Windows Server 2008 AD架构-第04部分 使用组策略简化管理、打印服务器

1、使用组策略简化管理 安全性设置安全性设置 文件夹重新导向文件夹重新导向 系统管理模板系统管理模板 更新作业与回送处理更新作业与回送处理 在了解了组策略的原理与运作方式之在了解了组策略的原理与运作方式之后后,本章将本章将介绍部分组策略的用途及设置方式。介绍部分组策略的用途及设置方式。 包括了密码策略、包括了密码策略、帐户锁定策略帐户锁定策略、文件夹重新导文件夹重新导向向、系统管理范本、系统管理范本,和组策略的更新间隔与回送和组策略的更新间隔与回送处理处理等等等等,这些大多是系统管理员比较可能应用这些大多是系统管理员比较可能应用到的组策略。到的组策略。 与系统安全相关的策略主要位于计算机配置与系统

2、安全相关的策略主要位于计算机配置/策策略略/ Windows设置设置/安全性设置节点下安全性设置节点下,例如：例如：最小密码长度最小密码长度、帐户锁定阈值帐户锁定阈值、本机登入等等。、本机登入等等。 由于篇幅有限由于篇幅有限,我们无法逐项介绍。因此将以账我们无法逐项介绍。因此将以账户策略为主角户策略为主角,说明其中各项策略的细节。说明其中各项策略的细节。 账户策略节点包含了密码策略、帐户锁定策略账户策略节点包含了密码策略、帐户锁定策略与与Kerberos策略等策略等3种与安全性相关的节点。种与安全性相关的节点。 请注意请注意,这这3种节点所包含的策略必种节点所包含的策略必须须应用在网应用在网域

3、才会域才会生效生效,并且不受禁止继承的阻挡！并且不受禁止继承的阻挡！ 后文将以后文将以Default Domain Policy的密码策的密码策略与帐户锁定策略节点为例略与帐户锁定策略节点为例,介绍它们所包含的介绍它们所包含的各项策略各项策略,但是并不修改其默认值。但是并不修改其默认值。 读者若要尝试不同的设置读者若要尝试不同的设置值值,最好另外对网域应最好另外对网域应用自定义的策略（假设为用自定义的策略（假设为My Domain GPO）,并将它的链接顺序调整到第并将它的链接顺序调整到第1位位,如下如下图。图。 请执行请执行开始开始/系统管理工具系统管理工具/组策略管理组策略管理命命令令,开

4、启组策略管理控制台。开启组策略管理控制台。 然后在组策略对象然后在组策略对象/ Default Domain Policy按右钮、执行按右钮、执行编辑编辑命令命令,开启开启组策组策略管理编辑略管理编辑器控制台器控制台,选取计算机配置选取计算机配置/策略策略/ Windows设置设置/安全性设置安全性设置/帐户策略帐户策略/密码策略密码策略节点。节点。 储存在储存在Windows Server 2008中的密码中的密码,预设预设是透过哈希是透过哈希(Hash)函数运算过的结函数运算过的结果果,无法将无法将它们还原成原始密码。它们还原成原始密码。 若启用此策略若启用此策略,则改用可还原的加密方式则

5、改用可还原的加密方式(Reversible Encryption)来储存密码来储存密码,基基本上这种作法与直接储存原始密码有同样的风本上这种作法与直接储存原始密码有同样的风险险,因此预设为停用状态因此预设为停用状态,请双按此策略。请双按此策略。 对于某些必须知道原始密码的应用程序或身分对于某些必须知道原始密码的应用程序或身分验证验证方式方式,就必须启用此策略就必须启用此策略,例如：例如：IIS服务器服务器的摘要式的摘要式Windows网域服务器验证网域服务器验证。 为了避免有人使用诸如为了避免有人使用诸如123、aaa这种这种傻瓜密码傻瓜密码,可启用此策略以强迫取一个可启用此策略以强迫取一个够

6、复杂够复杂的密码。的密码。 所谓的所谓的够复杂够复杂必须符合下列条件：必须符合下列条件：1.不包含用户帐户的全名不包含用户帐户的全名中中,超过两个以上的连续超过两个以上的连续字符。字符。例如：全名为例如：全名为Jack Lee,则密码中不得包含则密码中不得包含Jac、Lee或或ack等等字符串。等等字符串。2.必须至少包含必须至少包含大写英文字母大写英文字母、小写英文小写英文字母字母、数字数字和和符号符号四者之中的三者。四者之中的三者。所谓的所谓的符号符号是指键盘上除了是指键盘上除了英文与数字以英文与数字以外外的字符的字符,例如：例如：!、$、#、%等等。等等。 在网域控制站在网域控制站,此策

7、略预设为启用；在独立服务此策略预设为启用；在独立服务器上则为停用。器上则为停用。 设置密码的有效期限设置密码的有效期限,一旦达到此期限一旦达到此期限,系统会系统会强迫用户变更密码。允许设置的范围为强迫用户变更密码。允许设置的范围为0 999天天, 0代表代表不会到期不会到期,永久有效永久有效,系统建系统建议每议每30 90天就变更密码。天就变更密码。 请双按此策略：请双按此策略： 设置至少必须经过多久时间设置至少必须经过多久时间后后,用户才能变更密用户才能变更密码。码。 允许设置的范围为允许设置的范围为0 998, 0代表代表可立即可立即变更变更。 通常此设置值必须小于密码最长有效期通常此设置

