计算机网络管理.ppt

第6章组策略的管理 6 1组策略6 2组策略的设置 6 1组策略 6 1 1组策略概述6 1 2引入模板策略 在Windows2000操作系统中 系统管理员使用 组策略 为用户和计算机组定义用户和计算机配置 通过使用 组策略 Microsoft管理控制台 MMC 管理单元为特定用户和计算机组创建具体的桌面配置 所创建的 组策略 配置包含在一个 组策略对象 GroupPolicyObject 组策略对象 中 该对象转而又与选定的ActiveDirectory服务容器如站点 域或组织单位 OrganizedUnit OU 等关联 组策略允许管理员对用户工作环境状态只定义一次 然后靠系统实施所定义的策略 为达到这一状态 管理员需要首先在规划ActiveDirectory域结构的同时仔细地创建 组织和规划组策略对象 6 1 1组策略概述1 组策略概念组策略是管理员为计算机和用户定义的 用来控制应用程序和管理模板的一种机制 1 组策略的应用顺序与规则 本地组策略 站点组策略 域组策略 组织单位的组策略 新设置的策略应用将覆盖以前的应用策略 2 阻止策略的继承可以在子容器组策略内 通过 阻止策略继承 复选框来设置不要继承由父容器传递的组策略设置 也就是直接以子容器的组策略为其设置 3 强迫继承策略可以在父容器的组策略内 通过 禁止替代 复选框来强迫子容器必须继承由父容器传送的组策略设置 2 组策略的作用简单地说 组策略就是修改注册表中的配置 当然 组策略使用自己更完善的管理组织方法 可以对各种对象中的设置进行管理和配置 远比手工修改注册表方便 灵活 功能也更加强大 3 组策略的版本大部分Windows9X NT用户可能听过 系统策略 的概念 而现在大部分使用的则是 组策略 这个名字 其实组策略是系统策略的更高级扩展 它是由Windows9X NT的 系统策略 发展而来的 具有更多的管理模板和更灵活的设置对象及更多的功能 目前主要应用于Windows2000 XP 2003系统 4 使用 组策略 管理单元可进行的策略设置 1 基于注册表的策略 包括Windows2000操作系统及其组件以及应用程序的组策略 要管理这些设置 可以使用 组策略 管理单元的 管理模板 节点 2 安全性选项 包括针对本地计算机 域和网络安全设置的选项 3 软件安装和维护选项 用来集中管理应用程序的安装 更新和删除 4 脚本选项 包括用于计算机启动和关闭 以及用户登录和注销的脚本 5 文件夹重定向选项 允许将用户的特殊文件夹重定向到网络 5 定义组策略要求 1 要确定所需策略设置的类型 2 确定目录中哪些类型的对象 用户 计算机 将应用这些设置 3 产生的组策略对象列表 表6 1组策略要求示例 6 确定设置的作用域 1 各目标对象 如计算机 用户或域 的设置对组织中的所有对象是否通用的 或者说 这些对象中不同的分组是否需要应用不同的设置 2 组策略作用域另一个需考虑的方面是 某一特定的设置组是否需要对所有从属容器强制实施 或者相反 是否需要阻止某些设置的继承 在后面的 管理组策略 一节讨论这一问题 7 验证活动目录 ActiveDirectory 域 组织单位 OrganizationUnit OU 设计 1 需要考虑下面几个问题 域设计能否支持组策略的有效使用和管理 如不能 需做何更改 ActiveDirectory网络和委派 要求与 组策略 要求之间有何冲突 为消除目录结构与组策略对象要求之间的冲突 往往需要用安全组来筛选组策略对象 组策略不能跨域继承 也不能从一个域复制到另一个域 一个域中的组策略对象可以从另一个域中链接 拟设计的OU结构可能不能与组策略对象的作用域很好地对应 2 组策略对象的更改除了所有组策略对象都必须在各域中复制外 对组策略对象的结构未做更改 对域 OU结构的更改包括在现有用户OU之上添加一个 用户账户OU 在此应用通用的用户策略 3 组策略对象筛选安全组以下列举了两个一般类型的组策略对象筛选安全组 每部门用户 应用程序组策略对象组服务器类型组策略对象组 8 管理组策略 1 管理结构影响组策略对象结构 