项目4 使用组策略管理用户工作环境

1、Windows Server Windows Server 活动目录企业应用（微课版）活动目录企业应用（微课版）项目项目4 4 使用组策略管理用户的工作环境使用组策略管理用户的工作环境杨云杨云 主编主编4.1 4.1 相关知识相关知识识 组策略是一种能够让系统管理员充分管理与控制用户工作环境的功能通过它来确保用户拥有符合组织要求的工作环境，也通过它来限制用户，这样不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。本节介绍如何使用组策略来简化在Active Directory环境中管理计算机和用户。将了解组策略对象(GPO)结构以及如何应用GPO，还有应用GPO时的某些例外情况。本节

2、还将讨论Windows Server 2012提供的组策略功能，这些功能也有助于简化计算机和用户管理。4.1.1 组策略组策略 组策略是一种技术，它支持Active Directory环境中计算机和用户的一对多管理，特点如图6-1所示。图6-1 组策略 通过编辑组策略设置，并针对目标用户或计算机设计组策略对象(GPO)，可以集中管理具体的配置参数。这样，只更改一个GPO，就能管理成千上万的计算机或用户。组策略对象是应用于选定用户和计算机的设置的集合。组策略可控制目标对象的环境的很多方面，包括注册表、NTFS文件系统安全性、审核和安全性策略、软件安装和限制、桌面环境、登录/注销脚本等。通过链接，

3、一个GPO可与AD DS中的多个容器关联。反过来，多个GPO也可链接到一个容器。1域策略域策略域级策略只影响属于该域的用户和计算机。默认情况下存在两个域级策略，如表6-1所示。策略描述默认域策略此策略链接到域容器，并且影响该域中的所有对象默认域控制器策略此策略链接到域控制器的容器，并影响该容器中的对象表6-1 默认域级策略（域策略、域控制器策略）可以创建其他域级策略，然后将其链接到AD DS中的各种容器，以将具体配置应用于选定对象。例如，提供额外安全性设置的GPO可应用于包含应用程序服务器计算机账户的组织单位。又如，GPO可限制某个组织单位中用户的桌面环境。2本地策略运行Windows 200

4、0 Server或更高版本操作系统的每台计算机都有本地组策略。此策略影响本地计算机以及登录到该计算机的任何用户，包括从该本地计算机登录到域的域用户。在工作组或单机情况下，只有本地组策略可用于控制计算机环境。本地策略设置存储在本地计算机上的%systemroot%system32GroupPolicy文件夹中，该文件夹为隐藏文件夹。4.1.2 组策略的功能组策略的功能组策略提供的主要功能如下。 账户策略的设置：例如设置用户账户的密码长度、密码使用期限、账户锁定策略等。 本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。 脚本的设置：例如登录与注销、启动与关机脚本的设置。 用户工

5、作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行，搜索/关机等选项、在开始菜单中添加注销选项、删除浏览器的部分选项、强制通过指定的代理服务器上网等。 软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。 限制软件的执行通过各种不同的软件限制策略来限制域用户只能运行指定的软件。 文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。 限制访问可移动存储设备：例如限制将文件写AU盘，以免企业内机密文件轻易被带离公司。 其他的系统设置：例如让所有的计算机都自动信任指定的CA（Certificate Authority）、限制安装设

6、备驱动程序( device driver)等。可以在AD DS中针对站点(site)、域(domain)与组织单位(OU)来设置组策略。组策略内包含计算机配置与用户配置两部分。 计算机配置：当计算机开机时，系统会根据计算机配置的内容来设置计算机的环境。 举例来说，若您针对域设置了组策略，则此组策略内的计算机设置就会被应用到这个域内的所有计算机。 用户配置：当用户登录时，系统会根据用户配置的内容来设置用户的工作环境。举例来说，若针对组织单位sales设置了组策略，则其中的用户配置就会被应用到这个组织单位内的所有用户。4.1.3 组策略对象组策略对象 组策略是通过组策略对象( Group Poli

