实验十三 组策略与磁盘配额管理

1、实验十三 组策略与磁盘配额管理一、实验目的(1)掌握创建、更改组策略的具体步骤。掌握组策略管理模板策略的管理。掌握组策略Windows设置策略的管理。（4）掌握为用户账户配置磁盘配额的方法二、实验环境三台计算机，一台安装Windows 98或XP，二台已安装Windows Server 2003的计算机，其中一台计算机配置成Windows 2003域控制器，另一台已计算机登录到域且已安装管理工具。三、实验内容与步骤 更改组策略、将域内的所有用户账户设置成都可以在域控制器上登录，也就是更改“Default Domain Controllers Policy”，让“Domain Users”组内的

2、所有成员都具备“在本地登录”的权利。依次选择“开始”“管理工具”“Active Directory用户和计算机”选项，并从弹出的对话框中选中Domain Controllers,单击鼠标右键，再从弹出的快捷菜单中选择“属性”“组策略”命令，如图13.1所示。图13.1 “Domain Controllers 属性”窗口选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。打开 “组策略”窗口后，依次选择“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限分配”，如图13.2所示。然后双击窗口右侧的“允许在本地登录”，如图13.3所示

3、。图13.2 “组策略编辑器”窗口（1）图13.3 “允许在本地登录 属性”窗口单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。返回“组策略”窗口时，请关闭此窗口。返回“Domain Controllers属性”对话框，单击“确定”按钮关闭此对话框即可。、验证更改组策略的有效性更改组策略后，并不是立刻生效，Windows Server 2003域控制器的组策略更新时间，默认为5分钟；Windows Server 2003工作站、成员服务器的组策略更新时间，默认为90分钟。为了使此组策略能够立刻生效，必须注销，稍等

4、片刻即可生效（要使生效最好重新启动计算机）。在服务器端，以administrator 账户登录。依次选择“开始”“管理工具”“Active Directory用户和计算机”选项，从弹出的对话框中选中Users组织单位并单击鼠标右键，然后从弹出的快捷菜单中选择“新建”“用户”命令添加一个一般的用户账户。（操作方法见实验六）完成后，注销administrator,然后等待此组策略生效；或者干脆重新启动。重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。2、实现计算机的管理模板策略、建立一个组策略，实现：启动磁盘配额，防止强制实施磁盘配额限制，防止用户运行“新任务向导”。 利用admin

5、istrator账户登录，依次选择“开始”“管理工具”“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”控制台。 在“Active Directory用户和计算机”控制台中选中“Domain Controllers”,单击鼠标右键，然后从弹出的快捷菜单中选择“属性”项，再单击“组策略”选项卡，如图13.1所示。 在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“Admini Template Policy”。 选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。 在“组策略编辑器”窗口中，依次展开“计算机配

6、置”“管理模板”“系统”选项，单击“磁盘配额”，打开如图13.4所示的窗口。图13.4 “组策略编辑器”窗口（2） 在图13.4“磁盘配额”的详细信息面板中，双击“启用磁盘配额”，打开“启用磁盘配额 属性”对话框，如图13.5所示，在“启用磁盘配额 属性”对话框中，单击“已启用”，然后单击“确定”按钮即可。图13.5 “启用磁盘配额 属性”对话框 在图13.4“磁盘配额”的详细信息面板中，双击“强制磁盘配额限制”，打开“强制磁盘配额限制 属性”对话框，在“强制磁盘配额限制 属性”对话框中，单击“已禁用”，然后单击“确定”按钮。 在“管理模板”下展开“Windows 组件”，单击“任务计划程序”

7、，打开如图13.6所示的窗口。图13.6 “组策略编辑器”窗口（3） 在“任务计划程序”的详细信息面板中，双击“禁用创建新任务”，打开“禁用创建新任务属性”对话框，然后单击“已启用”，再单击“确定”按钮。关闭“组策略编辑器”窗口，关闭“Dmain Controllers属性”窗口即可。、验证计算机管理模板策略通过以下方法验证包含在“Admin Template Policy”中的组策略是否被正确应用： 利用administrator账户登录，双击“我的电脑”，右击驱动器（D：或E：）的图标，单击“属性”菜单项，打开驱动器属性窗口，单击“配额”选项卡，查看是否启用了磁盘配额及实施了磁盘配额限制。

