组策略在企业中的应用项目设计方案.doc

组策略在企业中的应用项目设计方案第1章 前言中国互联网的高速发展，让人们在生活、工作等都有了极大的改变，在体验和享受互联网带来的方便及惬意时。互联网里大量存在的一些不正当行为，如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等，总是让我们感觉许多的无奈。特别是中国的广大企业，在利用互联网更加快速、便捷地实现业务全球化的同时，来自外界的病毒、木马、黑客，以及内部员工在工作时间滥用网络资源，聊QQ、斗地主、农场偷菜、用光驱看电影等等运行与工作无关的程序，随便使用USB设备导致病毒肆意传播，也带到了电脑上。为应对这种外忧内患的局面，反病毒、防火墙、入侵检测，在一定程度上排除了外忧。而解内患的问题也迫不及待地被提上日程。对于一些小型的企业来说，他们没有过多的时间监督每一位员工，没有过的时间查看每一台电脑，那么他们是如何解决这种现状的呢？有一种技术，它可以帮助没有过多资金的企业适当地解决内部网络管理与内部员工的办公环境的安全，那就是“组策略”技术。第2章 活动目录概述2.1 活动目录简介活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。2.1.1 活动目录功能活动目录(Active Directory)主要提供以下功能：(1)基础网络服务：包括DNS、WINS、DHCP、证书服务等。服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。(2)用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。资源管理：管理打印机、文件共享服务等网络资源。(3)桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。(4)应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。2.1.2 活动目录的优点与DNS 集成活动目录使用域名系统(DNS)。DNS是一种Internet标准服务，它将用户能够读取的计算机名称（例如mycomputer. ）翻译成计算机能够读取的数字Internet协议(IP)地址（由英文句号分隔的四组数字）。这样，在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。 (1)灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。(2)可扩展性。Active Directory是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为User对象添加Purchase Authority属性，然后将每个用户的购买权限额保存为用户帐户的一部分。(3)基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory站点、域或部门的组策略对象(GPO)中。GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。(4)可伸缩性。Active Directory包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。(5)信息复制。Active Directory使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。(6)信息安全。在 Windows 2008 操作系统中，用户身份验证和访问控制的管理都与 Active Directory 完全结合在一起，这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory 还为安全策略提供了存储区和应用范围。(7)互操作性。由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议(LDAP)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口(API)-例如 Active Directory 服务接口(ADSI)-允许开发者访问这些协议。2.2 组策略概况2.2.1 组策略的功能“组策略”其实与“组”并没有关系，它是一组策略的集合。组策略加强了管理员通过活动目录数据库在站点、域、或组织单位中配置用户和计算机的能力，在Windows Server 2008 中，通过应用组策略，管理员可以很方便地管理Active Directory 中的计算机和用户的工作环境，例如，用户桌面环境、计算机启动/关机与用户登陆/注销时所执行的脚本文件、软件安装、安全设置等。管理员一般会设置多种配置集合，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。组策略内包含计算机配置与用户配置两部分，其中计算机配置只对计算机环境有影响，而用户配置只对使用者工作环境有影响。管理员可用过如下两个途径配置和应用组策略：1.本地计算机策略:在单一计算机上配置，用户所作的配置只会应用到本地计算机，用户配置被本机所有用户所应用。2.域组策略GPO(Group Policy Objec，组策略对象):在域控制器上针对站点，域或OU来配置组策略，其中域策略内的配置应用到所有域内计算机和用户上，OU对应到该OU内，如果本机冲突则以域或OU组策略的配置优先，本机无效。