7、cy Object，GPO)来设置的，而您只要将GPO链接到指定的站点、域或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机。1内置的内置的GPOAD DS域有两个内置的GPO（见前表6-1），它们分别如下。 Default Domain Policy：此GPO默认已经被链接到域，因此其设置值会被应用到整个域内的所有用户与计算机。 Default Domain Controller Policy：此GPO默认已经被链接到组织单位DomainControllers，因此其设置值会被应用到Domain Controllers内的所有用户与计算机（Domain Cont

8、rollers内默认只有域控制器的计算机账户）。 您可以使用【单击左下角的开始开始图标管理工具管理工具组策略管理组策略管理如图6-2所示】的方法来验证Default Domain Policy与Default Domain Controller Policy GPO分别已经被链接到域与组织单位Domain Controllers。图6-2 内置GPO2GPO的内容GPO的内容被分为GPC与GPT两部分，它们分别被存储到不同的位置。（1）GPC GPC（Group Policy Container）：GPC存储在AD DS数据库内，它记载着此GPO的属性与版本等数据。域成员计算机可通过属性来得知

9、GPT的存储位置，而域控制器可利用版本来判断其所拥有的GPO是否为最新版表以便作为是否需要从其他域控制器复制最新GPO的依据。 可以通过下面方法来查看GPC:【开始管理工具Active Directory管理中心单击树视图图标单击域（例如long）展开System容器如图6-3所示单击Policies】，图中间圈起来的部分为Default Domain Policy与Default Domain Controller Policy这两个GPO的GPC，图中的数字分别是这两个GPO的GUID( Global Unique Identifier)。图6-3 查看GPC 如果您要查询GPO的GUID

10、，例如要查询Default Domain Policy GPO的GUID，可以使用如图6-4所示【在组策略管理组策略管理控制台中单击Default Domain Policy单击详细详细信息信息选项卡唯唯-ID】的方法。图6-4 查询GPO的GUID（2）GPT GPT (Group Policy Template)：GPT用来存储GPO的设置值与相关文件，它是一个文件夹，而且被建立在域控制器的%systemroot%SYSVOLsysvol域名Policies文件夹内。系统利用GPO的GUID来当作GPT的文件夹名称，例如图6-5中两个GPT文件夹分别是Default Domain Poli

11、cy与Default Domain Controller Policy GPO的GPT。图6-5 GPT (Group Policy Template)组策略领域作用计算机配置影响HKEY Local Machine注册表配置单元用户配置影响HKEY Current User注册表配置单元 组策略有上千个可配置设置（约2400个）。这些设置可影响计算环境的几乎每个方面。不可能将所有设置应用于所有版本的Windows操作系统。例如，Windows 7操作系统Service Pack (SP)2附带的很多新设置（如软件限制策略），只适用于该操作系统。同样，数百种新设置中的很多设置只适用于Windo

12、ws 8操作系统和Windows Server 2012。如果对计算机应用它无法处理的设置，那么它将直接忽略该设置。1组策略结构组策略分成两个不同的领域，如表6-2所示。4.1.4 组策略设置组策略设置表6-2 组策略的不同领域策略部分 作用软件设置软件可部署到用户或计算机。部署到用户的软件特定于该用户。部署到计算机上的软件对该计算机的所有用户可用Windows设置包含针对用户和计算机的脚本设置和安全性设置，以及针对用户配置的Internet Explorer维护管理模板包含数百个设置，这些设置修改注册表以控制用户或计算机环境的各个方面2配置组策略设置每个领域有3个部分，如表6-3所示。表6-

13、3 组策略的设置4.1.5 首选项设置首选项设置 只有域的组策略才有首选项设置功能，本地计算机策略并无此功能。策略设置是强制性设置，客户端应用这些设置后就无法更改（有些设置虽然客户端可以自行变更设置值，不过下次应用策略时，仍然会被改为策略内的设置值）；而首选项设置是非强制性的，客户端可自行更改设置值，因此首选项设置适合用来当作默认值。 若要过滤策略设置的话，必须针对整个GPO来过滤，例如某个GPO已经被应用到sales，但是我们可以通过过滤设置来让其不要应用到sales经理Alice，也就是整个GPO内的所有设置项目都不会被应用到Alice，而首选项设置可以针对单一设置项目来过滤。 如果在策略