8、 在“控制面板”中，双击“任务计划”，检查是否可以运行添加任务向导。3、实现用户的管理模板策略、为组织单位“security”建立一个组策略，实现：防止用户利用“网上邻居”浏览网络，防止用户更改“任务栏和开始菜单设置，防止用户访问“Windows Update”，防止用户映射网络驱动器。 利用administrator账户登录，依次选择“开始”“管理工具”“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”对话框。 在“Active Directory用户和计算机”对话框中选中“security”，单击鼠标右键，再从弹出的快捷菜单中选择“

9、属性”菜单项，打开“security 属性”窗口，单击“组策略”选项卡。 在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“security Policy”。 选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。 在“组策略编辑器”窗口中，依次展开“用户配置”“管理模板”“Windows 组件”，单击“Windows 资源管理器”，打开如图13.7所示的窗口。图13.7 “组策略编辑器”窗口（4） 在“Windows 资源管理器”的详细信息面板中，双击“删除映射网络驱动器和断开网络驱动器”，打开“删除映射网络驱动器和断开网络驱动器 属性”对话框，选中“已启用”，然

10、后单击“确定”按钮。 在“管理模板”下单击“桌面”，打开如图13.8所示的窗口，在“桌面”的详细信息面板中，双击“隐藏桌面上的网上邻居”，打开“隐藏桌面上的网上邻居属性”对话框，选中“已启用”，然后单击“确定”按钮。图13.8 “组策略编辑器”窗口（5） 在“管理模板”下单击“任务栏和开始菜单”，打开如图13.9所示的窗口，在“任务栏和开始菜单”详细信息面板中，双击“阻止更改任务栏和开始菜单设置”，打开“阻止更改任务栏和开始菜单设置 属性”对话框，选中“已启用”，然后单击“确定”按钮。图13.9 “组策略编辑器”窗口（6） 在图13.9所示的“任务栏和开始菜单”详细信息面板中，双击“删除到Wi

11、ndows Update的访问和连接”，打开“删除到Windows Update的访问和连接 属性”对话框，选中“已启用”，然后单击“确定”按钮。关闭组策略，关闭所有窗口重新启动计算机。、验证计算机管理模板策略验证包含在“security Policy”中的组策略是否被正确应用。以组织单位“security”中的用户assi登录。可以看到：“网上邻居”没有在桌面上显示；不能修改“任务栏和开始菜单设置；任务栏不出现“Windows Update”图标；不能映射网络驱动器。表明包含在“security Policy”中的组策略设置已经实施。4、实现安全策略、建立一个组策略，实现：密码必须至少6个字

12、符，在登录过程中显示对话框，提醒用户不允许进行非授权的访问，禁用Telnet服务。 利用administrator账户登录，依次选择“开始”“管理工具”“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”对话框。 在“Active Directory用户和计算机”对话框中选中Domain Controllers，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“Domain Controllers属性”窗口，单击“组策略”选项卡。 在“组策略”选项卡上，单击“新建”命令，添加一个GPO，并将其命名为“Security Admin

13、 Policy”。 选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”窗口。 在“组策略编辑器”窗口中，依次展开“计算机配置”“Windows 设置”“安全设置”“账户策略”，单击“密码策略”，打开如图13.10所示的窗口。图13.10 “组策略编辑器”窗口（7） 在“密码策略”详细信息面板中，双击“密码长度最小值”，打开“密码长度最小值 属性”对话框，选中“定义这个策略设置”，把密码长度最小值改为6 ，然后单击“确定”按钮。 在“安全设置”中，展开“本地策略”，单击“安全选项”，打开如图13.11所示的窗口。图13.11 “组策略编辑器”窗口（8） 在图13.11的“安全选项”详细

14、信息面板中，双击“交互式登录：用户试图登录时消息文字”，打开“交互式登录：用户试图登录时消息文字 属性”对话框，选中“在模板中定义这个策略设置”，在文本框中输入“只允许授权用户登录”，如图13.12所示，然后单击“确定”按钮。图13.12 “交互式登录：用户试图登录时消息文字 属性”对话框 在图13.11的“安全选项”详细信息面板中，双击“交互式登录：用户试图登录时消息标题”，打开“交互式登录：用户试图登录时消息标题 属性”对话框，选中“定义这个策略设置”，在文本框中输入“警告”，然后单击“确定”按钮。 在“安全设置”中，单击“系统服务”，打开如图13.13所示的窗口。在“系统服务”详细信息面