2 应用到 组策略 对象的访问控制列表 ACL 应反映出应由谁来管理这些对象 3 包含必须应用到子OU中所有对象的设置的组策略对象可能需要强制实施 以防这些设置被在OU层次结构中较低层次应用的组策略对象所覆盖 4 委派对一个组策略对象中部分设置的控制权这一需要 可能要求拆分组策略对象并让适当的ACL应用到各个新的组策略对象 5 委派对组策略对象设置的控制权和在OU上创建 删除组策略链接的能力 6 将需要创建 自定义组策略编辑器 控制台 这可能包括在策略中指定谁可以加载哪些 组策略 管理单元 表6 2显示了对一个组策略对象结构的更改示例 表6 2对组策略对象结构的可能更改 9 测试和优化组策略 1 如果用户在不断换用计算机 那么组策略的组合在所有不同的排列中是否表现出预期的行为 2 如果移动电脑不断变换站点 那么站点和域 OU策略设置的组合是否表现出预期的行为 10 维护组策略随着单位需要改变 如何排除组策略的问题和维护组策略 6 1 2引入模板策略1 基本模板 Basicwk inf 适用于Windows2000Professional 是系统安装后的Windows2000Professional默认模板 Basicsw inf 适用于Windows2000Server 是系统安装后的Windows2000Server默认模板 Basicdc inf 适用于Windows2000的域控制器 是系统Windows2000的域控制器安装后的默认模板 2 增量模板 Securedc inf和Hisecdc inf 适用于域控制器 使用此模板提供Windows2000的完全的安全特征 施加此模板后系统不能和非Windows2000的计算机通信 Securews inf和Hisecws inf 适用于成员服务器和工作站 施加此模板后系统不能和非Windows2000的计算机通信 这些增量模板 必须先应用基本模板后才能使用 可以有选择地打开它 以便提供所需的功能 而且同时保持非常重要的安全性 3 访问组策略有两种方法可以访问组策略 一是通过gpedit msc命令直接进入组策略窗口 二是打开控制台 将组策略添加进去 1 输入gpedit msc命令访问选择 开始 运行 在运行窗口中输入 gpedit msc 回车后进入组策略窗口 如图6 2所示 图6 2组策略窗口 2 通过控制台访问组策略 图6 3 控制台 窗口图6 4 添加 删除管理单元 对话框 图6 5 添加独立管理单元 对话框图6 6 选择组策略对象 对话框 4 创建需要的组策略模板 图6 7 ActiveDirectory用户和计算机 窗口 图6 8 域控制器属性 对话框图6 9 组策略 选项卡 图6 10 组策略 窗口图6 11 选择导入策略 对话框 图6 12 策略导入来源 对话框 6 2组策略的设置1 桌面 设置 1 隐藏桌面的系统图标 图6 13 组策略桌面操作 窗口 2 退出时不保存桌面设置在图6 13中的右侧窗格中将 退出时不保存设置 这个策略选项启用即可 3 启用 禁用 活动桌面 Windows2000 XP 2003 图6 14 启用 禁用活动桌面 窗口 2 个性化 任务栏 和 开始 菜单 1 给 开始 菜单减肥 图6 15 任务栏和开始菜单 窗口 2 保护好 任务栏 和 开始 菜单如果不想随意让他人更改 任务栏 和 开始 菜单的设置 只要在图6 15中将右侧窗格中的 禁止更改 任务栏和开始菜单 设置 和 禁用任务栏的上下文菜单 两个策略项启用即可 3 禁止 注销 和 关机 Windows2000 XP 2003 当计算机启动以后 如果不希望这个用户再进行 关机 和 注销 操作 那么可将图6 15中组策略控制台右侧窗格中的 禁用开始菜单上的 注销 和 禁用和删除 关机 命令 两个策略启用 4 利用组策略保护个人文档隐私Windows有个高级智能功能 即可以记录用户曾经访问过的文件 虽然这个功能可以方便用户再次打开该文件 但出于安全和性能的考虑 例如不想让人知道自己浏览过哪些网页和打开过哪些文件 有时需要屏蔽此功能 利用组策略 只要在图6 15的右侧窗格中将 