14、设置与首选项设置内有相同的设置项目，而且都已做了设置，但是其设置值却不相同的话，则以策略设置优先。（1）设备安装通过策略，可以用阻止用户安装驱动程序的方法限制用户安装某些特定类型的硬件设备。通过首选项可以禁用设备和端口，但它不会阻止设备驱动程序的安装，它也不会阻止具有相应权限的用户通过设备管理器启用设备或端口。如果想完全锁定并阻止某个特定设备的安装和使用，可以将策略和首选项配合起来使用用首选项来禁用已安装的设备，通过策略设置阻止该设备驱动的安装。策略位置：计算机配置策略位置：计算机配置策略策略管理模板管理模板系统系统设备安装限制设备安装限制首选项位置：计算机配置首选项位置：计算机配置首选项首选

15、项控制面板设置控制面板设置设备设备（2）文件和文件夹通过策略可以为重要的文件和文件夹创建特定的访问控制列表（ACL）。然而，只有目标文件或文件夹存在的情况下，ACL才会被应用。通过首选项，可以管理文件和文件夹。对于文件，可以通过从源计算机复制的方法来创建、更新、替换或删除；对于文件夹，可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。 因此，可以用首选项来创建一个文件或文件夹，通过策略对创建的文件或文件夹设置ACL。需要注意的是，在首选项的设置中应该选择【只应用一次而不再重新应用】，否则，创建、更新、替换或删除的操作会在下一次组策略刷新时被重新应用。策略位置：计算机

16、配置策略位置：计算机配置策略策略Windows设置设置安全设置安全设置文件系统文件系统首选项位置：计算机配置首选项位置：计算机配置首选项首选项Windows设置设置文件文件 计算机配置计算机配置首选项首选项Windows设置设置文件夹文件夹（3）Internet Explorer在计算机配置中，策略（Internet Explorer）配置了浏览器的安全增强并帮助锁定Internet 安全区域设置。在用户配置中，策略（Internet Explorer）用于指定主页、搜索栏、链接、浏览器界面等。在用户配置中的首选项（Internet选项）中，允许设置Internet选项中的任何选项。因为策略是

17、被管理的而首选项是不被管理的，当用户想要强制设定某些Internet选项时，应该使用策略设置。尽管也可以使用首选项来配置Internet Explorer，但是因为首选项是非强制性的，所以用户可以自行更改设置。策略位置：计算机配置策略位置：计算机配置策略策略管理模板管理模板Windows组件组件lnternet Explorer 用户配置用户配置策略策略管理模板管理模板Windows组件组件Internet Explorer首选项位置：用户配置首选项位置：用户配置首选项首选项控制面板设置控制面板设置lnternet设置设置（4）打印机通过策略，可以设置打印机的工作模式、计算机允许使用的打印功能

18、、用户允许对打印机的操作等。通过首选项可以映射和配置打印机，这些首选项包括配置本地打印机以及映射网络打印机。因比，可以运用首选项为客户机创建网络打印机或本地打印机，通过策略来限制用户和客户机的打印相关功能设置。策略位置：用户配置策略位置：用户配置策略策略管理模板性制面板管理模板性制面板打印机打印机 计算机配置计算机配置策略策略管理模板管理模板控制面板控制面板打印机打印机首选项位置：用户配置首选项位置：用户配置首选项首选项控制面板设置控制面板设置打印机打印机（5）【开始】菜单通过策略设置，可以控制和限制【开始】菜单选项和不同的【开始】菜单行为。例如，可以指定是否要在用户注销时清除最近打开的文档历

19、史，或是否在【开始】菜单上禁用拖放操作，还可以锁定任务栏，移除系统通知区域的图标以及关闭所有气球通知等。通过首选项，可以如同控制面板中的任务栏和【开始】菜单属性对话框一样来配置。（6）用户和组通过策略设置，可以限制AD组或计算机本地组的成员。通过首选项设置，可以创建、更新、替换或删除计算机本地用户和本地组。对于计算机本地用户，可以进行如下操作： 重命名用户账号。 设置用户密码。 设置用户账号的状态标识（如账号禁用标识）。对于计算机本地组，首选项可以进行如下操作： 重命名组。 添加或删除当前用户。 删除成员用户或成员组，策略位置：计算机配置策略位置：计算机配置策略策略Windows设置设置安全设