15、板中，双击“Telnet”，在“Telnet 属性”对话框中，单击“定义这个策略设置”，选中“已禁用”，然后单击“确定”。关闭所有窗口，重新启动计算机。图13.13 “组策略编辑器”窗口（9）、验证安全策略验证包含在“Security Admin Policy”中的组策略是否被正确应用 利用administrator账户登录，看在登录时是否出现警告信息。 把任一用户的密码改为“123”，看是否能修改。 从“管理工具”菜单中打开“服务”菜单项，看Telnet服务的“启动类型”栏中的值是什么。磁盘配额的配置默认情况下，只有Administrators 组的成员，才能设置 NTFS 卷上的磁盘配额。

16、在已包含文件的卷上启用配额时，Windows 将计算到那个时间点为止在该卷复制文件、保存文件或取得文件所有权的所有用户使用的磁盘空间。然后根据计算的结果将配额限度和警告级别应用于当前所有用户，以及从那个时间点开始使用卷的用户。然后，您可以为某个或多个用户设置不同的配额或禁用配额。也可以为那些还没有在卷上复制文件、保存文件和取得文件所有权的用户设置配额。、启用磁盘配额（1）打开“我的电脑”窗口，用鼠标右键单击某驱动器图标（C：）（驱动器的使用的文件系统应为NTFS），在快捷菜单中选择“属性”项，打开“本地磁盘（C：）属性”窗口。单击“配额”选项卡，显示如图13.14所示的属性窗口。图13.14

17、“本地磁盘（C：）属性”窗口（2）选中“启用配额管理”复选框，激活“配额”选项卡中的所有配额设置选项。（3）选择下列一个或多个选项，然后单击“确定”按钮： l 拒绝将磁盘空间给超过配额限制的用户超过其配额限制的用户将收到来自 Windows 的“磁盘空间不足”错误信息，并且在没有从中删除和移动一些现存文件的情况下，无法将额外的数据写入卷中。l 将磁盘空间限制为输入允许卷的新用户使用的磁盘空间量，以及在将事件写入系统日志前已经使用的磁盘空间量。管理员可以在“事件查看器”中查看这些事件。可以在磁盘空间和警告级别中使用十进制数值（例如，20.5），并从下拉列表中选择适当的单位（如 KB、MB、GB

18、等）。l 将警告等级设为指定了用户接近配额限制的点。例如，设置用户磁盘配额限制是100MB，磁盘配额警告等级设置为90MB。在此情况下，用户可在驱动器中存储不超过100MB的文件。如果用户在驱动器中存储了超过90MB的文件，磁盘配额系统将记录日志事件。l 用户超出配额限制时记录事件如果启用配额，则只要用户超过其配额限制，事件就会写入到本地计算机的系统日志中。管理员可以用事件查看器，通过筛选磁盘事件类型来查看这些事件。l 用户超过警告等级时记录事件如果启用配额，则只要用户超过其警告级别，事件就会写入到本地计算机的系统日志中。、对所有用户强制执行磁盘配额（1）在“将磁盘空间限制为”和“将警告等级设

19、为”框中，输入希望设置的限制值和警告等级。 （2）选中“拒绝将磁盘空间给超过配额限制的用户”复选框，如图13.15所示。图13.15 “本地磁盘（C：）属性”窗口配额选项卡（3）单击“确定”按钮即可，系统将监视磁盘使用情况，当用户超出限制时，将不允许其创建文件或文件夹。、对单个用户强制执行磁盘配额（1)在图13.14中单击“配额项”按钮，打开“本地磁盘（C：）的配额项目”窗口，如图13.16所示，通过该窗口，管理员可以新建配额项、删除已建立的配额项，或者将已建立的配额项信息导出并存储为文件，以后需要时管理员可直接导入该信息文件，获得配额项信息。图13.16 “本地磁盘（C：）的配额项”窗口（2）如果管理员需要创建一个