2.2.2 组策略实现的目标对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境；降低布置用户和计算机环境的总费用，因为只需要设置一次，相应的用户或计算机即可全部使用规定的设置，减少用户不正确配置环境的可能性；推行公司使用计算机规范，包括桌面环境规范以及安全策略等内容。例如：软件分发；软件限制；安全设置（如密码策略、管理模板下相关设置等）；基于注册表的设置（管理模板）；IE维护；脱机文件夹；漫游配置文件和文件夹重定向；计算机和用户脚本。第3章 企业面临的问题与需求3.1 企业面临的现状现有某小型公司的整个网络设计拓扑图。整个公司主要分为员工宿舍楼、工作区、生产部门以及体育馆四个部分。本次网络设计主要设备有核心交换机一台，DNS、Email、FTP服务器共一台（集各种功能与一体），硬件防火墙一台，中型交换机5台，小型交换机18台，域控制器一台，PC若干。具体网络规划为员工宿舍楼一个VLAN，生产部门一个VLAN，领导办公室一个VLAN，工作区每个部门分别划分一个VLAN。本次网络管理主要针对工作区，其他部门在网络规划之中。工作区每个部门一个VLAN，主要目的是为了增加各部门资料的安全性，为了让每个部门的成员至可以访问本部门的网络资源。在公司不同的部门对软件和一些材料的需求各不相同，为了更好的管理与区分我就需要按需定制，如：哪些用户可使用的软件有哪些，对哪些文档具有哪些权限，和一些上网行为的规范。图3-1 企业网络拓扑设计图3.2 企业应用需求分析域环境下，所有的网络资源，包括用户，都是在域控制器上维护，便于集中管理，所有用户只要登录到域,在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低防止公司员工在客户端上乱装软件，能够增强客户端安全性，减少客户端故障，降低维护成本。此小型公司域名为，核心机房内架设有主域控制器（主DNS服务器）、文件服务器、Exchange邮件服务器、WEB服务器、FTP服务器、数据库服务器、管理机等。根据此小型公司现状和需求，通过和管理员的了解我最终利用组策略来实现以下应用：* 使用组策略使员工部门的软件统一部署* 使用组策略限制员工使用及安装软件* 通过查看事件日志观察已设置的组策略审核策略是否应用成功第4章 组策略应用架构设计4.1 设计总体思路针对我这个小型企业的网络拓扑图，我重点把网络管理工作放到了工作区。所以，我的工作区里的组织部、技术部、销售部、财务部和质量监督部都是在一个域名为的域里面，也就是每个部门的计算机都是域成员，都可以通过被允许的域用户名登录到域。这样就方便了我在域控制器上统一部署软件以及一些限制类的组策略的应用到每台域成员计算机上。对于员工部门软件的统一部署，我只需要管理员在域控制器上把需要部署的软件统一指派到每台域成员计算机上，这样当域用户登录到计算机的时候，就可以自行下载安装已指派的软件了。在此小型公司的网络管理中，经常会发现一些权限比较高的用户私自从网上下载或者用自己的光盘、U盘之类的安装软件，除此之外，在工作时间里，员工会运行一些如旺旺、QQ等软件，降低了工作的效率，严重时会泄漏公司的重要信息，这些对于企业来说是不被允许的，但是各种规定都没办法完全禁止这些行为，以前通常是采用行政手段进行限制，在了解了这些情况之后，我利用组策略的设置限制员工运行一些与工作无关的软件，这样即使他们安装了其他不允许使用的软件，也运行不了。组策略审核策略是Windows2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件，而系统管理员通过生成的日志文件，能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。这样我就能有效的保护企业的一些商业机密和计划目标不被外泄等等。4.2 应用架构拓扑在AD域环境中，通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境中最有吸引力的基础架构应用之一。通过GPO的连接，我们可以将设置好的组策略应用到域活动目录中的不同级别用户和计算机，这样就可以实现对小到一个组织单元的管理，简单地说，GPO起到了桥梁的作用，通过将GPO与所选的Active Directory系统容器-站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。组策略通过在域控制器上设置应用到域成员计算机拓扑，如图4-1所示。图4-1 组策略应用拓扑图第5章 组策略在企业中的应用实施5.1 创建域服务器创建AD，将一台网内的服务器（windows server 2008系统）提升为域控制器，并创建域用户。然后将工作区的组织部，技术部，销售部，财务部和质量监督部中的成员计算机都加入到域环境中。5.2 安装GPMC GPMC是组策略管理控制台，Microsoft 组策略管理控制台 (GPMC) 是一个用于组策略管理的新工具，它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的 Microsoft 管理控制台 (MMC) 管理单元和一组可编程。运行 Windows Installer (.MSI) 程序包。在服务器“JHDZ”上，浏览到包含“gpmc.msi”的文件夹，双击“gpmc.msi”程序包，2、单击“下一步”，单击“我同意”，接受最终用户许可协议 (EULA)，3、单击“下一步”，单击“完成”以完成 GPMC 安装。 5.3 组策略具体实施5.3.1 组策略管理软件的部署1.使用组策略使员工部门的软件统一部署（1）准备安装文件使用组策略部署软件分发的第一步是获取ZAP或MSI为扩展名的安装文件包。MSI安装文件包是微软专门为软件部署而开发的。有些软件程序直接提供这两个文件，有些不提供。（2）分发软件1）建立分发点。要发布或指派计算机程序，必须在发布服务器上创建一个分发点。