20、置安全设置受限制的组受限制的组首选项位置：计算机配置首选项位置：计算机配置首选项首选项控制面板设置控制面板设置本地用户和组本地用户和组 用户配置用户配置首选项首选项控制面板设置控制面板设置本地用户和组本地用户和组4.1.6 组策略的应用时机组策略的应用时机当您修改了站点、域或组织单位的GPO设置值后，这些设置值并不是立刻就对其中的用户与计算机有效，而是必须等GPO设置值被应用到用户或计算机后才有效。GPO设置值内的计算机配置与用户配置的应用时机并不相同。1. 计算机配置的应用时机计算机配置的应用时机域成员计算机会在下面场合应用GPO的计算机配置值。计算机开机时会自动应用若计算机已经开机，则会每

21、隔一段时间自动应用：域控制器：默认是每隔5分钟自动应用一次。非域控制器：默认是每隔90到120分钟自动应用一次。不论策略设置值是否发生变化，都会每隔16小时自动应用一次安全设置策略。手动应用：到域成员计算机上打开命令提示符或Windows PowerShell窗口、执行“gpupdate /target:computer /force”命令。2用户配置的应用时机用户配置的应用时机域用户会在下面场景中应用GPO的用户配置值。用户登录时会自动应用若用户已经登录的话，则默认会每隔90到120分钟自动应用一次。且不论策略设置值是否发生变化，都会每隔16小时自动应用一次安全设置策略。手动应用：到域成员计

22、算机上打开命令提示符或Windows PowerShell窗口、执行：“gpupdate /target:user /force”命令。4.1.7 组策略处理顺序组策略处理顺序 默认情况下，组策略具有继承性，即链接到域的组策略会应用到域内的所有OU，如果OU下还有OU，则连接到上级OU的组策略默认也会应用到下级OU中。 但应用于用户或计算机的GPO并非都有相同的优先顺序。GPO是按照特定顺序应用的。此顺序意味着后处理的设置可能覆盖先被处理的设置。例如，应用在域级的限制访问控制面板的策略，可能会被应用于OU级的策略取消。 组策略通常会根据活动目录对象的隶属关系按顺序应用对应的组策略，组策略应用顺

23、序如图6-6所示。图6-6 组策略处理顺序 本地组策略。 站点级GPO。 域级GPO。 组织单位GPO。 任何子组织单位GPO。 在组策略应用中，计算机策略总是先于用户策略，默认情况下，如果图6-6所示的组策略间存在设置冲突，则按“就近原则”，后应用的组策略设置将生效。4.2 项目设计及准备项目设计及准备未名公司决定实施组策略来管理用户桌面以及配置计算机安全性。公司已经实施了一种OU配置，在该配置中，顶级OU代表不同的地点，每个地点OU中的子OU代表不同的部门。用户账户与其工作站计算机账户处于同一个容器中。服务器计算机账户分散在各个OU中。企业管理员创建了一个GPO部署计划。公司要求你创建GP

24、O或编辑GPO，以使某些策略可应用于所有域对象。部分策略是必须实施的策略。你还需要创建将只应用于一小部分域对象的策略设置，并且希望使计算机设置和用户设置有不同的策略。公司要求你配置组策略对象，以使特定设置应用于用户桌面和计算机。本项目主要的管理计算机与用户的工作环境的设置如下：计算机配置的管理模板策略、用户配置计算机配置的管理模板策略、用户配置的管理模板策略、账户策略、用户权限分配策略、安全选项策略、登录的管理模板策略、账户策略、用户权限分配策略、安全选项策略、登录注销、启动注销、启动/关机脚本关机脚本与文文件夹重定向件夹重定向。 本项目要用到域控制器、win8-1（安装了Windows 8操

25、作系统）和ms1（安装了Windows Server 2012的成员服务器）加入域的客户计算机。4.3 项目实施项目实施下面开始具体任务。4.3.1 任务1 管理“计算机配置的管理模板策略” 在上设置计算机配置的策略：显示“关闭事件追踪程序”、显示用户以前交互式登录的信息。下面在域上实现该策略，在默认的Default Domain Controllers Policy GPO来设置。 1. 用户将计算机关机时，系统就不会再要求用户提供关机的理由以域控制器为例进行设置。 步骤 1 请到域控制器上利用系统管理员身份登录。 步骤 2 选择【开始管理工具组策略管理】。打开组策略管理器控制台。 步骤 3

