WindowsServer2008策略设置实战演练.doc

Windows Server 2008 利用组策略来管理用户的工作环境策略设置实战演练：一、 策略设置1：计算机配置由于系统默认是只有某些组（例如administrators）内的用户，才有权限在扮演域控制器角色的计算机上登录，因此一般用户在域控制器上登录时，屏幕上会出现“无法登录”的警告信息，除非他们被赋予允许在本地登录的权限。以下假设要开放域XUBO，使Domain Users组内的用户可以在域控制器上登录，我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是要让这些用户在域控制器上拥有允许在本地登录的权限。1、 到域控制器上利用系统管理员身份登录。2、 选择“开始”“管理工具”“组策略管理”。3、 如图1-1所示，展开到组织单位Domain Controllers，右击右边的Default Domain Controllers Policy，选择“编辑”选项。图1-14、 如图1-2所示，展开“计算机配置”“策略”“Windows设置”“安全设置”“本地策略”“用户权限分配”，双击右侧的“允许在本地登录”选项。图1-25、 如图1-3所示，单击“添加用户或组”按钮，输入或选择或xubo内的Domain Users组，单击两次“确定”。图1-3完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。应用完后，就可以利用任何一个域用户到域控制器上登录，以便测试允许在本地登录功能是否正常。二、 策略设置2：用户配置以下假设域内有一个组织单位业务部，而我们要针对其内的所有用户来设置，而且限定他们必须通过企业内部的代理服务器上网。假设代理服务器的网址为端口为8080，同时要将其浏览器Internet Explorer的“连接”t选项卡内 更改Proxy设置的功能禁用，以免用户私自通过此处更改这些设置值。 由于目前并没有任何GPO被链接到组织单位业务部，因此我们先我们创建一个链接到业务部GPO，然后通过修改GPO设置值的方式来达到目的。1、 到域控制器上利用系统管理员身份登录。2、 如图2-1所示，选择“开始”“管理工具”“组策略管理”。图2-13、 如图2-2所示，展开到组织单位业务部，右击业务部，选择“在这个域创建GPO并在此处链接”。图2-24、 在如图2-3中为此GPO命名后单击“确定”。图2-35、 如图2-4所示，右击这个添加GPO，选择“编辑”选项。图2-46、 如图2-5所示，展开“用户配置”“策略”“Windows设置”“Internet Explorer维护”“连接”双击右边的“代理设置”，选择“启用代理服务器设置”，输入代理服务地址端口号8080，单击“确定”。图2-57、 如图2-6所示，展开“用户配置”“策略”“管理模板”“Windows组件”Internet Explorer，双击右边的“禁用更改代理服务器设置”，选择“已启用”单击“确定”。图2-68、 利用业务部内任何一位用户到域内任何一台计算机登录。9、 运行浏览器Internet Explorer，选择菜单“工具”“Internet”选项，如图2-7所示，单击“连接”选项卡下的“局域网设置”，如图2-8可知其代理服务器被指定到前面所设置的 端口为8080，而且无法更改这些设置。图2-7图2-8三、首选项设置1我们要让位于组织单位业务部内的所有用户登录时，其驱动器Z：都会自动连接到dc1tools共享文件夹；另外，还要利用过滤功能让只有组织单位业务部内的用户peter登录时，其驱动器Y：会自动连接dc1database共享文件夹，但同样是位于业务部内的其他用户登录时不会有Y：磁盘。我们要利用前面所创建的测试用的GPO来练习。1、 先到服务器dc1上创建文件夹tools与database，将它们设置为共享文件夹，假设要把读取权限赋给Everyone。2、 到域控制器上利用系统管理员身份登录。3、 选择“开始”“管理工具”“组策略管理”命令。4、 如图3-1所示，展开到组织单位业务部，右击“测试用的GPO”，选择“编辑”选项。图3-1 5、 如图3-2所示，展开“用户配置”“Windows设置”，右击“驱动器映射”扩展选择“新建”“映射驱动器”命令。图3-26、 如图3-3所示，在“操作”下拉列表中选择更新，“位置”文本框中输入共享文件夹路径。图3-37、 如图3-4所示，单击“公用”标签，选择“在登录用户的安全上下文中运行（用户策略选项）”后单击“确定”。图3-48、 如图3-5所示，右击“驱动器映射”扩展，选项“新建”“映射驱动器”。图3-59、 如图3-6所示，在“操作”下拉列表中选择更新，“位置”文本框中输入共享文件夹路径，选择“重新连接”。图3-610、 如图3-7所示，单击“公用”标签，然后选择“在登录用户的安全上下文中运行（用户策略选项）”，同时选择“项目级别目标”后单击“目标”。图3-711、 如图3-8所示，单击左上角的“新建项目”“用户”。图3-812、 如图3-9所示，在“用户”处通过单击“浏览”按钮来选择仅将此项目应用到域xubo的用户Peter后，单击“确定”按钮。图3-913、 回到“新驱动器 属性”对话框时单击“确定”。14、 如图3-10所示，完成后，右方会有我们所设置的两个项目。图3-1015、 到域内的任何一台成员计算机上，利用组织单位业务部内的用户账户Peter的身份登录，然后选择“开始”“计算机”命令，将看到其Y：与Z：磁盘分别自动连接到我们指定的共享文件夹。但是如果用组织单位业务部内的其他用户登录，只会看到Z：，不会看到Y：，因为我们只设置让Peter有Y：磁盘。三、 首选项设置2：创建本地用户账户以下将通过首选项设置来为组织单位业务部内的计算机自动创建一个本地用户账户Henry，我们要利用前面所创建的测试用的GPO来练习。1、 到域控制器上利用系统管理员身份登录。2、 将此计算机账户转移到组织单位业务部内。3、 选择“开始”“管理工具”“组策略管理”命令。4、 如图4-1所示，展开到组织单位业务部，右击“测试用的GPO”，选择“编辑”选项。图4-1 5、 如图4-2所示，展开“计算机配置”“首选项”“控制面板设置”，右击“本地用户和组”，选择“新建”“本地用户”命令。图4-2 6、 如图4-3所示，在“操作”下拉列表中选择创建、输入用户的相关数据后单击“应用”。图4-37、 如图4-4所示，单击“公用”标签，然后选择“应用一次且不再重新应用”，同时选择“项目级别目标”后单击“目标”。图4-4 8、 如图4-5所示，单击左上角的“新建项目”“计算机名称”命令。图4-59、 如图4-6所示，在“计算机名称”处通过单击“浏览”按钮来选择