使用组策略管理用户环境.pptx

使用组组策略管理 用户环户环 境 主讲： 马永亮 Page 2/55 前一章主要内容回顾顾 v 组组策略概述 T 组组策略的功能 T 组组策略对对象 T 使用组组策略管理单单元 T 计计算机和用户户的组组策略设设置 T 应应用组组策略的时间时间 v 使用组组策略对对象 T 创创建组组策略对对象 T 链链接现现有组组策略对对象 T 指定管理GPO的域控制器 v 组组策略的处处理规则规则 T 组组策略的继继承与处处理规则规则 T 处处理未作更改的组组策略设设置 T 组组策略和慢速网络连络连 接 Page 3/55 本章目标标 v 了解用户环户环 境管理的任务务，掌握管理模板的使用方法以 及常用的安全设设置 v 掌握使用组组策略设设置脚本、重定向文件夹夹、部署软软件的 方法 v 学会配置安全策略、使用安全模板、使用安全配置和分析 工具 v 掌握如何设设置审审核策略，并审审核特定的行为为 Page 4/55 用户环户环 境管理概述 v 用户环户环 境管理是指系统统管理员员通过组过组 策略来管理用户户使 用计计算机的工作环环境，如管理用户户的桌面、网络连络连 接等 v 常用来管理用户环户环 境的组组策略类类型包括： T 管理模板设设置 T 脚本设设置 T 文件夹夹重定向 T 安全设设置 Page 5/55 管理模板概述 v 管理模板是Windows 2000/XP/Server 2003组组策略的 一个重要组组件 v 管理模板是Unicode格式的文本文件，扩扩展名.adm，位于 计计算机的%windir%inf文件夹夹下 v 不同的操作系统统默认认安装的管理模板不同 v 可以通过组过组 策略对对象编辑编辑 器添加/删删除管理模板，也可以 为为某些Microsoft应应用程序下载载其他模板，甚至可以创创建 自己的模板 Page 6/55 管理模板设设置的类类型 设置类型可以管理的内容可用于 Windows组件管理用户可以访问的Windows工具和组件。计算机和用户 系统 管理登录和注销，管理组策略、刷新间隔以 及是否启用磁盘配额。 计算机和用户 网络 管理网络连接和拨号连接的属性，包括共享 网络的访问。 计算机和用户 打印机 可以强制在Active Directory内自动发布打 印机，或者禁用网络打印机。 计算机 任务栏和“开始”菜单管理用户可以通过“开始”菜单访问的项目。用户 桌面 管理用户对网络、Internet Explorer、我 的文档等桌面项目的操作。 用户 控制面板 管理对“控制面板”内的“添加/删除程序”、“ 显示器”和“打印机”的使用。 用户 共享文件夹管理发布共享文件夹、DFS根目录等。用户 Page 7/55 常用的安全设设置 v 常用的安全设设置包括： T 常用的桌面安全设设置 T 常用的用户访问户访问 网络资络资 源的安全设设置 T 用户访问户访问 管理工具和应应用程序的安全设设置 Page 8/55 使用管理模板 使用组组策略中管理模板的扩扩展选项选项 来完成管理模板的设设置 v 选择设选择设 置状态态，通常有以下三种状态态 T 未配置：忽略该设该设 置，不会改变变注册表设设置文件内相应应的 值值 T 启用：采用该设该设 置，并改变变相应应的注册表设设置文件 T 禁用：禁止采用该设该设 置，不允许许改变变相应应的注册表设设置文 件 v 对对管理模板设设置的访问访问 T 右击击站点、域或组织单组织单 位“属性”“组组策略”选项选项 卡创创 建一个新的GPO，或者选择选择 一个已存在的GPO T 单击单击 “编辑编辑 ”在组组策略中展开“计计算机设设置”或“用户设户设 置 ”展开“管理模板” Page 9/55 使用组组策略指定脚本 v 使用组组策略的脚本设设置可以使脚本自动动运行 v 在组组策略的计计算机设设置和用户设户设 置下都有脚本设设置 v 同其它策略一样样，该设该设 置只需进进行一次配置，之后就会 持续续在整个网络络内执执行 Page 10/55 组组策略脚本设设置概述 v 组组策略中的脚本设设置是指配置在计计算机启动动/关机时时或者 用户户登录录/注销时销时 自动动运行脚本 v 脚本是指在Windows平台上能够够运行的、包括批处处理文 件、可执执行程序以及Windows脚本宿主支持的其它脚本 Page 11/55 指定组组策略脚本设设置 v 登录录/注销销脚本的设设定 T 当用户户登录时录时 就自动动运行的脚本是“登录录脚本”； T 当用户户注销时销时 就自动动运行的脚本是“注销销脚本”； Page 12/55 一个脚本样样例 v 用记记事本编辑编辑 ，保存扩扩展名为为.vbs v 