26、 如图6-7所示，【展开到Domdn Controllers选中右侧的Default Domain Controllers Policy并单击右键编辑】。图6-7 组策略管理 步骤 4 如图6-8所示，【展开计算机配置计算机配置策略策略管理模板管理模板系统系统双击显示显示“关关闭事件追踪程序闭事件追踪程序”】。图6-8 组策略管理编辑器 步骤 5 在图6-9中，选中“已禁用已禁用”单选按钮，单击【应用】按钮后，单击【确定】按钮。图6-9 禁用：显示“关闭事件追踪程序” 步骤 6 重启计算机使策略生效；或者在命令行输入：gpupdate /force，强制应用组策略生效。（后面的例子都需要使组策

27、略生效后再验证结果，不再一一赘述。后面的例子都需要使组策略生效后再验证结果，不再一一赘述。） 步骤 7当再次关闭dc1或重启dc1时，直接关闭或重启，不再出现提示信息对话框。2. 目标：显示用户以前交互式登录的信息 步骤 1 重复上面的步骤13。 步骤 2如图6-10所示，【展开计算机配置计算机配置策略策略管理模板管理模板Windows组件Windows登录选项双击在用户登录期间显示以前登录信息在用户登录期间显示以前登录信息】。步骤三：在图6-11中，选中“已启用已启用”单选按钮，单击【应用】按钮后，单击【确定】按钮。步骤五：当注销dc1或重启dc1时，登录成功后显示“以前登录信息”。如图6-

28、12所示。步骤四：重启计算机使策略生效；或者在命令行输入：gpupdate /force，强制应用组策略生效。图6-12 在用户登录期间显示以前登录信息 思考：如果上述组策略应用到“Default Domain Policy”上，有何不同吗?请读者思考。特别注意：若您在客户端计算机上通过本地计算机策略本地计算机策略来启用此策略，但是此计算机并未加入域功能等级为Wlndows Server 2008（含）以上的域，则用户在这台计算机登录时将无法获取登录信息，也无法登录。4.3.2 任务任务2 管理管理“用户配置的管理模板策略用户配置的管理模板策略”域内有一个组织单位sales，而且已经限定它们需

29、通过企业内部的代理服务器上网（代理服务器proxy server的设置请参考后面的说明），而为了避免用户自行修改这些设置值，下面要将其浏览器Internet Explorer的连接选项卡内更改代理服务器设置的功能禁用。由于目前并没有任何GPO被链接到组织单位sales，因此我们将先建立一个链接到sales的GPO，然后通过修改此GPO设置值的方式来达到目的。1. 目标：指定组织单位的用户无法更改代理设置步骤1：到域控制器上利用系统管理员身份登录。步骤2：选择【开始管理工具组策略管理】。步骤3：如图6-13所示【展开到组织单位sales选中sales并单击右键在这个域中创建在这个域中创建GPO并

30、在此处链接并在此处链接】。步骤4：您也可以先通过【选中组策略对象并单击右键新建】的方法来建立GPO，然后再通过【选中组织单位sales并单击右键链接现有GPO】的方法来将上述GPO链接到组织单位sales。步骤5：在图6-14中为此GPO命名（例如sales的的GPO）后单击【确定】按钮。图6-14 新建GPO步骤6：如图6-15所示，选中这个新建的GPO并单击右键编辑。图6-14 组策略管理-编辑步骤7：如图6-15所示，【展开用户配置策略管理模板Windows组件lnternet Explorer将右侧“阻止更改代理设置”设置为已启用已启用】。图6-15 组策略管理编辑器-阻止更改代理设置

31、步骤8：请利用sales内的任何一个用户账户，例如jane，到任何一台域成员计算机（ms1）上登录。（登录前重启设置组策略的计算机或者运行：gpupdate /force，使设置的组策略生效。）步骤9：运行浏览器Internet Explorer按Alt键单击工具菜单lnternet选项如图6-16所示单击【连接】选项卡下【局域网设置】按钮，从图中可知无法修改代理服务器设置。图6-16 sales成员jane无法更改代理服务器设置2. 【用户配置用户配置策略策略管理模板管理模板】的其他设置的其他设置限制用户只可以或不可以执行指定的限制用户只可以或不可以执行指定的Windows应用程序应用程序：

