组策略课件PPT.ppt

组策略 本章要点 组策略可实现的功能与基本配置 帐户策略 用户指派权利 使用组策略部署软件 目录 1组策略概述2组策略的基本配置与实例3使用组策略配置用户环境4使用组策略部署软件 综合实训 WindowsServer2003服务器安全配置 本地安全策略 组策略是管理员为计算机和用户定义的 是用来控制应用程序 系统设置和管理模板的一种机制 简单地说 组策略就是介于控制面板和注册表之间的一种修改系统 设置程序的工具 组策略高于注册表 组策略使用更完善的管理组织方法 可以对各种对象中的设置进行管理和配置 远比手工修改注册表方便 灵活 功能也更加强大 1 使用组策略可以实现的功能帐户策略的设定本地策略的设定脚本的设定用户工作环境的定制软件的安装与删除限制软件的运行文件夹的转移其他系统设定 1组策略概述 方法1 单击 开始 运行 命令 输入gpedit msc 单击 确定 按钮 打开当前计算机的组策略 如图8 1所示 方法2 单击 开始 运行 命令 输入MMC 单击 确定 按钮 打开Microsoft管理控制台 添加 组策略对象编辑器 选择所需的组策略对象 打开要编辑的组策略对象 如图8 2所示 2 启动组策略的方法 图8 1本地组策略窗口 图8 2MMC中的组策略管理单元 3 组策略界面组策略主界面共分为左右两个窗格 左边窗格中的 本地计算机 策略 由 计算机配置 和 用户配置 两个子项构成 右边窗格中是针对左边某一配置可以设置的具体策略 4 组策略对象组策略的基本单元是组策略对象GPO 它是一组设置的组合 有两种类型的组策略对象 本地组策略对象和非本地组策略对象 组策略作用范围 由它们所链接的站点 域或组织单元启用 5 组策略的应用时机计算机配置 计算机开机时自动启用 域控制器默认每隔5分钟自动启用 非域控制器默认每隔90 120分钟自动启动 此外不论策略是否有变动系统每隔16小时自动启动一次 用户配置 用户登录时自动启用 系统默认每隔90分钟自动启动 此外不论策略是否有变动系统每隔16小时自动启动一次 手动启动组策略的命令是 gpupdate target compute force6 组策略的处理顺序组策略的配置是累加的 应用的顺序 本地组策略对象 站点的组策略对象 域的组策略对象 组织单元的组策略对象 后面策略覆盖前面策略 1 计算机配置计算机配置包括所有与计算机相关的策略设置 它们用来指定操作系统行为 桌面行为 安全设置 计算机开机与关机脚本 指定的计算机应用选项以及应用设置 2 用户配置用户配置包括所有与用户相关的策略设置 它们用来指定操作系统行为 桌面设置 安全设置 指定和发布的应用选项 应用设置 文件夹重定向选项 用户登录与注销脚本等 3 组策略插件扩展 1 软件设置 2 Windows设置账号策略 本地策略 事件日志 受限组 系统服务 注册表 文件系统 IP安全策略 公钥策略 3 管理模板 组策略的基本配置与实例 组策略的基本配置 1 让Windows的上网速率提升20 操作步骤 在 组策略编辑器 控制台中 展开 计算机配置 管理模板 网络 QoS数据包调度程序 项 在右窗格双击 限制可保留带宽 策略 在属性对话框中 选择 已启用 单选按钮 并将 带宽限制 值设置为0 单击 确定 按钮 组策略实例1 计算机配置 2组策略的基本配置与实例 2 关闭系统还原功能操作步骤 在 组策略 控制台中 展开 计算机配置 管理模板 系统 系统还原 项 在右窗格双击 关闭系统还原 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮 启用此设置来关闭系统还原 3 禁止WindowsMessenger自动运行操作步骤 在 组策略 控制台中 展开 计算机配置 管理模板 Windows组件 WindowsMessenger 项 在右窗格双击 不允许运行WindowsMessenger 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮 2组策略的基本配置与实例 4 管理远程桌面设置实例 允许 远程桌面 连接在 组策略编辑器 中 展开 计算机配置 管理模板 Windows组件 终端服务 项 在右窗格中双击 