可用作登录录脚本：用户户登录录后提示用户输户输 入要运行的命 令，进进而可打开一个工具；如果用户输户输 入错误错误 的命令， 则弹则弹 出一个警告信息 Page 13/55 登录录/注销销脚本的设设定 把编辑好的脚本 文件复制到此目 录中 点击“浏览”后 选择脚本 Page 14/55 指定组组策略脚本设设置 v 开机/关机脚本的设设定 T 当计计算机开机时时就自动动运行的脚本是“开机脚本”； T 当计计算机关机时时就自动动运行的脚本是“关机脚本” ； Page 15/55 使用组组策略重定向文件夹夹 v 重定向文件夹夹是指把特殊文件夹夹的存储储位置由用户户的本 地计计算机重定向到网络络服务务器上的共享文件夹夹内 v 通过过重定向文件夹夹，可以保证证用户户的数据存储储在网络络服 务务器上的一个集中位置上，便于集中管理 v 同时时也可以保证证用户户无论论从哪一台计计算机登录录都可以访访 问问到他们们的数据 Page 16/55 文件夹夹重定向概述 v 默认认情况下，“我的文档”、“开始菜单单”等文件夹夹存储储在本 地计计算机内，这这些文件夹夹都是自动动生成的，它们们是每个 用户帐户户帐户 的用户户配置文件的一部分 v 可以利用组组策略重定向的特殊文件夹夹包括： Page 17/55 文件夹夹重定向概述(2) v 重定向文件夹夹，有以下好处处： T 用户户从不同的客户户端计计算机登录录都可以访问访问 到文件夹夹内的 数据 T 文件夹夹内的数据被集中存储储，利于对对数据进进行集中管理， 例如，管理员员在进进行日常维护时维护时 就可以备备份这这些数据，可 以利用组组策略设设置磁盘盘配额额，限制用户户特殊文件夹夹所占的 磁盘盘空间间等 T 重定向文件夹夹内的文件在用户户登录录的计计算机上没有副本， 不占用客户户端计计算机的存储储空间间，而且一些机密的数据也 不会留在客户户端计计算机上 Page 18/55 重定向“我的文档” v 步骤骤： T 在域中任何一台计计算机上建立文件夹夹，设设置SYSTEM和 CREATE OWNER用户户具有NTFS的“完全控制”权权限 T 共享此文件夹夹，并设设置Everyone组组具有“完全控制”权权限 T 通过过“AD用户户和计计算机”工具中相应应容器的组组策略编辑编辑 器设设 置”我的文档“的“属性” T 设设置“我的文档”重定向的属性(点击击右侧侧按键键演示) T 利用此容器中的用户户登录录来又验验正设设置结结果 Page 19/55 设设置“我的文档”重定向的属性 Page 20/55 为为重定向的文件夹夹指定“设设置” v 可以在重定向某文件夹夹(如前面的“我的文档”)后为为其指定 重定向的属性“设设置” 选择此项时， 用户对自己的 文件夹具有完 全控制权限， 其他用户均无 权访问；否则 ，将继承父文 件夹权限 将相应的文件全部 移动至新位置；否 则，全部复制到新 位置； Page 21/55 软软件的部署和管理 v 软软件部署概述 T 指派软软件给给用户户 T 指派软软件给计给计 算机 T 发发布软软件给给用户户 T 自动动修复软软件 T 删删除软软件 v 部署软软件 v 管理软软件 Page 22/55 软软件部署概述 v 软软件的部署分为为“指派”与“发发布”两种 v 发发布的软软件一般为为“Windows Installer Package”，它包 含一个扩扩展名为为 .msi的文件；其中包括安装和删删除特定 应应用程序所需的显显式指令，具有用于软软件安装和维护维护 的 高级级功能 v 也可以部署扩扩展名为为zap（低层应层应 用程序软软件包）或msp （用于修补错误补错误 的补补丁文件）的软软件 v 此外，也可以把其它格式的安装包通过额过额 外的工具转换转换 为为msi的格式后进进行部署 Page 23/55 软软件部署概述(2) v 指派软软件给给用户户 T 使用组组策略指派软软件给给用户户，当用户户从域内任何一台计计算 机登录录，该软该软 件就会被通告给该给该 用户户；但其并没有真正安 装，而只是安装了与这这个软软件有关的部分信息 T 只有在以下两种情况下，此软软件才会自动动安装： 开始运行此软软件 利用“文件启动动”功能 v 指派软软件给计给计 算机：计计算机启动时动时 自动动安装该软该软 件 v 发发布软软件给给用户户 T 软软件不会自动动安装到用户户的计计算机内，可采用如下安装方 法： 单击单击 “开始”“控制面板”“添加或删删除程序”添加程序 利用“文件启动动”功能 Page 24/55 软软件部署概述(3) v 自动动修复软软件 T 安装完被发发布或指派的软软件后，如果此软软件有关键键性的文 