8、值必须小于密码最长有效期,但是密但是密码最长有效期若为码最长有效期若为0,则密码最短有效期可为则密码最短有效期可为0 998的任意整数。的任意整数。 有的使用者为了偷有的使用者为了偷懒懒,当系统要求更换密码当系统要求更换密码时时,固定以两、三个密码轮流使用。固定以两、三个密码轮流使用。 为了避免这种为了避免这种情形情形,系统会根据此策略的设置值系统会根据此策略的设置值来记录曾经用过的密码。来记录曾经用过的密码。 假如设为假如设为5,代表会记录最近代表会记录最近5次的密码次的密码,所以在所以在变更密码时不能用这变更密码时不能用这5个个登记有案登记有案的密码。的密码。 允许设置的范围为允许设置的范

9、围为0 24, 0代表代表不记录不记录,随时可用以前曾用过密码随时可用以前曾用过密码。 设置密码最少必须占用几个字设置密码最少必须占用几个字元元,允许设置的范允许设置的范围为围为0 14, 0代表代表可以不设置密码可以不设置密码。 根据实测结果根据实测结果,一旦启用一旦启用密码必须符合复杂性需密码必须符合复杂性需求求策略策略,即使最小密码长度设为即使最小密码长度设为0,则密码的最小则密码的最小长度还是长度还是3、而非、而非0。 因为因为复杂性需求复杂性需求规定密码必须包含规定密码必须包含大写英大写英文字母文字母、小写英文字母小写英文字母、数字数字和和符符号号四者之中的三者。四者之中的三者。 接

10、下来请选取帐户锁定策略节点接下来请选取帐户锁定策略节点,检视其所包含检视其所包含的的3个策略：个策略： 首先要知道首先要知道,以上以上3个策略的关系个策略的关系密切密切,所以修改所以修改其中一个的设置值其中一个的设置值时时,系统会自动检查相关的设系统会自动检查相关的设置值是否适当？置值是否适当？ 若否若否,便会出现以下便会出现以下的建议的值变更交谈窗：的建议的值变更交谈窗： 在以上交谈窗在以上交谈窗,我们必须按确定钮同意变更我们必须按确定钮同意变更,才才能完成设置。能完成设置。 倘若不满意系统的设置倘若不满意系统的设置值值,可参考后文、另行改可参考后文、另行改变它的设置值。变它的设置值。 设置

11、使用者连续几次登入失败设置使用者连续几次登入失败后后,便锁定该账户。便锁定该账户。 账户一旦被锁账户一旦被锁定定,即使输入正确的密码也无法登即使输入正确的密码也无法登入入,如此可防止有人用如此可防止有人用尝试错误法尝试错误法来试出正来试出正确密码。确密码。 允许设置的范围为允许设置的范围为0 999次次,预设为预设为0,代表代表不锁定不锁定但是这样不安全我们建议至但是这样不安全我们建议至少设为少设为3。 请双按此策略：请双按此策略： 同样地同样地,遇到建议的值变更交谈窗时遇到建议的值变更交谈窗时,必须按确必须按确定钮定钮,同意系统做相关的变更。同意系统做相关的变更。 设置等待多久之设置等待多久

12、之后后,将登入失败的次数归零。将登入失败的次数归零。 举例来说举例来说,若帐户锁定阈值为若帐户锁定阈值为3次次,而而重设帐户锁重设帐户锁定计数器的时间间定计数器的时间间隔为隔为30分钟。分钟。 当使用者在当使用者在30分钟内登入失败分钟内登入失败2次后次后,为了避免为了避免再次错误、导致账户被锁再次错误、导致账户被锁定定,只要等待超过只要等待超过30分分钟钟,让计数器重新归让计数器重新归零零,之后便重新有之后便重新有3次尝试的次尝试的机会。机会。 允许设置的范围为允许设置的范围为1 99999分钟。分钟。 同样地同样地,遇到建议的值变更交谈窗时遇到建议的值变更交谈窗时,必须按确必须按确定钮定钮

13、,同意系统做相关的变更。同意系统做相关的变更。 设置账户被锁定的时间长设置账户被锁定的时间长短短,逾时可由系统自动逾时可由系统自动解除锁定。解除锁定。 允许设置的范围为允许设置的范围为0 99999分钟分钟, 0代表代表不自动解除锁不自动解除锁定定,必须等系统管理员手动解必须等系统管理员手动解除锁定。除锁定。 此设置值必须大于前项此设置值必须大于前项的的重设帐户锁定计数器重设帐户锁定计数器的时间间隔的时间间隔。 同样地同样地,遇到建议的值变更交谈窗时遇到建议的值变更交谈窗时,必须按确必须按确定钮定钮,同意系统做相关的变更。同意系统做相关的变更。 文件夹重新导向文件夹重新导向（FolderRed

14、irection）是）是将原本位于用户计算机的特定数据将原本位于用户计算机的特定数据夹夹,偷偷地导偷偷地导引到其它储存位置通常是导引到文件服务引到其它储存位置通常是导引到文件服务器。器。 这种作法主要是基于这种作法主要是基于管制管制和和备份备份的考虑的考虑,因为一般使用者经常忘记定期备因为一般使用者经常忘记定期备份份,也比较不易也比较不易管制计算机的使用（例如：计算机被盗用、硬管制计算机的使用（例如：计算机被盗用、硬盘遭窃等等）盘遭窃等等）。 一旦将档案都存放在严密管制、定期备份的伺一旦将档案都存放在严密管制、定期备份的伺服服器器,自然有更好的保障。自然有更好的保障。 此外也享有此外也享有漫游

15、漫游的优点虽然使用不同的的优点虽然使用不同的电电脑脑,却都能存取到同样的档案。却都能存取到同样的档案。 虽然虽然文件夹重新导向文件夹重新导向有有乾坤大挪移乾坤大挪移的本领的本领,却不是每一个文件夹都适却不是每一个文件夹都适用用,而只适用于特定的而只适用于特定的文件夹。文件夹。 因为在设置时因为在设置时,必须明确地指出将哪一个必须明确地指出将哪一个本机本机文件夹文件夹导向到哪一个导向到哪一个目标文件夹目标文件夹。 后者通常位于服务器后者通常位于服务器,名称可以由系统管理员决名称可以由系统管理员决定定,所以没问题；但是所以没问题；但是本机文件夹本机文件夹的名称却的名称却是由使用者自行是由使用者自行