不要保留最近打开文档的记录 和 退出时清除最近打开的文档的记录 两个策略启用即可 3 IE设置 1 禁用 在新窗口中打开 菜单项 图6 16组策略浏览器菜单窗口 2 限制IE浏览器的保存功能在使用IE浏览网页过程中 当遇到好的图片 文章等资源时可以使用 另存为 功能将它保存到本地硬盘中 当多人共用一台计算机时 为了保持硬盘的整洁 需要对浏览器的保存功能进行限制 在图6 16中 将右侧窗格中的 文件 菜单 禁用 另存为 菜单项 文件 菜单 禁用另存 Web页 全部 格式 查看 菜单 禁用 源文件 菜单项 和 禁用上下文菜单 等策略项目全部启用即可 3 禁用 Internet选项 控制面板 图6 17组策略Internet控制面板窗口 4 组策略的安全设置 1 隐藏 我的电脑 中指定的驱动器 WindowsXP 2003 图6 18组策略Windows资源管理器窗口 2 防止从 我的电脑 访问驱动器此策略让用户无法查看在 我的电脑 或 Windows资源管理器 中所选驱动器的内容 同时它也禁止使用运行对话框 镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录 在图6 18的右窗格内 选择 防止从 我的电脑 访问驱动器 并启用此策略 并在下面列表框中选择一个驱动器或几个驱动器 3 禁止使用命令提示符 图6 19组策略系统窗口 4 禁止更改显示属性 图6 20组策略显示窗口 5 禁用注册表编辑器为了防止他人进入电脑后对注册表文件进行修改 可以在组策略中对注册表编辑器做禁止访问设置 在图6 19中选择 禁用注册表编辑工具 并启用此策略 6 彻底禁止访问 控制面板 如果不希望其他用户访问计算机的 控制面板 同样可以使用组策略来实现 在图6 14中 依次选择 用户配置 管理模板 控制面板 激活图6 21所示的窗口 在图6 21的右窗格内 选择 禁用控制面板 并启用此策略 图6 21组策略控制面板窗口 7 禁止建立新的拨号连接 图6 22组策略网络及拨号连接窗口 8 禁用 添加 删除程序 图6 23组策略添加 删除程序窗口 9 限制使用应用程序 图6 24只运行许可的Windows应用程序属性窗口 5 计算机和用户的安全设置 1 计算机的安全设置 图6 25组策略安全设置窗口 2 用户的安全策略 图6 26组策略密码策略窗口 图6 27 本地安全策略设置 对话框 6 3软件设置1 计算机的软件设置如图6 26所示 计算机配置 软件设置 适用于登录该计算机的所有用户的软件设置 展开 软件设置 选项后 在类似于图6 26的窗口中可见 安装 项 它可以包含由独立软件供应商放置的其他子项 用户配置 软件设置 是无论用户登录哪台计算机都适用的软件设置 该文件夹中也包含 软件安装 子项 它可以包含其他由独立软件供应商放置的子项 2 软件安装软件安装帮助指定如何在组织中安装和维护应用程序 并通过指定和发布两种模式之一 管理组策略对象中与特定活动目录容器相关联的应用程序 可以是站点 域或组织单位 小结 组策略是介于控制面板和注册表之间的一种修改系统 设置程序的工具 在Windows2000中组策略可以为用户进行个性化设置和安全性设置 本章的开始部分介绍了组策略的基本概念 定义组策略的要求 设置 管理维护 测试 优化组策略的基础知识 本章的后部分主要以Windows2000为网络操作系统介绍如何设置个性化桌面 任务栏 开始菜单 对IE的许多安全设置以及对计算机和用户的安全设置等实际操作过程 习题61 什么是组策略 2 组策略应用顺序的规则是什么 3 组策略的作用和定义组策略的要求各是什么 4 如何设置组策略 5 管理组策略的指导原则有哪些 6 测试 优化组策略时应检验哪些内容 7 Windows2000的基本模板和增量模板各包括哪些程序 8 实验项目在Windows2000中引入模板 访问组策略 在Windows2000中创建需要的组策略模板 设置个性化桌面 例如 隐藏桌面的系统图标 退出时不保存桌面设置 启用 禁用 活动桌面 等 设置个性化任务栏和开始菜单 例如 给 开始 菜单