允许用户使用终端服务远程连接 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮即可 配置 数据重定向 双击 客户端 服务器数据重定向 目录 打开 客户端 服务器数据重定向 项 可以设置在建立连接后所能使用的客户端资源 设置空闲会话连接时间展开 会话 目录 双击 为活动但空闲的终端服务会话设置时间限制 策略 可以限制空闲会话的连接时间 5 审核登录帐户在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 审核策略 项 双击 帐户登录审核 策略 选择审核 成功 和 失败 两项 单击 确定 按钮 2组策略的基本配置与实例 1 个性化 任务栏和 开始 菜单 通过组策略可以实现 任务栏和 开始 菜单 的个性化 在 组策略编辑器 控制台中 展开 用户配置 管理模板 任务栏和 开始 菜单 项 在右窗格中列出 任务栏和 开始 菜单 有关策略的具体配置 具体实例如下 组策略实例2 用户配置 2组策略的基本配置与实例 给 开始 菜单减肥在组策略窗口中 可以启用 从开始菜单删除用户文件夹 从开始菜单删除公用程序组 从开始菜单中删除 我的文档 图标 等多种组策略配置项目来去掉不需要的菜单项 保护好 任务栏和 开始 菜单 如果不想随意让他人更改 任务栏和 开始 菜单 的设置 只要启用 阻止更改 任务栏和开始菜单 设置 和 阻止访问任务栏的上下文菜单 两个策略即可 禁止 关机 启动计算机后 如果不希望用户进行 关机 操作 那么启用 删除和阻止访问 关机 命令 策略 利用组策略保护个人文档隐私如果不希望用户查看曾经访问过的文件 只要在组策略窗口中的 任务栏和 开始 菜单 项中 启用 不要保留最近打开文档的记录 和 退出时清除最近打开的文档的记录 两个策略即可 2组策略的基本配置与实例 2 个性化桌面通过组策略可以实现 桌面 的个性化 可以让桌面管理工作变得易如反掌 在 组策略编辑器 控制台中 展开 用户配置 管理模板 桌面 项 在右窗格中列出 桌面 有关策略的具体配置 具体实例如下 2组策略的基本配置与实例 隐藏桌面的系统图标只要启用 隐藏桌面上 网上邻居 图标 隐藏桌面上的InternetExplorer图标 隐藏和禁用桌面上的所有项目 删除桌面上的 我的文档 图标 删除桌面上的 我的电脑 图标 和 从桌面删除回收站 等策略可以隐藏桌面上的相应的图标 退出时不保存桌面设置启用 退出时不保存设置 策略可以防止用户保存对桌面的某些更改 如图标的位置 任务栏的位置及大小等 不过任务栏上的快捷方式总可以被保存 禁用ActiveDesktop 活动桌面 是Windows系统中自带的高级功能 最大的特点是可以设置各种图片格式的墙纸 甚至可以将网页作为墙纸显示 考虑性能因素 需要禁用这一功能 打开 桌面 中 ActiveDesktop 目录 在右侧窗格中启用 禁用ActiveDesktop 策略 可以禁用活动桌面 2组策略的基本配置与实例 3 IE浏览器设置微软的IE浏览器让我们可以轻松地在互联网上遨游 但要想用好IE浏览器 则必须将它配置好 通过组策略可轻松实现高级配置功能 在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 InternetExplorer 项 需添加inetres adm模板文件 在右窗口格中列出 InternetExplorer 有关策略的具体配置 具体实例如下 2组策略的基本配置与实例 禁用IE浏览器的某些菜单项例如在 浏览器菜单 目录项 启用 禁用 在新窗口中打开 菜单项 策略 在浏览器中用户右击链接 选择 在新窗口中打开 时 该命令不起作用 网页自动打开的窗口也被禁止 可达到屏蔽弹出广告窗口的效果 禁用 Internet选项 控制面板如果不希望用户修改InternetExplorer的属性中的某些设置 可以禁用 Internet选项 的某些选项卡 在 Internet控制面板 目录中 启用 禁用常规页 禁用安全页 等组策略项 可在 Internet选项 中删除 常规 安全 等选项卡 禁止修改IE浏览器的主页在 工具栏 目录 启用 禁用更改主页设置 策略即可 自定义IE工具栏在 组策略 