16、命名命名,系统管理员根本无法掌握。系统管理员根本无法掌握。 因此因此文件夹重新导文件夹重新导向系以向系以每位使用者都有的共每位使用者都有的共同文件夹同文件夹为对象为对象,例如：例如：Windows Vista的的文件、图片、音乐和视讯等等。文件、图片、音乐和视讯等等。 在在Windows 2000 / XP / 2003,这些共同文这些共同文件夹的名称则件夹的名称则是我的文档、我的图片、我的音乐是我的文档、我的图片、我的音乐和我的影片等等。和我的影片等等。 究竟有哪些文件夹可以被重新导向呢？究竟有哪些文件夹可以被重新导向呢？ 请执行请执行开始开始/系统管理工具系统管理工具/组策略管理组策略管理

17、命命令令,对任一个群组原按右钮、执行对任一个群组原按右钮、执行编辑编辑命令命令。 开启开启组策略管理编辑组策略管理编辑器控制台器控制台,选取使用者设置选取使用者设置/策略策略/ Windows设置设置/文件夹重新导文件夹重新导向节点：向节点： 即使系统管理员设置即使系统管理员设置了了文件夹重新导向文件夹重新导向策略策略,对对于使用者来于使用者来说说,却毋须改变操作习惯。存档时同却毋须改变操作习惯。存档时同样是存到文件或我的文档样是存到文件或我的文档,在开始在开始菜单也仍然看菜单也仍然看得到它们。得到它们。 除非存取的档案很大或网络带宽除非存取的档案很大或网络带宽壅塞壅塞,使用者才使用者才会感受

18、到明显的延会感受到明显的延迟迟,否则几乎感受不到有何差否则几乎感受不到有何差异。异。 或许使用者会担心：或许使用者会担心：既然档案都储存在伺服既然档案都储存在伺服器器,万一无法与服务器连万一无法与服务器连线线,工作岂不是得停摆吗工作岂不是得停摆吗？ 别忘了别忘了Windows XP / Vista都有脱机档案都有脱机档案功功能！它能将目标文件夹的内容复制一份到本机能！它能将目标文件夹的内容复制一份到本机（此复制动作称为快取处理）（此复制动作称为快取处理）,换言之换言之,本尊本尊在服务器；分身在本机在服务器；分身在本机！ 无法存取本尊无法存取本尊时时,便以分身来编辑；一旦与服务便以分身来编辑；一

19、旦与服务器连器连线线,便会自动同步分身与本尊的内容。便会自动同步分身与本尊的内容。 凡是被导向到其它位置的文件凡是被导向到其它位置的文件案案,系统会自动将系统会自动将其设其设为脱机档案为脱机档案,具有具有本尊本尊-分身分身的特性的特性,因因此毋须担心内容不一致的问题。此毋须担心内容不一致的问题。 文件文件是一个具有代表性的数据是一个具有代表性的数据夹夹,一方面因为我一方面因为我们经常用它来储存档案；另一方面则因为有些们经常用它来储存档案；另一方面则因为有些文件夹会遵循它的设置文件夹会遵循它的设置,因此后文以文件作为范因此后文以文件作为范例例,说明各设置值的意义。说明各设置值的意义。 首先要说明

20、首先要说明,在在Windows Vista,文件代表文件代表%systemdrive%Users%username%Documents文件夹。文件夹。 在在Windows 2000 / XP / 2003,则代表则代表%systemdrive%Documents and Settings%username%My Documents文文件夹。件夹。 假设我们另外建立了假设我们另外建立了My Domain GPO策略、并策略、并应用到网应用到网域域,请开启组策略管理控制台请开启组策略管理控制台,在组策在组策略对象略对象/ My Domain GPO按右钮、执行按右钮、执行编辑编辑命令：命令：进阶：

21、依据不同的群组进阶：依据不同的群组,将应用对象的将应用对象的文件文件文件夹文件夹重新导向到不同的位置。重新导向到不同的位置。尚未设置尚未设置：维持先前的状态。若：维持先前的状态。若文件文件文件夹已被文件夹已被重新导重新导向向,则维持重新导向；若尚未重新导则维持重新导向；若尚未重新导向向,则维则维持未重新导向。持未重新导向。 然而然而,若对图片、音乐和影片这若对图片、音乐和影片这3个文件夹按右个文件夹按右钮、执行钮、执行内容内容命令命令,就会看到第就会看到第4种模式种模式追随文件数据追随文件数据夹夹,如右图。如右图。 若选择若选择追随文件数据追随文件数据夹夹,代表使图片、音乐和影代表使图片、音乐

22、和影片成为文件的子资料夹片成为文件的子资料夹,而且也继承应用于而且也继承应用于文件文件的组策略。的组策略。 亦即在亦即在Documents内建立了内建立了My Pictures、My Music和和My Videos 3个子文件夹个子文件夹,将来将来Documents移到哪里、移到哪里、它们就跟着移到哪里。它们就跟着移到哪里。 若在设置字段选择基本或进阶若在设置字段选择基本或进阶,便会看到下方出便会看到下方出现目标文件夹位置区现目标文件夹位置区,该区系用来设置被导向的该区系用来设置被导向的数据存放在哪数据存放在哪里里,共有以下共有以下4个位置可供选择：个位置可供选择：重新导向到用户的主目录重新