32、其设置方法为【系统系统双击右侧的只运行指定的只运行指定的Windows应用程序应用程序或不运行指定的不运行指定的Windows应用程序应用程序】。在添加程序时，请输入该应用程序的执行文件名称，例如eMule.exe。 思考：如果用户利用资源管理器更改此程序的文件名，这个策略是否就无法发挥作用？ 是的，不过您可以利用项目6的软件限制策略来达到限制用户执行此程序的 目的，即使其文件名被改名。隐藏或只显示在控制面板内指定的项目：隐藏或只显示在控制面板内指定的项目：用户在控制面板内将看不到被隐藏起来的项目或只看得到被指定要显示的项目。操作方法：【控制面板双击右边的隐藏指定的“控制面板”项或只显示指定的

33、”控制面板“项】。在添加项目时，请输入项目名称，例如鼠标、用户账户等。禁用按禁用按Ctrl+Alt+Del键后所出现界面中的选项：键后所出现界面中的选项：用户按这3个键后，将无法使用界面中被您禁用的选项，例如更改密码、启动任务管理器（或任务管理器）、注销等。其设置方法为：【系统CtrI+Alt+Del项】。隐藏和禁用桌面上所有的项目：隐藏和禁用桌面上所有的项目：其设置方法为【桌面隐藏和禁用桌面上的所有项目】。用户登录后的传统桌面上（非Modern UI）所有项目都会被隐藏，选中桌面按鼠标右键也无效。删除删除Internet Explorer的的Internet选项中的部分选项卡：选项中的部分选

34、项卡：用户将无法选择【工具菜单lnternet选项】中被删除的选项卡，例如安全性、连接、高级等选项卡。其设置方法为【Windows组件lnternet Explorer双击右边的Internet控制面板】。删除开始莱单中的关机、重新启动、睡眠及休眠命令删除开始莱单中的关机、重新启动、睡眠及休眠命令：其设置方法为【开始菜单和任务栏双击右侧删除并阻止访问“关机”、“重新启动”、“睡眠”及“休眠”命令】。在用户的开始菜单中，这些功能的图标会被删除或无法使用，按CtrI+Alt+Del键后也无法选择它们。4.3.3 任务任务3 配置账户策略配置账户策略 可以通过账户策略来设置密码的使用规则与账户锁定方

35、式在设置账户策略时请特别注意下面说明： 针对域用户所设置的账户策略需通过域扳删的GPO来设置才有效，例如通过域的Default Domain Policy GPO未设置，此策略会被应用到域内所有用户。通过站点或组织单位的GPO所设置的账户策略，对域用户没有作用。 账户策略不但会被应用到所有的域用户账户，也会被应用到所有域成员计算机内的本地用户账户。 若您针对某个组织单位（图6-17中的sales）来设置账户策略，则这个账户策略只会被应用到位于此组织单位的计算机（例如图中的ms1）的本机用户账户而已，但是对位于此组织单位内的域用户账户（例如图中的jane等）却没有影响。图6-17 sales组织

36、单位 要设置域账户策略步骤:【选中Default Domain Policy GPO（或其他域级别的GPO）并单击右键选择编辑，如图6-18所示展开计算机配置策略Windows设置安全设置账户策略】。图6-18 账户策略1密码策略密码策略如图6-19所示，单击密码策略后就可以设置下面策略。图6-19 密码策略用可还原的加密来存储密码用可还原的加密来存储密码：如果有应用程序需要读取用户的密码，以便验证用户身份的话，就可以启用此功能，不过它相当于用户密码没有加密，因此不安全。默认为禁用。密码必须符合复杂性要求密码必须符合复杂性要求：若启用此功能，则用户的密码有下面规范。不可包含用户账户名称（指用户