控制台中 展开 用户配置 Windows设置 InternetExplorer维护 浏览器用户界面 项 双击 浏览器工具栏按钮自定义 策略 打开其设置窗口中 在 按钮 栏中单击 添加 按钮 在 工具栏标题 中输人 我的QQ 在 工具栏操作 中选择QQ程序的路径 最后再选择好 颜色图标 和 灰度图标 的路径 添加了一个 我的QQ 按钮 2组策略的基本配置与实例 4 轻松实现Windows高级功能 关闭缩略图的缓存在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 关闭缩略图的缓存 策略即可 隐藏 我的电脑 中指定的驱动器在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 隐藏 我的电脑 中的这些指定的驱动器 策略 并在列表框中选择一个驱动器或几个驱动器 防止从 我的电脑 访问驱动器在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 防止从 我的电脑 访问驱动器 策略 并在列表框中选择一个驱动器或几个驱动器 禁止使用 命令提示符 在 组策略编辑器 中 展开 用户配置 管理模板 系统 项 启用 阻止访问命令提示符 策略 并选择 也停用命令提示符脚本处理 项 2组策略的基本配置与实例 禁止更改显示属性在 组策略编辑器 中 展开 用户配置 管理模板 控制面板 显示 项 可根据需要启用 隐藏桌面选项卡 隐藏主题选项卡 隐藏保护程序选项卡 隐藏设置选项卡 等策略 来隐藏相关属性的选项卡 用户将无法再对桌面属性进行更改 禁用注册表编辑器在 组策略编辑器 中 展开 用户配置 管理模板 系统 项 启用 阻止访问注册表编辑工具 策略 禁止用户启动注册表编辑器 禁止访问 控制面板 在 组策略编辑器 中 展开 用户配置 管理模板 扩展面板 项 启用 禁止访问控制面板 策略 此后用户不能使用Control exe启动 控制面板 开始 菜单和 资源管理器 中将删除 控制面板 项 禁用 添加 删除程序 在 组策略编辑器 中 展开 用户配置 管理模板 添加或删除程序 项 启用 删除 添加 删除程序 策略 用户将无法运行 添加 删除程序 2组策略的基本配置与实例 当用户登录计算机网络 操作系统将会通过 计算机配置 和 用户配置 中的 管理模板 策略配置用户环境 常用的配置 限制使用应用程序 展开 系统 项 启用 只运行许可的Windows应用程序 策略 添加允许运行的应用程序 隐藏在控制面板中指定的图标 展开 控制面板 项 启用 隐藏指定的控制面板程序 策略 添加相应的图标 禁用 Ctrl Alt Del 组合键弹出的对话框中的选项 展开 系统 Ctrl Alt Del 项 启用相应的策略 如 删除 任务管理器 删除开始菜单中的 关机 图标 展开 任务栏和 开始 菜单 项 启用 删除和阻止访问 关机 命令 策略 隐藏桌面上所有图标 展开 桌面 项 启用 隐藏和禁用桌面上所有的项目 策略 管理模板策略 3使用组策略配置用户环境 帐户策略又包括密码策略 帐户锁定策略和Kerberos策略 1 密码策略的设置操作步骤 对本地计算机的用户 在 组策略编辑器 中 展开 计算机配置 Windows设置 安全设置 帐户策略 密码策略 项 双击 密码必须符合复杂性要求 选项 选择 已启用 单击 确定 按钮 还可设置 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 对域控制器用户 打开 ActiveDirectory用户和计算机 管理窗口 右击域或组织单位 选择 属性 命令 在打开的对话框中选择 组策略 选项卡 选择组策略对象 单击 编辑 按钮 打开 组策略编辑器 界面 展开 计算机配置 Windows设置 安全设置 帐户策略 密码策略 项 选择相应的密码策略选项配置即可 帐户策略 3使用组策略配置用户环境 2 帐户锁定策略帐户锁定指在某些情况下 如帐户受到黑客攻击 为保护帐户安全而将此帐户进行锁定 使之在一定时间内不能再次登录 从而挫败连续的猜解尝试 配置方法 在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略 