组策略在企业中的应用项目设计方案

1 组策略在企业中的应用项目设计方案 第 1 章 前言 中国互联网的高速发展，让人们在生活、工作等都有了极大的改变，在体验和享受互联网带来的方便及惬意时。互联网里大量存在的一些不正当行为，如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等，总是让我们感觉许多的无奈。特别是中国的广大企业，在利用互联网更加快速、便捷地实现业务全球化的同时，来自外界的病毒、木马、黑客，以及内部员工在工作时间滥用网络资源，聊 地主、农场偷菜、用光驱看电影等等运行与工作无关的程序，随便使用 备导致病毒肆意传 播，也带到了电脑上。为应对这种外忧内患的局面，反病毒、防火墙、入侵检测，在一定程度上排除了外忧。而解内患的问题也迫不及待地被提上日程。 对于一些小型的企业来说，他们没有过多的时间监督每一位员工，没有过的时间查看每一台电脑，那么他们是如何解决这种现状的呢？ 有一种技术，它可以帮助没有过多资金的企业适当地解决内部网络管理与内部员工的办公环境的安全，那就是“组策略”技术。 2 第 2 章 活动目录概述 活动目录简介 活动目录（ 面 向 及 目录服务 。（ 能运行在 ，但是可以通过它对运行 计算机进行管理。） 储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。 用了一种结构化的数据存储方式，并以此作为基础 对目录信息进行合乎逻辑的分层组织。 务是 台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。 活动目录功能 活动目录 (要提供以下功能： (1)基础网络服务：包括 书服务等。 服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 (2)用户服务：管理用户域账户、用户信息、企业通讯录 （与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 资源管理：管理打印机、文件共享服务等网络资源。 (3)桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 (4)应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 活动目录的优点 与 成活动目录使用域名系统 ( 一种 准服务，它将用户能够读取的计 算机名称（例如 译成计算机能够读取的数字 议 (址（由英文句号分隔的四组数字）。这样，在 P 网络计算机上运行的进程即可相互识别并进行连接。 (1)灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且 ,使用全局编 录优化了查找信息的操作。 (2)可扩展性。 可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为 象添加 性，然后将每个用户的购买权限额保存为用户帐户的一部分。 (3)基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 点、域或部门 的组策略对 3 象 (。 置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。 (4)可伸缩性。 括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。 (5)信息复制。 用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。 (6)信息安全。在 008 操作系统中，用户身份验证和访问控制的管理都与 全结合在一起，这是该系统的一项关键性安全功能。身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的 访问控制。此外， 为安全策略提供了存储区和应用范围。 (7)互操作性。由于 标准目录访问协议（例如轻型目录访问协议 (为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (务接口 ( 组策略概况 组策略的功能 “ 组策略 ” 其实与 “ 组 ” 并没有关系，它是一组策略的集合。