入到域内。,（3）关闭系统：允许用户关闭此计算机。,（4）从网络访问此计算机。,人民邮电出版社,（5）从远端计算机来关闭此计算机。,（6）备份文件和目录。,（7）还原文件和目录。,（8）管理审核和安全日志。,（9）更改系统的时间。,（10）装载和卸载设备驱动程序。,（11）取得文件或其他对象的所有权。,人民邮电出版社,8.5.2,安全选项策略,设置步骤：

13、打开“,Active Directory,用户和计算机”对话框，在域或组织单位上单击鼠标右键，在弹出的快捷菜单中选择“属性”在对话框中选择“组策略”，选定,GPO，,单击“编辑”按钮，在打开的窗口中单击“计算机配置”“,Windows,设置”“安全设置”“本地策略”“安全选项”，打开如图8-35所示的窗口。,人民邮电出版社,图8-35 安全选项,人民邮电出版社,常用的安全策略包括以下选项。,（1）登录屏幕上不要显示上次登录的用户名。,（2）允许在未登录前关机。,（3）在密码到期前提示用户更改用户密码。,（4）禁用按,Ctrl+Alt+Del,进行登录的设置。,（5）只有在本地登录的用户才能访问

14、CD-ROM。,人民邮电出版社,8.6 登录/注销、启动/关闭脚本,8.6.1,登录,/,注销脚本的设置,登录/注销脚本用于指定用户登录或注销计算机时运行的脚本。,登录/注销脚本是可选的。,人民邮电出版社,8.6.2,启动,/,关闭脚本的设置,启动/关闭脚本是针对计算机进行的设置，当所有使用此计算机的用户启动和关闭计算机时，预先设置好的启动或关闭脚本就可以执行。启动/关闭脚本的设置与登录/注销脚本的设置步骤十分相似。,人民邮电出版社,启动脚本文件名称为,startup.,vbs,，,文件内容为：,wscript,.echo“Welcome to Windows Server 2000”。,关

15、闭脚本文件名称为,shutdown.,vbs,文件内容为：,wscript,.echo“Windows 2000 will be shut down,goodbye”。,人民邮电出版社,8.7 部署应用程序,部署应用程序包括如下内容。,（1）将应用程序发布（发行）给用户,（2）将应用程序指派给用户或计算机,（3）自动修复应用程序,（4）删除用户应用程序,人民邮电出版社,8.7.1,发布应用程序,图8-468-51,一、发布应用程序,二、安装被发布的应用程序,三、测试自动修复应用程序功能,人民邮电出版社,8.7.2,给用户指派应用程序,给用户指派应用程序与给用户发布应用程序的方法基本一致，首先建

16、立包含,Windows,安装程序包的文件夹。接下来设置默认程序包位置，最后给用户指派应用程序，只需要将给用户发布应用程序中的步骤（7）中的部署软件的类型由“已发行”改为“已指派”即可,人民邮电出版社,图8-52 指派应用程序,人民邮电出版社,8.7.3,给计算机指派应用程序,人民邮电出版社,8.7.4 更改部署应用程序的设置,人民邮电出版社,8.7.5,文件夹重定向,可以利用组策略将一些,Windows Server 2003,内的特殊文件夹的存储位置，重定向到网络上的其他位置。所谓的特殊文件夹，是指如“我的文档”、“,my pictures”,等数据的存储位置。一般情况下，这些文件夹是在本地

17、计算机内，如可以单击“我的文档”属性“目标文件夹”将此文件夹的存储位置指定到网络上的其他计算机内。,人民邮电出版社,通过以下两种方式来重定向文件夹。,（1）针对每个用户设置，也就是将每个用户的文件夹重定向。,（2）针对某个组设置，组内所有用户的文件夹都将被重定向。,人民邮电出版社,8.8,事件查看器,事件查看器允许用户监视用户系统事件。,它保存用户计算机上的程序、安全和系统事件的日志。,Windows Server 2003,操作系统的事件日志文件主要分类,一、系统日志,二、应用程序日志,三、安全日志,四、目录服务日志,人民邮电出版社,8.8.1,查看事件记录,一、打开事件查看器方式,开始,程