项 双击某帐户锁定策略 进行配置 帐户锁定阈值 帐户锁定时间 复位帐户锁定计数器 3 Kerberos策略KerberosV5身份验证协议是用于确认用户或主机身份的身份验证机制 是WindowsServer2003系统默认的身份验证服务 IPSec可以使用Kerberos协议进行身份验证 Kerberos策略只用于域用户帐户 确定与Kerberos相关的设置 配置方法 在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 帐户策略 Kerberos策略 选择相应的Kerberos策略选项配置即可 3使用组策略配置用户环境 为用户指派权限的操作步骤 步骤 1 在 组策略编辑器 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 用户权限指派 项 这里列出了能为用户指派的各项权限 用户权限指派 3使用组策略配置用户环境 步骤 2 在右窗格中双击要指派的权限 如 关闭系统 打开其属性窗口 单击 添加用户或组 按钮 打开 选择用户或组 对话框 输入用户名 如abc 连续单击 确定 按钮 3使用组策略配置用户环境 下面列举几项用户权限的功能 从网络访问此计算机 确定哪些用户和组能够通过网络连接到该计算机 许多网络协议 如HTTP 都要求该用户权利 默认情况下为Everyone 任何人 安全组授予权限 建议删除Everyone组 向域中添加工作站 允许用户向指定的域中添加一台计算机 有此权限的用户可以向域中添加10个工作站 默认情况下AuthenticatedUsers 经过身份验证的用户 有此权限 建议此权限只授予Administrators组 允许从本地登录 允许用户在计算机上开启一个交互式的会话 用户不具备该权限 但拥有 允许通过终端服务登录 权限 他仍然能够在计算机上开启一个远程的交互式会话 建议此权限只授予Administrators组 允许通过终端服务登录 允许用户使用远程桌面连接登录到计算机上 建议此权限只授予Administrators组 但禁止Administrator帐户有此权限 可以增加系统的安全性 装载和卸载设备驱动程序 确定哪些用户有权安装和卸载设备驱动程序 默认情况下PrintOperators组有此权限 建议此权限只授予Administrators组 还原文件及目录 允许用户在恢复备份的文件或文件夹时 避开文件和目录的许可权限 并且作为对象的所有者设置任何有效的安全主体 建议此权限只授予Administrators组 3使用组策略配置用户环境 可以通过 安全选项 来启用计算机的一些安全设置 操作步骤是 在 组策略编辑器 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 安全选项 项 双击要设置的策略 选择 已启用 或 已禁用 项 单击 确定 按钮 下面列举几个比较常用的安全选项 交互式登录 不需要按CTRL ALT DEL 在计算机机启动时直接出现 登录Windows 对话框 不需要显示 请按CTRL ALT DEL 对话框 交互式登录 不显示上次的用户名 在每次出现的 登录Windows 对话框中都不显示上一次登录者的用户名称 交互式登录 在密码到期前提示用户更改密码 用来设置密码到期前几天提示用户更改密码 关机 允许系统在未登录前关机 设置在 登录Windows 对话框中显示 关机 按钮 以便不需要登录的情况下就可以将计算机关闭 安全选项 3使用组策略配置用户环境 启动 关机脚本是WindowsServer2003系统的一个新特点 启动脚本是用户登录之前运行的批文件 它的功能类似于早期Windows的Autoexec bat文件 关机脚本是计算机关机之前运行的批文件 与用户登录 注销脚本相比 它们之间的主要区别是启动 关机脚本是计算机启动和关机时运行的 脚本程序只运行一次 用户登录 注销脚本在用户登录对话框出现后 用户登录系统或从系统注销时运行 每次登录 注销时都运行一次 设置方法是 在 组策略 控制台中 展开 计算机配置 或 用户配置 Windows设置 脚本 项 双击 启动 或 关机 登录 注销 策略 打开相应的属性窗口 单击 添加 按钮 