Windows-网络组策略实施方法-课程设计.doc

计算机网络基础课程设计报告（2010 2011学年 第 2 学期）题 目：Windows 网络组策略实施方法专 业： 网络工程 班 级： 姓名学号： 指导教师： 成 绩： 计算机科学与技术系2011年6月28日Windows 网络组策略实施方法 一、设计目的 （1）理解网络管理的需求； （2）理解Windows 网络安全管理的实现方法； （3）分析组策略可以应用的领域； （4）实现组策略管理二、设计内容及要求1）对组策略及其作用有所了解，学会如何建立组策略，并且会进行操作。2）对window xp 上的组策略进行操作，了解其作用。3）组建部署“安全”策略，并进行解锁注册表、关闭端口、远程关机等一系列功能操作。三、总体设计、任务分工及进度安排 总体设计：设计一个“安全”策略，对其中的解锁注册表、关闭端口等进行设计。使其能够让计算机的有一个类似“天网”的防火墙系统。 任务分工： 黄莲珊：1，组策略网络管理的需求进行查找有关资料。 2，解锁注册表、交互式登录“不显示上次的用户名”、防止匿名登录。 陈蔚萍：1，组策略在Windows网络安全管理方面有什么优势。 2，关闭端口、域中添加工作站、网络访问权限设置。 李晓伟：1，组策略的功能方面进行了调查所能应用的领域。 2，远程关机、阻止黑客攻击、IP地址保护。 魏天武：1，组策略的管理进行了有有关的查找。 2，启用审核。 进度安排：第一天进行对有关组策略的相关信息进行查询，并对有关的信息进行了解，从星期2到星期3组建“安全”组策略。星期4进行整理所做的，填写报告并制作成ppt。四、设计过程在第一天听了老师的述说，原本在前一天选择做VPN的我们，在一开始尝试着如何组建网络的我们遇到了瓶颈，在虚拟机没有办法运用的状况下，我们毅然的舍弃了VPN，选择了组策略，原本就慢了一步的我们，在此时加快了脚步，通过上网或是图书馆对组策略有所了解，并对各个策略进行了解，收集其有关的资料。知道了它是以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。我们还了解到了，组策略的基本功能：策略应用环境、部署“桌面”策略、部署“任务栏”和“开始”策略、系统性能策略、部署IE策略、组策略环境优化策略、部署“安全”策略、其他策略。而后小组讨论，选择了进行部署“安全”策略这个任务。并在工作组环境下，基于活动目录的组策略，部署“安全”策略。 将部署“安全”策略的各个小步骤进行明确分工，黄莲珊：解锁注册表、交互式登录“不显示上次的用户名”、防止匿名登录；陈蔚萍：关闭端口、域中添加工作站、网络访问权限设置；李晓伟： 远程关机、阻止黑客攻击、IP地址保护；魏天武：启用审核。每个成员对其中的不同的策略进行操作，并记录有关的过程和结果。后整合，并将结果制作成ppt。组策略的打开打开开始选择运行输入gpedit.msc 解锁注册表由用户配置（双击）选择 管理模板（双击）选择 防止访问注册表编辑工具（双击）点击 已禁用 按 确定 注册表编辑器在运行 对话框 输入 regedit在注册表中将IE主页地址修改成默认即可关闭端口在“组策略编辑器”中，依次打开“本地计算机策略” “计算机配置” “windows 设置” “安全设置” “本地设置” “用户权限分配” 。如图 双击右侧栏中的“拒绝从网络访问这台计算机”策略，显示“拒绝从网络访问这台计算机 属性”对话框，如图单击”添加用户或组”，显示“选择用户或组”对话框，选择“Everyone”账号后点确定，如图交换登陆“不显示上次的用户名”在“组策略编辑器”中，依次的打开“本地计算机策略” “用户配置” “Windows设置” “安全设置” “本地策略” “安全选项”。选择 “交互式登录：不显示上次的用户名” （双击）选中 “已启用”单选按钮按 “确定”，设置完成。 域中添加工作站在“组策略编辑器”左栏中依次打开“本地计算机策略” “计算机配置” “windows配置” “安全设置” “本地策略” “用户权利指派”如图双击右侧栏中的“域中添加工作站”策略，显示“域中添加工作站 属性”对话框，选中“定义这些策略设置” “添加用户或组” “浏览” “选择用户或组” 选择“添加域中工作站”点击确定即可选择“添加域中工作站”点击确定即可远程关机首先要在被关机的机子上如下设置：在组策略编辑器中，一次展开“本地计算机”策略-计算机配置-windows 配置-安全配置-本地策略-用户权利指派-从远端系统强制关机 双击 在其属性中添加“Guest”对象。 同样的 在在组策略编辑器中，一次展开“本地计算机”策略-计算机配置-windows 配置-安全配置-本地策略-用户权利指派-关闭系统 双击 在其属性中添加“Guest”对象。