18、序,管理工具,事件查看器,人民邮电出版社,二、事件查看器内容,（,1,）日期与时间：事件被记录的日期与时间。,（,2,）来源：记录此事件的程序名称。,（,3,）类型：事件所属的类型，包括信息、警告或错误等。,（,4,）分类：产生事件的程序会将事件信息分类。,（,5,）事件：每个事件都被赋予一个惟一的标号，即事件,ID,。,（,6,）,用户：事件发生时，哪个用户正在使用此计算机，或事件由哪个用户制造出来的。,（,7,）计算机：事件发生所在的计算机名称。,人民邮电出版社,三、事件查看器显示的事件类型,（,1,）错误：记录,Windows Server 2003,操作系统所产生的错误，记录的是重要的

19、问题，例如数据丢失或功能丧失,（,2,）警告：并不是非常严重，但有可能说明将来的潜在问题的事件。,（,3,）信息：描述了应用程序、驱动程序或服务的成功操作的事件。,（,4,）成功审核：成功的审核安全访问尝试。,（,5,）失败审核：失败的审核安全登录尝试。,人民邮电出版社,8.8.2,设置日志文件的大小,人民邮电出版社,8.8.3,筛选事件日志中的事件,一、事件搜索,所有事件搜索,2,特定事件搜索,选择需要查找的事件类型、事件来源、类别、事件,ID,、,用户和计算机等相匹配的事件，,二、事件筛选,可以针对事件的类型、事件来源、产生事件的计算机、事件,ID,、,产生事件的用户、事件的起始,/,结束

20、时间来设置要显示的事件,三、显示事件信息,根据用户需求显示事件不同的信息,人民邮电出版社,8.8.4,存储日志文件,存储事件日志的文件格式,（1）日志文件格式（*.,evt,）,（2）纯文本文件格式（*.,txt）,（3）逗号分隔的文本文件格式（*.,csv,）,人民邮电出版社,8.9,审核资源的使用,要审核用户访问资源的步骤,（,1,）设置审核策略：,必须是具备,Administrator,权限的用户才有权利设置审核策略。,（,2,）设置要审核的资源：,必须具备“管理审核及安全日志”权利的用户才可以审核资源的使用情况，默认是只有,Administrators,组内的成员才有权利。可以利用组策

21、略内的用户权利指派策略给予其他用户这个权利。,人民邮电出版社,8.9.1,审核策略的设置,一、审核策略设置的途径,1,域控制器,2,成员服务器、独立服务器,3,Windows XP/2000 Professional,人民邮电出版社,二、在整个域上设置审核策略,1,审核账户登录事件,2,审核账户管理,3,审核账户管理,4,审核登录事件,5,审核对象访问,6,审核策略更改,7,审核特权使用,8,审核过程跟踪,9,审核系统事件,人民邮电出版社,三、测试与查看审核策略的设置,在“,Active Directory,用户和计算机”中，在,Users,内新建用户账户,user1,、,user2,来审核账

22、户管理策略的应用；在事件查看器的安全日志部分，可以看到新建账户的操作被成功审核，,人民邮电出版社,8.9.2,审核文件与文件夹的访问操作,一、设置对文件或文件夹的审核策略,二、设置被审核的资源与用户,三、测试与查看审核设置,用新用户登录测试策略的可用性,人民邮电出版社,8.9.3,审核打印机的访问操作,为打印机添加、删除、查看或编辑审核项目,人民邮电出版社,8.9.4,审核访问活动目录对象的操作,一、设置“审核目录服务访问”策略,二、测试与查看审核设置,在,Users,组织单位内将用户账号,user1,加入组,Domain,Admins,。,人民邮电出版社,本,章,小,结,组策略,是,Windows Server 2003,操作系统中提供的一种重要的更新和配置管理技术,可实现的功能包括安全设置、软件安装、脚本的设置、计算机启动与关闭、用户登录和注销、文件夹重定向等,事件查看器的作用与特点，事件日志文件分为系统日志、应用程序日志、安全日志、目录服务日志。事件日志存储事的文件格式为,*.,evt,、,*.,txt,、,*.,csv,资源的配置后能对其进行审核,人民邮电出版社,