输入脚本名及参数 单击 确定 按钮 回到属性窗口 单击 确定 按钮完成设置 启动 关机 登录 注销脚本 3使用组策略配置用户环境 文件夹重定向允许用户和管理员将一个文件夹的路径重定向到一个新的位置 文件夹重定向功能 提高了漫游用户配置文件的性能 存储在网络服务器上的数据可以被备份出来 指定给一个用户的数据可以重定向到其它位置 当用户从不同计算机登录网络时都可得到相同的文档 管理员可以使用组策略来设置磁盘配额 可以重定向的文件夹包括 我的文档 桌面 开始 菜单 和 ApplicationData 等 操作步骤 在域控制器上打开 ActiveDirectory用户和计算机 控制台 右击OU选项 选择 属性 命令 打开 OU属性 对话框 切换到 组策略 选项卡 打开 组策略编辑器 窗口 展开 用户配置 Windows设置 文件夹重定向 项 右击 我的文档 项 选择 属性 命令 打开 我的文档属性 对话框 单击 确定 按钮 文件夹重定向 3使用组策略配置用户环境 WindowsServer2003中提供了RIS和Installer两种技术 前者是远程安装服务 通过WindowsServer2003为网络中的客户机提供操作系统的远程安装 后者则是专门解决在Windows网络环境中发布应用软件的需求 使用组策略部署软件的步骤 1 准备安装软件包使用Installer技术的安装程序首先要获取ZAP或MSI格式的软件包 MSI软件包是Microsoft专门为软件部署而开发的 是实现软件分发功能必需的文件格式 通常包含了安装内置程序所要的环境信息和安装或卸载程序时需要的指令和数据 当用户双击MSI文件时 与之关联的文件Msiexec exe将会被调用 它将用Msi dll读取软件包文件 msi 应用转换文件 mst 2 创建软件分发点软件分发点就是包含MSI包文件的共享文件夹 即在文件服务器上创建一个共享文件夹 如Tools 在其下创建要部署软件的子目录 然后将MSI包文件 如 WindowsServer2003管理工具包 程序Adminpak msi 及所有需要的安装源文件放于其中 设置该目录的共享权限为Users组可读 Administrators组完全控制 4使用组策略部署软件 3 创建组策略对象软件部署是依靠AD中的组策略来设置的 必须要创建一个用于分发软件程序包的组策略对象并在其中添加软件部署的设置 配置步骤 步骤 1 在域控制器上打开 ActiveDirectory用户和计算机 控制台 右击域 如 选择 属性 命令 弹出域属性对话框 切换到 组策略 选项卡 单击 新建 按钮 并将新建的组策略对象命名为Software 步骤 2 选中Software选项 单击 编辑 按钮 打开 组策略编辑器 窗口 以 用户配置 为例 右击 软件安装 项 选择 属性 命令 打开 软件安装属性 对话框 在 默认程序包位置 文本框中输入 服务器名 共享文件夹名 如 zah tools 然后选中 显示部署软件对话框 和 基本 项 单击 确定 按钮 4使用组策略部署软件 步骤 3 返回 组策略编辑器 窗口 右击 软件安装 项 选择 新建 程序包 命令 在弹出的 打开 对话框中 选择Tools 中的Adminpak msi文件后 单击 打开 按钮 在弹出的 部署软件 对话框中 询问软件部署的方式 WindowsInstaller提供 发布 和 指派 两种部署方式 选择 已发布 或 已指派 单选按钮 单击 确定 按钮 4 客户端安装软件在DC中部署软件完成后 指派的软件 用户只要登录域后直接在开始菜单中即可找到并使用 发布的软件 用户只要单击 添加或删除程序 窗口中的 添加新程序 按钮 就会立即在 从网络添加程序 列表中列出从DC中分发出来的Adminpak msi程序 如果希望安装 按 添加 按钮即可 4使用组策略部署软件 目标 通过对服务器进行本地安全策略的配置 使学生掌握组策略的概念 配置组策略的方法 及使用组策略配置用户 配置计算机及配置软件的具体实例操作 实训内容 操作1 根据以下要求对WindowsServer2003服务器进行安全策略配置 步骤 1 配置账户策略密码策略 启用密码必须符合复杂性要求 密码最短使用期限改成0天账户锁定策略 账户锁定阈值5次 账户锁定