23、导向到用户的主目录此选项只对文件此选项只对文件才存在。所谓才存在。所谓用户的主目录用户的主目录,就是使用者内容交谈窗的设置档页次所设的就是使用者内容交谈窗的设置档页次所设的主文主文档夹档夹。选择此项代表以主文档夹为选择此项代表以主文档夹为文件文件,若主文档夹设为若主文档夹设为HawkHome,则文件就是则文件就是HawkHome资料夹资料夹,不再建立不再建立Documents子文件夹；倘若未设置主文档子文件夹；倘若未设置主文档夹的夹的位置位置,则不会执行导向。则不会执行导向。为每个用户在根路径建立一个文件夹为每个用户在根路径建立一个文件夹若选择此项若选择此项,下方还会出现下方还会出现根路径栏位

24、根路径栏位,用来设置用来设置实际对应的位置。实际对应的位置。假设将根路径设为假设将根路径设为HawkRoot,则文件被导向则文件被导向到到HawkRoot%username%Documents,其其中的中的%username%Documents是由系统自动建立是由系统自动建立的：的：根据经验显示根据经验显示,因为系统自动建立因为系统自动建立%username%Documents资料夹资料夹,也同时设好了也同时设好了权权限限,所以选择此项比较不会出问题。所以选择此项比较不会出问题。重新导向到下列位置重新导向到下列位置若选择此项若选择此项,下方也会出现下方也会出现根路径栏位根路径栏位,用来设置用来

25、设置实际对应的位置。实际对应的位置。假设根路径是假设根路径是WS2008User_File,则文件是则文件是就代表就代表WS2008User_File资料夹资料夹,不再建立不再建立Documents子文件夹。子文件夹。通常在要让大家有一致的设置通常在要让大家有一致的设置时时,例如：桌面或开例如：桌面或开始菜单始菜单,才会选择此项。才会选择此项。重新导向到本机用户配置文件的位置重新导向到本机用户配置文件的位置若选择此项若选择此项,便以便以7-5节所介绍的节所介绍的本机用户配置本机用户配置文件文件的位置的位置,当成当成Documents的上层文件夹。的上层文件夹。在在Windows Vista,本

26、机用户配置文件的默认位本机用户配置文件的默认位置是置是%systemdrive%Users%username%。在在Windows XP则是则是%systemdrive%Documents and Settings%username%,其实也就是恢复其实也就是恢复文件文件原本默认的位置。原本默认的位置。 在在目标文件夹位置的根路径字段输入目标文件夹位置的根路径字段输入UNC名称时名称时,虽然可以使用虽然可以使用%username%这类环境变数这类环境变数,例如：例如：HawkRoot%username%,然而并非全部的然而并非全部的环境变量都能用在这里。环境变量都能用在这里。 经过实际测试经过

27、实际测试,只有只有%username%、%userprofile%、%homeshare%、和和%homepath%这这4个环境变量可用。个环境变量可用。 此外此外,也不能使用网络驱动器机代也不能使用网络驱动器机代号号,例如：例如：Z:等等。等等。 接着请切换到设置值页次：接着请切换到设置值页次：将使用者独占权利授与文件将使用者独占权利授与文件系赋予应用对象对于导向后的系赋予应用对象对于导向后的文件拥有文件拥有完全控完全控制制的的NTFS权限权限,并且成为该文件夹的拥有者。并且成为该文件夹的拥有者。除非系统管理员强制取得拥有除非系统管理员强制取得拥有权权,否则无法存取这否则无法存取这个个文件文

28、件夹。文件文件夹。预设会勾选此预设会勾选此项项,目的在于保障个人隐私目的在于保障个人隐私权权,避免避免因为文件夹被导向到服务器之因为文件夹被导向到服务器之后后,系统管理员就能系统管理员就能毫无忌惮地存取任何人的档案。毫无忌惮地存取任何人的档案。将文件内容移动到新位置将文件内容移动到新位置预设会选取此预设会选取此项项,重新导向时一并将本机文件夹既重新导向时一并将本机文件夹既有的档案搬移过去。有的档案搬移过去。若取消选取若取消选取,则本机文件夹既有的档案仍保留在原则本机文件夹既有的档案仍保留在原处处,不会搬移过去。不会搬移过去。一并将重新导向策略应用至一并将重新导向策略应用至Windows 200

29、0、Windows 2000 Server、Windows XP及及Windows Server 2003操作系统操作系统若未选取此项若未选取此项,此策略将不会应用在执行此策略将不会应用在执行Windows 2000、Windows 2000 Server、Windows XP及及Windows Server 2003系统的计算机。系统的计算机。而且按下确定或应用钮之后而且按下确定或应用钮之后,会遇到以下的交谈窗：会遇到以下的交谈窗：此交谈窗的意思是：系统将使用此交谈窗的意思是：系统将使用Windows Server 2008和和Vista才认得的格式储存此策略才认得的格式储存此策略,所以比它

30、们早的所以比它们早的Windows系统都不认得且无法修改系统都不认得且无法修改它。它。若选取了此项若选取了此项,会改用会改用Windows 2000以后的系统以后的系统都认得的格式来储都认得的格式来储存存,这些计算机也就会应用此策这些计算机也就会应用此策略。略。若在目标页次选取了重新导向到用户的主目若在目标页次选取了重新导向到用户的主目录录,现现在又选取了此在又选取了此项项,假如图片、音乐和影片等文件夹假如图片、音乐和影片等文件夹是尚未设置的话是尚未设置的话,会自动改为会自动改为追随文件数据追随文件数据夹夹,成为成为文件文件的子文件夹。的子文件夹。 在设置值页次的策略移除区在设置值页次的策略移