37、SamAccountName）或全名长度至少为6个字符。至少包含A-Z、az、09、特殊符号（例如！、$、#、%）4组字符中的3组。因此123ABCdef是有效的密码，然而87654321是无效的，因它只使用数字这一种字符。又例如若用户账户名称为Alice，则123ABCAlice是无效密码，因为包含用户账户名称。AD DS域与独立服务器默认是启用此策略的。密码最长使用期限密码最长使用期限：用来设置密码最长的使用期限（可为0999天）。用户在登录时，若密码使用期限已到，系统会要求用户更改密码。若此处为0表示密码没有使用期限限制。AD DS域与独立服务器默认值都是42天。密码最短使用期限密码最短

38、使用期限：用来设置用户密码的最短使用期限（可为0-998天），在期限未到前，用户不得更改密码。若此处为0表示用户可以随时变更密码。AD DS域的默认值为1，独立服务器的默认值为0。强制密码历史强制密码历史：用来设置是否要记录用户曾经使用过的旧密码，以便决定用户在修改密码时，是否可以重复使用旧密码。此处可被设置为如下的值。 1-24:表示要保存密码历史记录。例如若设置为5，则用户的新密码不可与前5次所使用过的旧密码相同。 0：表示不保存密码历史记录，因此密码可以重复使用，也就是用户更改密码时，可以将其设置为以前曾经使用过的任何一个旧密码。 AD DS域的默认值为24，独立服务器的默认值为0。密码

39、长度最小值密码长度最小值：用来设置用户账户的密码最少需要几个字符。此处可为0-14，若为0，表示用户账户可以没有密码。AD DS域的默认值为7，独立服务器的默认值为0。2账户锁定策略账户锁定策略您可以通过图6-20中的账户锁定策略来设置锁定用户账户的方式。账户锁定阈值账户锁定阈值：我们可以让用户在多次登录失败后（密码错误），就将该用户账户锁定，在未被解除锁定之前，用户无法再利用此账户来登录。此处用来设置登录失败次数，其值可为0-999。默认值为0，表示账户永远不会被锁定。账户锁定时间账户锁定时间：用来设置锁定账户的时间，时间过后会自动解除锁定。此处可为0-99999分钟，若为0分钟表示永久锁定

40、，不会自动被解除锁定，此时需由系统管理员手动来解除锁定（账户被锁定后会在账户属性里会有有此“解除锁定解除锁定”选项）。重置账户锁定计数器重置账户锁定计数器：“锁定计数器”用来记录用户登录失败的次数，其初始值为0，用户若登录失败，则锁定计数的值就会加1，若登录成功，则锁定计数器的值就会归零。若锁定计数器的值等于账户锁定阈值，该账户就会被锁定。4.3.4 任务任务4 配置用户权限分配策略配置用户权限分配策略系统默认只有某些组（例如administrators）内的用户，才有权在扮演域控制器角色的计算机上登录，而普通用户alice在域控制器上登录时，屏幕上会出现类似图6-21所示的警告信息，且无法登

41、录，除非他们被赋予允许本地登录的权限。图6-21 不允许本地登录域控制器1在域控制器上开放在域控制器上开放“允许本地登录允许本地登录”权限权限 下面假设要让域long内Domain Users组内的用户可以在域控制器上登录。我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是说要让这些用户在域控制器上拥有允许本地登录的权限。 注意： 一般来说，域控制器等重要的服务器不应该开放普通用户登录。 要在成员服务器、Windows 8、Windows 10等非域控制器的客户端计算机上练习，则下面步骤可免，因为Domain Users默认已经在这些计算机

42、上拥有允许本地登录的权限。 步骤 1 请到域控制器dc1上利用系统管理员身份登录。步骤 2 选择【开始管理工具组策略管理】。 步骤 3 如图6-22所示，【展开到Domdn Controllers选中右侧的Default Domain Controllers Policy并单击右键编辑】。图6-22 组策略管理 步骤 4 如图6-23所示，【展开计算机配置策略Windows设置安全设置本地策略用户权限分配双击允许本地登录允许本地登录】。图6-23 组策略管理-用户权限分配 步骤 5 如图6-24所示，【单击“添加用户和组”按钮输入或选择域long内的Domain Users组按两次“确定”按钮