把安装文件所在的文件夹创建为一个共享网络文件夹，并对该共享设置权限以允许特定的OU（组织单位）才能访问此分发程序。2）编辑组策略。在“ActiveDriectory用户和在“ActiveDriectory用户和计算机”管理单元中，右键单击“”，在快捷菜单中选择属性，单击“组策略”选项卡，单击“编辑”按钮，打开组策略编辑窗口。3）指派/分发程序包。右键单击“软件安装”，在快捷菜单中选择“新建”“程序包”，如图5-1所示。打开QQ2008.msi文件，这里一定填入网络路径，因为分发的用户要能从网络路径访问到这个文件。图5-1 新建程序包打开文件后，弹出“部署软件”对话框，选择“已指派”，如图5-2所示。图5-2 选择部署方法添加完成后，如图5-3所示，关闭组策略编辑器，单击“确定”按钮，完成组策略编辑。图5-3 已指派软件名称4）客户端软件安装。指派完成后，以合法域用户身份从工作区任一个部门的域成员计算机登录到域中。依次单击“开始”“程序”，这时会发现程序组中已经出现了QQ菜单项，单击QQ组件，则自动进入安装过程。安装完毕后就可以正常使用了。2.限制员工使用及安装软件现在企业老板要求在“财务部”OU中限制该OU下的部分用户只允许运行Word、Excel、PowerPoint等日常应用软件，而不允许运行QQ等软件。具体步骤如下：（1）先把用户划分到不同的OU中，例如分为了甲组OU和乙组OU。在甲组OU单位上编辑组策略，打开“用户配置”“Windows设置”“安全设置”“软件限制策略”，如图5-4所示。图5-4 编辑软件限制策略（2）在“软件限制策略”上右击，在快捷菜单中选择“创建软件限制策略”，软件限制策略下多出几个子项，在“其他规则”上单击右键，选择新建一条“哈希规则”，如图5-5所示。在“文件哈希”中填入QQ2008所在的路径，把安全级别设置成不允许，这样甲组OU将不能够使用QQ程序了。图5-5 新建哈希规则（3）在GPMC中的“财务部”OU下新建并链接一个新的GPO，取名为“限制软件运行策略”。（4）在新建的“限制软件运行策略”GPO上右击，在弹出的快捷菜单中选择“编辑”选项，在打开的组策略编辑器中找到“用户配置”-“管理模板”-“系统”下的“只允许运行许可的Windows应用程序”，如图5-6所示。图5-6编辑限制软件运行策略（5）启用该配置可实现对指定软件的安装限制。5.3.2 组策略进行资源访问审核1. 组策略资源访问审核配置（1）打开审核策略所有“审核策略”默认是没有打开的，需要手动开启。依次打开“控制面板管理工具本地安全策略”或在“开始运行”中输入“secpol.msc”，打开组策略中的“本地安全设置”编辑器，依次定位到“本地策略审核策略”，双击右侧窗格中的“审核对象访问”，勾选“成功”或“失败”，如图5-7所示。图5-7 设置审核对象访问属性（2）对文件夹进行审核设置（3）通过“事件查看器”查看设置了一则审核策略，还得通过事件查看器来获取信息。在“开始运行”中输入“Eventvwr.msc”，接着定位到“事件查看器安全性”，在右侧窗格中记录了许多“成功审核”、“失败审核”的安全性事件。通常情况记录的事件很多，可以对其进行筛选，依次选择“查看筛选”，在“筛选器”选项卡下面的时间类型中只勾选“成功审核”和“失败审核”;而“事件来源”和“类别”可根据不同的审查对象和审查内容进行筛选，一般情况只需要查看560事件即可,如图5-8所示。图5-8 查看事件日志2. 组策略文件夹访问审核现在企业老板要求监控手下人什么时候访问过或使用了公司电脑中指定的磁盘或文件夹中的资料，比如:服务器“D:data”文件夹。开始前首先在“文件夹选项查看”标签下取消“使用简单文件共享”。(1)在“审核策略”中双击右侧的“审核对象访问”，勾选“成功”，确认操作并退出编辑器。右击目标磁盘或文件夹选择“属性”，切换至“安全”选项卡，单击“高级”，切换至“审核”标签。(2)单击“添加”，输入员工使用的用户名，因为员工属于普通用户组(users)，所以输入“计算机名users”，单击“确定”,如图5-9。这时会弹出审核项目选择窗口，因为要监视员工对目标的“访问权和执行权”，因此要勾选“遍历文件夹/运行文件”,如图5-10，确定所有操作。图5-9 添加用户图5-10 编辑审核项目(3)这时策略已经完成了。现在可以试试是否有效。打开事件查看器，右击“安全性”选择“清空所有事件”后注销系统。这时，用户登录此系统，访问一下“D:data”并执行其中一个文件(比如运行了存放在该目录底下的“MSN6.2.exe”文件)。注销系统后，用管理员身份登录，查看一下日志，是不是清楚地记录了刚才员工的访问行为,如图5-11。图5-11 查看事件信息3. 测试对上面的限制软件策略进行测试，域成员通过域用户名登录后，除了常用的Word、Excel、PowerPoint等日常应用软件可以安装应用外，还有另外安装的一个QQ软件，看看能不能运行，如果不可以运行，说明组策略应用成功了。结论通过组策略技术的应用，防止病毒通过移动设备传播，来实现企业网络的安全。通过对机房及域中每一台电脑的控制，禁止员工用电脑做与工作无关的娱乐项目，提高员工工作效率。对域中电脑集中发布、删除软件，加强公司电脑整体环境的管理。有了组策略，管理员的工作更加效率，掌握了组策略技术，管理员的工作得心应手。通过对这个小型公司的深入了解，我了解了网络安全对于一个企业的重要性，从网络开始普及之后，企业实时更新信息，在抓住了时代浪潮的同时，确保网络安全也是毋庸置疑，在了解这些之后，我觉得防范于未然是最合理的，所以提高员工网络安全意识也是很重要的，除此之外，建立安全管理机构、安装安全软件、网络系统备份和恢复、加强职业道德教育。Windows组策略的功能非常强大，还有很多需要我们去发掘。它也将在企业的应用中展现强大的一面。谢辞感谢鞠光明老师在本课题的开发中一直给予指导和帮助。从论