31、除区,可以设置当取消应可以设置当取消应用此策略之用此策略之后后,被导向的文件夹是否指向本机文被导向的文件夹是否指向本机文件夹：件夹：当策略移除后当策略移除后,将文件夹留在新的位置将文件夹留在新的位置这是预设值这是预设值,代表不再应用此策略代表不再应用此策略后后,文件文件文件夹文件夹仍指向导向后的位置亦即目标文件夹。仍指向导向后的位置亦即目标文件夹。所以所以,系统管理员千万别以为移除重新导向策略之系统管理员千万别以为移除重新导向策略之后后,使用者的档案就会存到本机文件夹。使用者的档案就会存到本机文件夹。虽然预设不会自动将文件夹指向原本的虽然预设不会自动将文件夹指向原本的位置位置,但是但是使用者在

32、本机对开始使用者在本机对开始/文件文件按右钮、执行按右钮、执行内容内容命令命令,切换到位置页次切换到位置页次,便可以将文件便可以将文件改回到本机上改回到本机上的数据的数据夹夹,如下图：如下图：若是在若是在Windows XP则是对开始则是对开始/我的文档按右钮我的文档按右钮执行执行内容内容命令命令,切换到目标页次：切换到目标页次：当策略移除后当策略移除后,将文件夹重新导向到它的本机用户将文件夹重新导向到它的本机用户配置文件位置配置文件位置不再应用此策略不再应用此策略后后,将文件将文件文件夹指回原本默认的文件夹指回原本默认的位置。位置。 在设置文件夹重新导向策略在设置文件夹重新导向策略时时,最容

33、易出问题的最容易出问题的地方在于目标文件夹的权限设置。地方在于目标文件夹的权限设置。 因为要让应用对象可以在目标文件夹存盘、删因为要让应用对象可以在目标文件夹存盘、删文件、修改档案内容或建立文件夹文件、修改档案内容或建立文件夹等等等等,所以要所以要赋予充分的赋予充分的NTFS权限。权限。 而且目标文件夹通常是网络上的共享数据而且目标文件夹通常是网络上的共享数据夹夹,所所以又牵涉到共享权限的设置。只要有其中一种以又牵涉到共享权限的设置。只要有其中一种权限没设权限没设好好,都会导致无法执行文件夹重新导向。都会导致无法执行文件夹重新导向。 有的系统管理员为了有的系统管理员为了省事省事,干脆将干脆将A

34、uthenticated Users群组的群组的NTFS权限与共权限与共享权限都设为享权限都设为完全控制完全控制,等于是开放最大权限给等于是开放最大权限给每一位登入的使用者。每一位登入的使用者。 这样虽然可以顺利执行重新导这样虽然可以顺利执行重新导向向,却让登入的使却让登入的使用者彼此可以存取或删除对方的档用者彼此可以存取或删除对方的档案案,形成一个形成一个信息安全信息安全漏洞漏洞,风险非常高。风险非常高。 究竟该赋予什么样的权究竟该赋予什么样的权限限,才能顺利执行文件夹才能顺利执行文件夹重新导重新导向向,而且又不会影响资安呢？而且又不会影响资安呢？ 根据根据微软知识库微软知识库（Micros

35、oft KnowledgeBase）编号）编号274443文件文件,对于目标对于目标文件夹的权限设置文件夹的权限设置,区分为区分为基本模式基本模式和和进进阶模式阶模式两种两种,分别叙述如后。分别叙述如后。 假设要以假设要以HawkFR_Folder这个共享文件夹这个共享文件夹作为目标数据作为目标数据夹夹,请依照下列步骤设置请依照下列步骤设置FR_Folder的权限：的权限：1.在共享权限方面在共享权限方面,使使Authenticated Users群组对于群组对于FR_Folder都有完全控制权限。都有完全控制权限。2.参照下表设置参照下表设置FR_Folder文件夹的文件夹的NTFS权限。权

36、限。3.在目标文件夹位置选取在目标文件夹位置选取重新导向到下列位置重新导向到下列位置或或为每个用户在根路径建立一个数据为每个用户在根路径建立一个数据夹夹,根路径设为根路径设为HomeFR_folder%username%。 同样假设要以同样假设要以HawkFR_Folder这个共享文这个共享文件夹作为目标数据件夹作为目标数据夹夹,请依照下列步骤设置请依照下列步骤设置FR_Folder的权限：的权限：1.在共享权限方面在共享权限方面,使使Authenticated Users群组对于群组对于FR_Folder文件夹都有完全控制权限。文件夹都有完全控制权限。2.参照下表设置参照下表设置FR_Fol

37、der文件夹的文件夹的NTFS权限：权限：必须注意的是：若必须注意的是：若在在安全组成员资安全组成员资格格内包含多个内包含多个群群组组,就应该逐一设置这些群组的就应该逐一设置这些群组的NTFS权限权限,以确以确保它们的成员不会因保它们的成员不会因NTFS权限问题而无法应用文权限问题而无法应用文件夹重新导向策略：件夹重新导向策略：3.在目标文件夹位置选取在目标文件夹位置选取重新导向到下列位置重新导向到下列位置或或为每个用户在根路径建立一个数据为每个用户在根路径建立一个数据夹夹,根路径设为根路径设为HomeFR_folder%username%。 根据实作经验根据实作经验,我们提供以下的建议以供参

38、考：我们提供以下的建议以供参考：1.尽量让系统自动建立数据尽量让系统自动建立数据夹夹,避免自己手动建立。避免自己手动建立。在我们输入在我们输入HawkFR_Folder001这类这类UNC名称后名称后,系统处理重新导向策略时若发现系统处理重新导向策略时若发现001尚未存在尚未存在,便会自动便会自动建立、并设置好相关权建立、并设置好相关权限限,这是最稳当的作法。这是最稳当的作法。倘若自己先建立了倘若自己先建立了001,反而可能因为权限的问反而可能因为权限的问题题,而无而无法顺利重新导向。法顺利重新导向。2.修改组策略之修改组策略之后后,在工作站务必执行在工作站务必执行GPUpdate.exe。若