件损损坏、丢丢失或被用户户不小心删删除，系统统会自动检测动检测 到， 并且会自动动修复、重新安装此软软件 v 删删除软软件 T 不想再让让用户户使用此软软件时时，只需将该软该软 件从 GPO内发发 布或指派的软软件清单单中删删除，并设设置下次用户户登录录或计计算 机启动时动时 ，自动动将这这个软软件删删除即可 Page 25/55 部署软软件 v 发发布软软件给给用户户，步骤骤： T 在域中任何一台计计算机上建立一个共享文件夹夹作为软为软 件发发 布点 T 编辑编辑 相应应容器(站点、域或OU)上的相应应的GPO，找到“用 户户配置” “软软件设设置” 右击击“软软件安装” “属性” T 在“常规规”选项选项 卡上“默认认程序包”处输处输 入前面建立的软软件件 发发布点的UNC路径 T 在组组策略编辑编辑 器上， 回到“用户户配置” “软软件设设置” 右 击击“软软件安装” “新建” “程序包” 选择选择 相应应的程序包 T 在弹弹出的对话对话 框中选择选择 “已发发布” Page 26/55 部署软软件(2) v 在客户户端安装发发布给给用户户的软软件 T “控制面板”“添加或删删除程序” “添加新程序” “从网 络络添加程序” T 选择选择 要安装的程序包“添加” v 测试测试 自动动修复功能 T 在测试测试 的计计算机上，登录录某管理员帐员帐 号，删删除“发发布”安装 的软软件后注销销 T 在用户户再次用到该软该软 件时时会自动动安装 v 删删除已发发布的软软件 T 找到已经发经发 布的软软件包 右击选择击选择 “所有任务务” “删删除” Page 27/55 部署软软件(3) v 指派软软件给给用户户 T 可以指派软软件给给域或OU内的用户户 T 也可以指派“已发发布”软软件 T 用户户登录录域中的计计算机后，系统统会自动动建立被指派给给用户户 的软软件的快捷方式，并将相关扩扩展名与此软软件关联联；但没 有真正安装该软该软 件，只有在用户户通过过“打开”或用“文件启动动 ”打开该软该软 件时时才会自动动安装 v 指派软软件给计给计 算机 T 可以通过组过组 策略中的“计计算机配置”指派软软件给计给计 算机 T 计计算机启动时动时 就会自动动安装指派的软软件 T 只能“指派”软软件给计给计 算机，无法“发发布”软软件给计给计 算机 Page 28/55 管理软软件 v 通过过强制升级级、可选选升级级或者重新部署等管理功能，可 确保用户总户总 是使用最新版本的软软件 T 软软件升级级 强制升级级 选择选择 升级级 T 说说明：指派给计给计 算机的软软件， 只可以选择选择 “强制升级级” Page 29/55 管理软软件(2) T 重新部署软软件 对对于已经经部署的软软件，如果软软件厂商新发发行了service pack 或补补丁，则则可以通过过重新部署为为此软软件安装service pack或 补补丁 要重新部署软软件，要先更新软软件发发布点文件夹夹内的文件。根 据service pack或补补丁文件的类类型不同，更新的方法有以下 两种： 后缀为缀为 .msi的文件 ，可直接用新文件覆盖旧文件 后缀为缀为 .msp 的补补丁文件 ，运行命令 ，形如：msiexec /p 文 件路径和文件名 /a 文件路径和文件名 Page 30/55 计计算机安全策略 v 安全策略概述 v 使用安全模板 v 审审核策略 T 审审核策略的设设置 T 审审核登录录事件 T 审审核文件夹夹的访问访问 行为为 T 审审核打印机的访问访问 行为为 T 审审核活动动目录对录对 象的访问访问 行为为 T 规则审规则审 核策略 Page 31/55 计计算机安全策略 v 使用组组策略中的安全设设置策略，可以防止用户户破坏计计算 机的各种设设置，保障用户环户环 境和网络络的安全 v 实现实现 安全策略最有效的方式是使用安全模板，安全模板是 一系列安全设设置的集合，并可根据需要调调整其设设置 v 使用安全模板可以简简化定义义和实现实现 一组标组标 准的组组策略的 过过程 v Windows Server 2003还还提供了审审核功能，管理员员要以 通过过分析安全日志查查看资资源被访问访问 的情况 Page 32/55 安全策略概述 v 实实施安全策略可以设设置每台计计算机的本地安全策略来配 置单单台计计算机，也可以设设置域中的组组策略来配置多台计计 算机，使用何种方式则则取决于实际实际 的需求 T 在小规规模的或者不使用AD服务务的网络络中，可以为为每台计计算 机配置本地安全策略(非域控制器上) T 可以为为采用AD服务务的较较大规规模网络络分层层次(域、OU)实实施 安全策略 