组策略加强了管理员通过活动 目录数据库在站点、域、或组织单位中配置用户和计算机的能力，在 008 中，通过应用组策略，管理员可以很方便地管理 的计算机和用户的工作环境，例如，用户桌面环境、计算机启动 /关机与用户登陆 /注销时所执行的脚本文件、软件安装、安全设置等。 管理员一般会设置多种配置集合，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及 “ 开始 ” 菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略内包含计算机配置与用户配置两部分，其中计算机配置只对计算机环境有影响，而用户配置只对使用者工作环境有影响。管理员可用过如下两个途径配置和应用组策略： 在单一计算机上配置，用户所作的配置只会应用到本地计算机，用户配置被本机所有用户所应用。 策略对象 ):在域控制器上针对站点，域或 配置组策略，其中域策略内的配置应用到所有域内计算机和用户上， U 内，如果本机冲突则以域或 策略的配置优先，本机无效。 4 组策略实现的目标 对域设置组策略影响整个域的工作环境，对 置组策略影响本 的工作环境；降低布置用户和计算机环境的总费用，因为只需要设置一次，相应的用户或计算机即可全部使用规定的设置，减少用户不正确配置环境的可能性；推行公司使用计算机规范，包括桌面环境规范以及安全策略等内容。例如：软件 分发；软件限制；安全设置（如密码策略、管理模板下相关设置等）；基于注册表的设置（管理模板）； 护；脱机文件夹；漫游配置文件和文件夹重定向；计算机和用户脚本。 5 第 3 章 企业面临的问题与需求 企业面临的现状 现有某小型公司的整个网络设计拓扑图。整个公司主要分为员工宿舍楼、工作区、生产部门以及体育馆四个部分。本次网络设计主要设备有核心交换机一台，务器共一台（集各种功能与一体），硬件防火墙一台，中型交换机 5 台，小型交换机 18 台，域控制器一台， 干。具体网络规划为员工宿舍楼一个 产部门一个 导办公室一个 作区每个部门分别划分一个 次网络管理主要针对工作区，其他部门在网络规划之中。工作区每个部门一个 要目的是为了增加各部门资料的安全性，为了让每个部门的成员至可以访问本部门的网络资源。 在公司不同的部门对软件和一些材料的需求各不相同，为了更好的管理与区分我就需要按需定制，如：哪些用户可使用的软件有哪些，对哪些文档具有哪些权限，和一些上网行为的规范。 图 3企业网络拓扑设计图 企业应用需求分析 域环境下，所有的网络资源，包括用户，都是在域控制器上维护，便于集中管理，所有用户只要登录到域 ,在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低防止公司员工在客户端上乱装软件，能够增强客户端安全性，减少客户端故障，降低维护成本。 6 此小型公司域名为 心机房内架设有主域控制器（主 务器）、文件服务器、 件服务器、 务器、 务器、数据库服务器、管理机等。根据此小型公司现状和需求， 通过和管理员的了解我最终利用组策略来实现以下应用： * 使用组策略使员工部门的软件统一部署 * 使用组策略限制员工使用及安装软件 * 通过查看事件日志观察已设置的组策略审核策略是否应用成功 7 第 4 章 组策略应用架构设计 设计总体思路 针对我这个小型企业的网络拓扑图，我重点把网络管理工作放到了工作区。所以，我的工作区里的组织部、技术部、销售部、财务部和质量监督部都是在一个域名为 域里面，也就是每个部门的计算机 都是域成员，都可以通过被允许的域用户名登录到域。这样就方便了我在域控制器上统一部署软件以及一些限制类的组策略的应用到每台域成员计算机上。 对于员工部门软件的统一部署，我只需要管理员在域控制器上把需要部署的软件统一指派到每台域成员计算机上，这样当域用户登录到计算机的时候，就可以自行下载安装已指派的软件了。 在 此小型公司的 网络管理中，经常会发现一些权限比较高的用户私自从网上下载或者用自己的光盘、 U 盘之类的安装软件， 除此之外，在工作时间里，员工会运行一些如旺旺、 软件，降低了工作的效率，严重时会泄漏公司的重要 信息， 这 些 对于企业 来说是不被允许的，但是各种规定都没办法完全禁止这些行为，以前通常是采用行政手段进行限制， 在了解了这些情况之后，我 利用组策略 的设置限制 员工运行 一些 与工作无关的软件，这样即使他们安装了其他不允许使用的软件，也运行不了。 