39、在登入时发现并未应用最新的重新导向策略若在登入时发现并未应用最新的重新导向策略,请在该请在该工作站执行工作站执行GPUpdate.exe程序程序,然后注销、再次登然后注销、再次登入。入。3.在根路径多使用在根路径多使用%username%。我们在实作时曾遇到一件我们在实作时曾遇到一件灵异事件灵异事件：选择：选择重新导向重新导向到下列位置、而根路径为到下列位置、而根路径为HawkPublic001（Public代表代表Hawk的公用资料夹的公用资料夹, 001由系统自动建由系统自动建立）。立）。在在Hawk服务器的档案总管窗口检视服务器的档案总管窗口检视Public文件夹时文件夹时,却却没看到没

40、看到001资料夹资料夹,倒是看到文件文件夹。倒是看到文件文件夹。接着接着,以同样方式让系统自动建立了以同样方式让系统自动建立了002、003、004等等资料夹资料夹,结果会看到结果会看到Public文件夹竟然有文件夹竟然有4个都显示为文个都显示为文件的资料夹件的资料夹,如下图：如下图：在同一文件夹在同一文件夹内内,怎么可能存在同名的子文件夹呢？怎么可能存在同名的子文件夹呢？原来原来,这这4个文件个文件文件夹实际上分别对应到文件夹实际上分别对应到001、002、003和和004等资料夹等资料夹,因此可以同时存在。不过因此可以同时存在。不过乍看之下乍看之下,的确让人很容易混淆。的确让人很容易混淆。

41、倘若在设置根路径时倘若在设置根路径时,利用利用%username%来区隔不同用户来区隔不同用户的数据的数据夹夹,例如：例如：HawkPublic%username%,就不就不会出现这种怪现象了。会出现这种怪现象了。 系统管理模板系统管理模板 (Administrative Template)用来定义系统中所有牵涉到登录数据库用来定义系统中所有牵涉到登录数据库(Registry)的设置的设置,例如：隐藏桌面例如：隐藏桌面的图标、的图标、停用光驱的自动播放及停用控制台等等。停用光驱的自动播放及停用控制台等等。 简而言之简而言之,它用来强迫使用者必须执行或禁止执它用来强迫使用者必须执行或禁止执行作哪

42、些动行作哪些动作作,以达到控管网域资源的目的。以达到控管网域资源的目的。 在计算机配置和使用者设置节点之下都有系统在计算机配置和使用者设置节点之下都有系统管理范本节点管理范本节点,两者最大的差异在于计算机配置两者最大的差异在于计算机配置/策略策略/系统管理范本的设置系统管理范本的设置,会写入登录数据库会写入登录数据库的的HKEY_LOCAL _MACHINE (HKLM)。 而使用者设置而使用者设置/策略策略/系统管理范本的设置系统管理范本的设置,则会则会写入登录数据库的写入登录数据库的HKEY_CURRENT_ USER (HKCU)。 请选取计算机配置请选取计算机配置/策略策略/系统管理范

43、本节点系统管理范本节点,可可看到它包含许多子节点和策略：看到它包含许多子节点和策略： 由于篇幅有限由于篇幅有限,我们只示范以下两种动我们只示范以下两种动作作,其余其余动作的设置方式都雷同：动作的设置方式都雷同：禁止安装禁止安装IIS组件组件强迫执行自动更新（强迫执行自动更新（Windows Update） IIS组件主要用来架设组件主要用来架设Web和和FTP服务器服务器,为了避为了避免使用者任意在公司内部架设这些网免使用者任意在公司内部架设这些网站站,形成资形成资安漏洞安漏洞,可利用以下方式来禁止：可利用以下方式来禁止： 有些使用者关闭有些使用者关闭了自动更新了自动更新,因而未能及时修补因而

44、未能及时修补系统的系统的漏洞漏洞,导致感染病毒或遭到入侵。导致感染病毒或遭到入侵。 我们同样可利用组策略来加以规我们同样可利用组策略来加以规范范,其作法如下：其作法如下： 我们在第我们在第4步骤之所以选择步骤之所以选择4-自动下载和排程安自动下载和排程安装装,是因为由系统下载与安是因为由系统下载与安装装,便不会牵涉到使便不会牵涉到使用者的权限问题。用者的权限问题。 倘若选择倘若选择3-自动下载和通知我安自动下载和通知我安装装,则用户在安则用户在安装时必须拥有本机系统管理员的权限。装时必须拥有本机系统管理员的权限。 本节要介绍如何控管是否在特定的情形下更新本节要介绍如何控管是否在特定的情形下更新

45、群组策略群组策略,及是否使用回送处理模式。及是否使用回送处理模式。 牵涉到的策略牵涉到的策略是是系统管理模板系统管理模板/系统系统/组策略。组策略。 同样地同样地,在计算机配置与使用者设置都有在计算机配置与使用者设置都有系统管系统管理模板理模板/系统系统/群组策略群组策略,因为其内容及设置方式因为其内容及设置方式大同小大同小异异,我们仅以前者为例摘要说明。我们仅以前者为例摘要说明。 首先请选取计算机配置首先请选取计算机配置/策略策略/系统管理模板系统管理模板/系系统统/群组策略节点：群组策略节点： 此策略系用来定义何谓此策略系用来定义何谓慢速链接慢速链接（Slow Link）。）。 当计算机之