域安全策略会影响域中的工作站和成员员服务务器(在DC上设设置) 组织单组织单 位安全策略会影响该组织单该组织单 位内的所有用户户和计计算机 等对对象 域控制器安全策略就是在Active Directory的Domain Controllers组织单组织单 位上实实施的安全策略(在DC上设设置) Page 33/55 本地安全策略的设设置 v ”管理工具“”本地安全策略“ Page 34/55 帐户帐户 策略的设设置 Page 35/55 本地策略 Page 36/55 域安全策略 Page 37/55 域控制器安全策略 Page 38/55 使用安全模板 v Windows Server 2003有一系列的安全模板，每个模板 预预定义义的安全设设置不同，这这些模板可以应应用于从要求较较 低安全性的客户户端到要求高安全性的域控制器 v 可以直接应应用这这些预预定义义的安全模板，也可以在这这些安 全模板的基础础上创创建自定义义的安全模板 Page 39/55 使用安全模板管理单单元 v 通过过MMC打开 v 管理员员可以添加安全模板、设设置安全模板描述、刷新安全 模板列表、删删除安全模板 v 安全模板中的安全性设设置可以应应用于本地计计算机，也可 以将其导导入到Active Directory的组组策略对对象（GPO） 中，当将安全模板导导入GPO时时，其设设置会影响该该GPO中 的用户户或计计算机对对象 Page 40/55 使用预预定义义的安全模板 v 系统统提供了四种安全级别级别 的预预定义义的安全模板：基本、 兼容、安全和高度安全，这这些模板包含在 %systemroot%securitytemplates路径中 T 基本 T 兼容 T 安全 T 高安全 Page 41/55 创创建自定义义安全模板 v 有两种方法： T 直接创创建一个新的安全模板 T 复制现现有的预预定义义的安全模板，对对复制的副本进进行修改 Page 42/55 安全配置和分析 v 将安全模板正式应应用到计计算机上之前，要先利用”安全配 置和分析“工具，分析现现有的安全性配置与模板的安全性 配置之间间的差异 v 通过测试过测试 确保模板的安全性设设置不会对对网络络上的应应用程 序、网络连络连 通性、安全性造成不利影响后，再将安全模板 设设置正式配置到计计算机上 v 利用”安全配置和分析“管理单单元可以执执行多种任务务，包括 打开数据库库、导导入安全模板、导导出安全模板、立即分析 计计算机、立即配置计计算机、审查审查 安全要析结结果、修改安 全配置操作等 v 可以通过过MMC打开“安全配置和分析”管理单单元 Page 43/55 安全分析 v “安全配置和分析”可以比较较系统统当前的安全配置与模板中 的安全配置，模板会被导导入到一个单单独的数据库库当中 T 红红色标记标记 不一致的设设置 T 绿绿色标记标记 一致的设设置 T 没有标记标记 的表示在数据库库中没有配置 Page 44/55 安全配置 v 可以利用安全性模板中的设设置立即配置计计算机 Page 45/55 审审核策略 v 审审核策略的设设置 v 审审核登录录事件 v 审审核文件夹夹的访问访问 行为为 v 审审核打印机的访问访问 行为为 v 审审核活动动目录对录对 象的访问访问 行为为 v 规则审规则审 核策略 Page 46/55 审审核策略 v 审审核允许许跟踪计计算机上用户户和操作系统统的活动动，通过过分 析这这些活动动，提出解决系统统整体安全性的措施，从而将 非授权权使用资资源的可能性降到最低 v 在每台计计算机的安全日志中，系统统都会记录记录 一些安全事 件，而审审核策略则则定义义了这这些安全事件的类类型 T 当指定的计计算机上有安全事件发发生时时，系统统会将这这些事件 的相关记录记录 写入“安全日志” T 利用“事件查查看器”可以查查看这这些安全日志，也可以将安全 日志存档来跟踪资资源使用情况 v 要审审核用户访问资户访问资 源的情况，需要设设置审审核策略以及设设 置要审审核的资资源 Page 47/55 审审核策略的设设置 v 可以通过过“本地安全策略”、“域安全策略”或“域控制器安全 策略”和“某容器的组组策略”来设设置审审核策略 v 只有Administrators组组的成员员才有权设权设 置审审核策略 为Sales OU中 某组策略的计 算机配置设置 审核策略 Page 48/55 审审核登录录事件 v 要审审核用户户登录计录计 算机时时的成功或/与失改事件，需要用 到“审审核登录录事件”策略 v 例： T 客户户机client属于Sales OU T 为为Sales OU建立的一个GPO中设设置了如前面所示的“审审核