组策略 审核策略是 000 及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件，而系统管理员通过生成的日志文件，能轻易发现和跟踪发生在所管理区域内的可疑事件。比如 :谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。 这样我就能有效的保护 企业的一些商业机密和计划目标不被外泄等等。 应用架构拓扑 在 环境中，通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是 环境中最有吸引力的基础架构应用之一。通过 连接，我们可以将设置好的组策略应用到域活动目录中的不同级别用户和计算机，这样就可以实现对小到一个组织单元的管理，简单地说， 到了桥梁的作用，通过将 统容器 和组织单位相关联，实现组策略设置的具体应用。还可以将 略设置应用于 器中的具体用户和计算机。 组策略通过在域控制器上设置应用到域成员计算机拓扑，如图 4示。 8 图 4组策略应用拓扑图 9 第 5 章 组策略在企业中的应用实施 创建域服务器 创建 一台网内的服务器（ 008系统 ）提升为域控制器，并创建域用户。然后将 工作区的组织部，技术部，销售部，财务部和质量监督部中的成员计算机都加入到域环境中。 安装 组策略管理控制台， 策略管理控制台 (是一个用于组策略管理的新工具，它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的 理控制台 (管理单元和一组可编程。 运行 程序包。在服务器“ ，浏览到包含“ 文件夹，双击“ 序包， 2、单击“下一步”，单击“我同意”，接受最终用户许可协议 ( 3、单击“下一步”，单击“完成”以完成 装。 组策略具体实施 组策略管理软件的部署 （ 1）准备安装文件 使用组策略部署软件分发的第一步是获取 扩展名的安装文件包。装文件包是微软专门为软件部署而开发的。有些软件程序直接提供这两个文件，有些不提供。 （ 2）分发软件 1）建立分发点。要发布或指派计算机程序，必须在发布服务器上创建一个分发点。把安装文件所在的文件夹创建为一个共享网络文件夹，并对该共享设置权限以允许特定的 织单位）才能访问此分发程序。 2）编辑组策略。在“ 户和在“ 户和计算机”管理单元中，右键单击“ 在快捷菜单中选择属性，单击“组策略”选项卡，单击“编辑”按钮，打开组策略编辑窗口。 3）指派 /分发程序包。右键单击“软件安装”，在快捷菜单中选择“新建”“程序包”，如图 5示。打开 件，这里一定填入网络路径，因为分发的用户要能从网络路径访问到这个文件。 10 图 5新建程序包 打开文件后，弹出“部署软件”对话框，选择“已指派”，如图 5示。 图 5选择部署方法 添加完成后，如图 5示，关闭组策略编辑器，单击“确定”按钮，完成组策略编辑。 11 图 5已指派软件名称 4）客户端软件安装。 指派完成后 ， 以合法域用户身份从 工作区任一个部门的域成员计算机 登录到域中。依次单击 “ 开始 ”“ 程序 ” ，这时会发现程序组中已经出现了 单项，单击 件，则自动进入安装过程。安装完毕后就可以正常使用了 。 现在 企业老板要求 在 “财务部” 分 用户只允许运行 日常应用软件， 而 不允许运行 软件。具体步骤如下： （ 1）先把用户划分到不同的 ，例如分为了甲组 乙 组 甲组位上编辑组策略，打开“用户配置”“ 置”“安全设置”“软件限制策略”，如图 5示。 图 5编辑软件限制策略 12 （ 2）在“软件限制策略”上右击，在快捷菜单中 选择“创建软件限制策略”，软件限制策略下多出几个子项，在“其他规则”上单击右键，选择新建一条“哈希规则”，如图 5示。在“文件哈希”中填入 在的路径，把安全级别设置成不允许，这样甲组 不能够使用 序了。 图 5新建哈希规则 （ 3） 在 的 “财务部” 新建并链接一个新的 名为 “ 限制软件运行策略 ” 。 （ 4） 在新建的 “ 限制软件运行策略 ” 右击，在弹出的快捷菜单中选择“ 编辑 ” 选项，在打开的组策略编辑器中找到 “ 用户配置 ” 管理模板 ” 系统 ” 下的 “ 只允许运行许可的 用程序 ”，如图 5示 。 图 5辑限制软件运行策略 （ 5）启用该配置可实现对指定软件的安装限制。 13 组策略进行资源访问审核 1. 组策略资源访问审核配 置 （ 1）打开审核策略 所有 “ 审核策略 ” 默认是没有打开的，需要手动开启。依次打开 “ 控制面板 管理工具 本地安全策略 ” 或在 “ 开始 运行 ” 中输入 “，打开组策略中的 “ 本地安全设置 ” 编辑器，依次定位到 “ 本地策略 审核策略 ” ，双击右侧窗格中的 “ 审核对象访问 ” ，勾选 “ 成功 ” 或 “ 失败 ” ，如图 5示。 图 5设置审核对象访问属性 （ 2） 对文件夹进行审核设置 （ 3）通过“事件查看器”查看 设置了一则审核策略，还得通过事件查看器来获取信息。在 “ 开始 运 行 ”中输入 “，接着定位到 “ 事件查看器 安全性 ” ，在右侧窗格中记录了许多 “ 成功审核 ” 、 “ 失败审核 ” 的安全性事件。通常情况记录的事件很多，可以对其进行筛选，依次选择 “ 查看 筛选 ” ，在 “ 筛选器 ” 选项卡下面的时间类型中只勾选 “ 成功审核 ” 和 “ 失败审核 ”; 而 “ 事件来源 ” 和 “ 类别 ” 可根据不同的审查对象和审查内容进行筛选，一般情况只需要查看 560 事件即可 ,如图 5示。 14 图 5查看事件日志 2. 组策略文件夹访问审核 现在企业老板要求 监控手下人什么时候访问过或使用了公司电脑中指定的磁盘或文件夹中的资料， 比如 :服务器 “D:件夹。开始前首先在 “文件夹选项 查看 ”标签下取消 “使用简单文件共享 ”。 (1)在 “ 审核策略 ” 中双击右侧的 “ 审核对象访问 ” ，勾选 “ 成功 ” ，确认操作并退出编辑器。右击目标磁盘或文件夹选择 “ 属性 ” ，切换至 “ 安全 ” 选项卡，单击 “ 高级 ” ，切换至 “ 审核 ” 标签。 (2)单击 “ 添加 ” ，输入 员工 使用的用户名，因为 员工 属于普通用户组(所以输入 “ 计算机名 ，单击 “ 确定 ” ,如图 5时会弹出审核项目选择窗口，因为要监视 员工 对目标的 “ 访问权和执行权 ” ，因此要勾选“ 遍历 文件夹 /运行文件 ” ,如图 5定所有操作。 图 5添加用户 15 图 5编辑审核项目 (3)这时策略已经完成了。现在可以试试是否有效。打开事件查看器，右击 “ 安全性 ” 选择 “ 清空所有事件 ” 后注销系统。这时， 用户 登录此系统，访问一下“D: 并执行其中一个文件 ( 比如运行了存放在该目录底下的“文件 )。注销系统后，用管理员身份登录，查看一下日志，是不是清楚地记录了刚才 员工 的访问行为 ,如图 5 图 5查看事件信息 16 3. 测试 对上面的限制软件策略进行测试，域成员通过域用户名登录后，除了常用的日常应用软件 可以安装应用外，还有另外安装的一个 件，看看能不能运行，如果不可以运行，说明组策略应用成功了。 结论 通过组策略技术的应用，防止病毒通过移动设备传播，来实现企业网络的安全。通过对机房及域中每一台电脑的控制，禁止员工用电脑 做与工作无关的娱乐项目，提高员工工作效率。对域中电脑集中发布、删除软件， 加强 公司电脑整体环境 的管理 。有了组策略，管理员的工作更加效率，掌握了组策略技术，管理员的工作得心应手。 通过对这个小型公司的深入了解，我了解了网络安全对于一个企业的重要性，从网络开始普及之后，企业实时更新信息，在抓住了时代浪潮的同时，确保网络安全也是毋庸置疑，在了解这些之后，我觉得防范于未然是最合理的，所以提高员工网络安全意识也是很重要的，除此之外，建立安全管理机构、安装安全软件、网络系统备份和恢复、加强职业道德教育。 策略的功能非常强大，还有很多需要我们去发掘。它也将在企业的应用中展现强大的一面。 17 谢辞 感谢 鞠光明 老师在本课题的开发中一直给予指导和帮助。从论文的选题到结构安排，从内容到文字 排版 ，都凝聚了他大量的心血 ，他为人亲切，平易近人，而且他也曾带过我们构建 线局域网的课，所以刚开始知道自己的指导老师是鞠老师的时候很是开心， 在 毕业设计 的写作过程中， 我懂得了