46、间透过慢速链接当计算机之间透过慢速链接时时,执行或更新某些执行或更新某些组策略会导致效能低落。组策略会导致效能低落。 因此一些与安全性及登录数据无关的群组策略因此一些与安全性及登录数据无关的群组策略,预设不会在慢速链接的情形下预设不会在慢速链接的情形下生效生效,前一节介绍前一节介绍的的文件夹重新导向文件夹重新导向策略便是如此。策略便是如此。 请双按请双按组策略慢速链接侦测组策略慢速链接侦测： 选取启用单选钮之后选取启用单选钮之后,在联机速度字段可输入在联机速度字段可输入0 4,294,967,200的数字的数字,以以Kbps（bit persecond）为计量单位）为计量单位,凡是低于此设置速

47、率凡是低于此设置速率的联机都被视为慢速链接。的联机都被视为慢速链接。 若输入若输入0,代表不侦测低速连代表不侦测低速连结结,将所有的联机都将所有的联机都视为高速连结。视为高速连结。 若停用或不设置这个策略若停用或不设置这个策略,系统会以系统会以500 Kbps为默认值。为默认值。 在预设的情形（停用或尚未设置此策略）在预设的情形（停用或尚未设置此策略）下下,非非域控制器计算机每隔域控制器计算机每隔90分钟向域控制器要求更分钟向域控制器要求更新计算机配置节点中的策略新计算机配置节点中的策略,并有并有0 30分钟分钟的缓冲时间（的缓冲时间（亦即亦即,非域控制器每非域控制器每90 120分分钟更新一

48、次组策略）。钟更新一次组策略）。 利用此策略利用此策略,系统管理员可以设置系统管理员可以设置计算机配置计算机配置节节点中更新组策略的间隔时点中更新组策略的间隔时间间,请双按此策略。请双按此策略。 由于更新组策略时会影响计算机由于更新组策略时会影响计算机效能效能,并且增加并且增加网络负网络负载载,应避免设置太短的更新间隔。应避免设置太短的更新间隔。 而且而且,若启用了若启用了关闭组策略背景重新整理关闭组策略背景重新整理策略策略,则系统便会忽略此策略的设置。则系统便会忽略此策略的设置。 此外此外,文件夹重新导向与软件安装群组策略文件夹重新导向与软件安装群组策略,固固定在计算机重新启动及用户登入时才

49、会定在计算机重新启动及用户登入时才会更新更新,所所以不会受到此策略的设置所影响。以不会受到此策略的设置所影响。 在预设的情形（停用或尚未设置此策略）在预设的情形（停用或尚未设置此策略）下下,域域控制器每隔控制器每隔5分钟更新组策略。分钟更新组策略。 同样地同样地,为了避免多部域控制器同时互相为了避免多部域控制器同时互相更新更新,系统管理员可以指定系统管理员可以指定0 30分钟的缓冲时分钟的缓冲时间间,请双按此策略：请双按此策略： 在说明何谓回送处理（在说明何谓回送处理（Loopback Processing）模式之前）模式之前,我们先复习我们先复习当用户当用户从不同组织单位的计算机登入网域从不

50、同组织单位的计算机登入网域时时,所应用的所应用的组策略会发生什么变化组策略会发生什么变化？ 请参考下图。请参考下图。 假设假设小毛小毛隶属隶属Product组织单位组织单位,当他当他利用利用Workstations组织单位中的计算机组织单位中的计算机(Hawk)登入网域时登入网域时,使用者设置使用者设置默认的应用顺默认的应用顺序是序是GPO1 GPO2。 也就是说也就是说,无论用哪一台计算机登入网无论用哪一台计算机登入网域域,使用使用者设置者设置所应用的策略是由用户帐户所属组织单位所应用的策略是由用户帐户所属组织单位的的GPO来决定。来决定。 然而然而,如果如果GPO2指派给使用者某些应用软指

51、派给使用者某些应用软体体,则则这些软件便会随着用户安装到其他组织单位的这些软件便会随着用户安装到其他组织单位的计算机中。计算机中。 若要避免发生这种若要避免发生这种情形情形,就必须启用回送处理就必须启用回送处理模模式式,将用户设置的应用顺序改为将用户设置的应用顺序改为GPO1 GPO3。 请双按请双按使用者组策略回送处理使用者组策略回送处理模式策略：模式策略： 右图的取代和合并两种模式的意义如下：右图的取代和合并两种模式的意义如下：合并模式合并模式选择此模式会使应用顺序改选择此模式会使应用顺序改为为GPO1 GPO2 GPO1 GPO3,先应用用户帐户所属组织单位的先应用用户帐户所属组织单位的

52、用户设置用户设置,后应用计算机所属组织单位的用户设置后应用计算机所属组织单位的用户设置,整体的使用者设置是两者累加的结果。整体的使用者设置是两者累加的结果。若两者的设置内容互相冲若两者的设置内容互相冲突突,则后应用的内容覆盖则后应用的内容覆盖先应用的内容。先应用的内容。取代模式取代模式选择此模式会使应用顺序改选择此模式会使应用顺序改为为GPO1 GPO3,也就是不理用户帐户所属组织单位的用户设置也就是不理用户帐户所属组织单位的用户设置,只只应用计算机所属组织单位的用户设置。应用计算机所属组织单位的用户设置。若曾指派某些软件给用户帐若曾指派某些软件给用户帐户户,则利用此模式可以则利用此模式可以避