（接下去同上面的步骤）最后在命令行输入：在远程机子桌面便会出现如下方框：阻止黑客攻击在“组策略编辑器”依次打开“本地计算机策略”“用户配置”“管理模板”“系统”，如图：双击“不要运行指定的Windows应用程序”，显示其属性，在选择“已启用”，然后点击“显示”，如图：在弹出的对话框中单击“添加”最后在显示的“添加项目”对话框，在“输入要添加的项目”文本框中输需要禁止运行的程序名，单击“确定”就可以了，此后，这些指定的应用程序将不能运行。网络权限访问设置在“组策略编辑器”左栏中依次打开“本地计算机策略” “计算机配置” “windows配置” “安全设置” “本地策略” “用户权利指派”如图在对应“用户权利指派”项目的右侧窗口区域中，双击右侧栏中的“拒绝本地登录”策略，显示“拒绝本地登录 属性”对话框单击“添加用户或组”按钮，在“选择用户或组”对话框中选择所要设置的用户，再单击“确定”按钮IP地址保护第一步，在“组策略编辑器”中依次展开“本地计算机策略”“用户配置”“管理模板”“网络”“网络连接”，如图：第二步，双击“禁用TCP/IP高级配置”策略，显示其属性，点击“已启用”如图：启用审核首先：在“组策略编辑器”中依次展开“本地计算机策略”“计算机配置”“Windows配置”“安全设置”“本地策略”“审核策略”，如图：第二步，以“审核策略更改”为例。双击“审核更改策略”，显示其属性。如果选中“成功”复选框，服务器日后将会对所有事件的成功操作进行审核；如果选中“失败”复选框，服务器日后将会对所有事件的失败操作进行审核，如图：防止匿名登陆首先：打开开始选择运行输入gpedit.msc在 “组策略编辑器”在右侧选择 “计算机配置” （双击）选择 “Windows设置”（双击）选择“安全设置”（双击）选择“本地策略”（双击）选择“安全选项”（双击）查找 “网络访问：允许匿名SID名”。 选择“已禁用”的按钮按“确定”即可。五、心得体会通过这几天的实验，我们知道组策略（GP）是系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。Windows操作系统提供了强大的安全机制，但是如果要一一设置这些安全配置，却是非常费时、费力的事，使用“安全模板”策略就能快速、批量地设定所有客户端计算机的安全选项。 在这次的课程设计中，起初的我们遇到了很多的问题，不懂的如何的下手，如何的制作，但是我们通过不断地问老师和不断的查询资料，最后懂得如何去做，并进行分工，将这次的课程设计做好了，而在这次的课程设计中，我们更加的懂得了自己去动手，自己去摸索，自己去设计，不再像以前一样按着老师的步骤走了。我们学会了如何利用网络、图书馆等资源去查找资料，解答疑难，从而自主地完成设计。一个课程的设计，让我们更加懂得团队的力量，团队的作用，一个课程设计也是一个团队合作的体现。通过这次的课程设计我们对组策略和其中的“安全”策略也是有了更加深入的了解。六、附录 Windows2000/xp/2003组策略实战指南 人民邮电出版社 2006.7 第604 620页/515329/368653 组策略之(1)-组策略对象建立管理与命名/p-213801593.html 组策略管理/view/983.html?wtp=tt 组策略 /v87683.htm 组策略 /zh-cn/magazine/2008.01.gpperf.aspx 优化组策略性能 Darren Mar-Elia/view/17495.htm 网络安全/view/325702.htm 网络管理/z/q170096984.htm 如何建设和规划校园网的安全管理平台设计日志记录每天的主要设计内容、遇到的问题、解决方法及效果，等。6月27： 黄莲珊对组策略网络管理的需求进行查找有关资料。 陈蔚萍对组策略在网络安全方面有什么优势，如何实现进行了查找有关的资料。 李晓伟对组策略的功能方面进行了理解，并调查所能应用的领域。 魏天武对组策略的管理进行了有关的查找。 遇到的问题遇到所找的资料找不到，或是不够的完全。还有遇到设备上的问题，如：要做域组策略时，需要的设备是windows2003，但是我们的设备时windows xp 而且虚拟机无法使用。我们小组选择了自己的机子可以进行操作的“安全”组策略，进行分工后效果良好。6月28 各个组员间对部署“安全”策略的工作进行了仔细的分工黄莲珊解锁注册表、交互式登录“不显示上次的用户名”、防止匿名登录。陈蔚萍关闭端口、域中添加工作站、网络访问权限设置。李晓伟远程关机、阻止黑客攻击、IP地址保护。魏天武启用审核。遇到的问题：在操作的过程中有不能执行的过程，如：在远程关机的设计中，无法正常的关机，有的操作步骤没有出现，或步骤不一样。通过上网和图书馆的查找，得知得要通过其