53、免这些软避免这些软体体,跟随用户安装到其他组织单位的计跟随用户安装到其他组织单位的计算机。算机。打印服务器 网络打印的基本观念网络打印的基本观念 分享打印机分享打印机 管理打印机与管理文件管理打印机与管理文件 打印管理打印管理 在大多数的企业在大多数的企业中中,不可能每一部计算机都配备不可能每一部计算机都配备一部印表一部印表机机,通常是一个部门共享两、三部打印通常是一个部门共享两、三部打印机。机。 因此系统管理员必须了解如何将打印机设为共因此系统管理员必须了解如何将打印机设为共用用,及如何有效率地管理共享的打印机。及如何有效率地管理共享的打印机。 在示范操作之前在示范操作之前,我们先来认识网络

54、打印的术语我们先来认识网络打印的术语和运作和运作原理原理,以利之后的学习。以利之后的学习。本机打印机（本机打印机（LocalPrinter）：直接连接在本）：直接连接在本机计算机的打印机称为机计算机的打印机称为本机打印机本机打印机,目前大多目前大多数打印机都是透过数打印机都是透过LPT端口或端口或USB端口连接到计算端口连接到计算机。机。网络打印机（网络打印机（NetworkPrinter）：没有连接到）：没有连接到本机电本机电脑脑,而是必须透过网络才能使用的打印机称而是必须透过网络才能使用的打印机称为为网络打印机网络打印机。逻辑打印机（逻辑打印机（LogicalPrinter）：在某些文件）

55、：在某些文件会出现这个名会出现这个名词词,其实它指的就是打印机驱动程序。其实它指的就是打印机驱动程序。打印服务器（打印服务器（PrintServer）：提供自己的本机）：提供自己的本机打印机给网络大众使用的电打印机给网络大众使用的电脑脑,便称为打印服务器。便称为打印服务器。打印队列（打印队列（PrintQueue）：由于打印机打印的）：由于打印机打印的速度低于数据传输的速度低于数据传输的速度速度,因此打印服务器会在硬因此打印服务器会在硬盘拨出一块空盘拨出一块空间间,暂时储存等待打印的文件暂时储存等待打印的文件。这块暂存空间就称为打印伫这块暂存空间就称为打印伫列列,每一部打印机都会每一部打印机都

56、会有自己对应的打印队列。有自己对应的打印队列。文件（文件（Document）：本章所谓的）：本章所谓的文件文件,泛指一切泛指一切要打印出来的资要打印出来的资料料,包括：图形文件、文本文件、包括：图形文件、文本文件、照片档等等。照片档等等。打印作业（打印作业（PrintJob）：在打印队列中等待打印）：在打印队列中等待打印的文件称为打印的文件称为打印工作工作,精确地说精确地说,打印作业是一份已打印作业是一份已经转换的文件。经转换的文件。例如：在打印时要求横印、提升分辨率为例如：在打印时要求横印、提升分辨率为1200DPI、加上页首文字和水印、加上页首文字和水印等等等等,那么打印作那么打印作业就是

57、已经按照这些要求所呈现的外业就是已经按照这些要求所呈现的外观观,与原始的与原始的文件不同。文件不同。 在上图中在上图中, HP 2100打印机连接在打印机连接在SVR2008A电脑电脑,所以对于所以对于SVR2008A而言而言, HP 2100是本是本机打印机。机打印机。 若将该打印机分享给网络大众若将该打印机分享给网络大众使用使用,则则SVR2008A便扮演打印服务器的角色；而对于网便扮演打印服务器的角色；而对于网络上的其它计算机络上的其它计算机而言而言, HP 2100就是网络打就是网络打印机。印机。 打印服务器将打印队列内的打印打印服务器将打印队列内的打印工作工作,依照依照先先到先印到先

58、印的顺序送给打印机驱动的顺序送给打印机驱动程序程序,打印机驱打印机驱动程序再转送给打印机印出来。动程序再转送给打印机印出来。 本节要说明如何将本机打印机设为共本节要说明如何将本机打印机设为共用用,换个角换个角度来看度来看,也就是要建立一部打印服务器也就是要建立一部打印服务器,提供网提供网络打印服务。络打印服务。将所有的本机打印机设为共享将所有的本机打印机设为共享改变打印机的共享设定改变打印机的共享设定将网络打印机发布到将网络打印机发布到AD数据库数据库 无论计算机安装了多少部本机印表无论计算机安装了多少部本机印表机机,若要将其若要将其统统分享给网络大众统统分享给网络大众使用使用,请开启请开启网

59、络和共享中网络和共享中心心： 不过以上的作法仅适用于不过以上的作法仅适用于启动打印机共享之启动打印机共享之前已经存在的印表前已经存在的印表机机,对于启动打印机共享之对于启动打印机共享之后才新增的打印机后才新增的打印机,并不会也自动设为共享。并不会也自动设为共享。 此时请参考后此时请参考后文文,单独改变该打印机的共享设定。单独改变该打印机的共享设定。 当打印机被设为共享当打印机被设为共享时时,系统默认便赋予系统默认便赋予Everyone群组拥有打印权限群组拥有打印权限,因此所有用户都因此所有用户都能用该打印机来列能用该打印机来列印印,也能暂停、取消或重新启也能暂停、取消或重新启动动自己的自己的打

60、印作业。打印作业。 我们分享了打印机之我们分享了打印机之后后,客户端该如何操作才能客户端该如何操作才能使用网络打印机呢？请参考以下的步骤使用网络打印机呢？请参考以下的步骤(假设打假设打印服务器的名称为印服务器的名称为WS2008)： 其实如果记得网络打印机的共享名其实如果记得网络打印机的共享名称称,在第在第1步步骤直接输入骤直接输入打印服务器名称打印服务器名称网络打印机的网络打印机的共享名共享名称称也可以。也可以。 不过网络打印机的共享名不过网络打印机的共享名称称,通常都是沿用系统通常都是沿用系统所辨识出来的名所辨识出来的名称称,例如：例如：HP LaserJet 2100 PCL6、IBM