43、】。由此图中可看出默认只有Account Operators、Administrators等组才拥有允许本地登录的权限。图6-24 添加用户和组（Domain Users） 6 完成后，必须等这个策略应用到Domain Controllers内的域控制器后才有效（见前面的说明）。待应用完成后，就可以利用任何一个域用户账户到域控制器上登录，来测试允许本地登录功能是否正常。另外，如果域内有多台域控制器，由于策略设置默认会先被存储到扮演PDC模拟器操作主机角色的域控制器（默认是域中的第一台域控制器），因此要等这些策略设置被复制到其他域控制器，然后再等这些策略设置值应用到这些域控制器。 可以利用【开始

44、管理工具Active Directory用户和计算机选中域名并单击右键操作主机PDC选项卡】来查看扮演PDC模拟器操作主机的域控制器。系统可以利用下面两种方式来将PDC模拟器操作主机内的组策略设置复制到其他域控制器。 自动复制自动复制：PDC模拟器探作主机默认15秒后会自动将其复制出去，因此其他的域控制器可能需要等15秒或更久的时间才会收到此设置值。 手动立即复制手动立即复制：假设PDC模拟器操作主机是DC1，而我们要将组策略设置手动复制到域控制器DC2。请在域控制器上单击【开始管理工具Active Directory站点和服务SitesDefault-First-Site-NameServe

45、rs展开目标域控制器（DC2）NTDS Settings在右侧窗口选中PDC模拟器操作主机（DC1）并单击右键立即复制】。2其他其他“用户权限分配用户权限分配” 您可以通过图6-25中的用户权限分配来将执行特殊操作的权限分配绐用户或组（此图以Default Domain Controller Policy GPO为例）。 要分配图6-25右侧任何一个权限给用户：【双击该权限在图6-25中单击“添加用户和组”按钮选择用户或组】。 下面列举几个比较常用的权限策略来说明。允许本地登录允许本地登录：允许用户直接在本台计算机上按Ctrl+Alt+Del键登录（上例）。拒绝本地登录拒绝本地登录：与前一个权

46、限刚好相反。此权限优先于前一个权限。将工作站添加到域将工作站添加到域：允许用户将计算机加入到域。注意：每一个域用户账户默认有10次将计算机加入域的机会，不过一旦拥有将工作站添加到域的权限后，其次数就没有限制。关闭系统：关闭系统：允许用户将此计算机关机。从网络访问此计算机：从网络访问此计算机：允许用户通过网络上其他计算机来连接、访问此计算机。拒绝从网络访问此计算机：拒绝从网络访问此计算机：与前一个权限刚好相反。此权限优先于前一个权限，从远程系统强制关机：从远程系统强制关机：允许用户从远程计算机来将此台计算机关机。备份文件和目录：备份文件和目录：允许用户备份硬盘内的文件与文件夹。还原文件和目录：还

47、原文件和目录：允许用户还原所备份的文件与文件夹。管理审核和安全记录：管理审核和安全记录：允许用户指定要审核事件，也允许用户查询与清除安全记录。更改系统时问：更改系统时问：允许用户更改计算机的系统日期与时间。加载和卸载设备驱动程序：加载和卸载设备驱动程序：允许用户加载扣卸载设备的驱动程序。取得文件或其他对象的所有权：取得文件或其他对象的所有权：允许夺取其他用户所拥有的文件、文件夹或其他对象的所有权。4.3.5 任务任务5 配置安全选项策略配置安全选项策略 您可以通过如图6-26的安全选项来启用计算机的一些安全设置。图中以“sales的的GPO”为例，并列举下面几个安全选项策略。交互式登录交互式登

48、录：无须按Ctrl+Alt+Del键。让登录界面不要再显示类似按Ctrl+Alt+Del键登录的提示（这是Windows 8.1等客户端的默认值）。交互式登录交互式登录：不显示最后的用户名。让客户端的登录界面上不要显示上一次登录的用户名。交互式登录交互式登录：提示用户在过期之前更改密码。用来设置在用户的密码过期前几天，提示用户更改密码。交互式登录交互式登录：之前登录到缓存的次数（域控制器不可用时）。域用户登录成功后，其账户信息会被存储到用户计算机的缓存区，若之后此计算机因故无法与域控制器连接，该用户还可通过缓存区的账户数据来验证身份与登录。您可以通过此策略来设置缓存区内账户数据的数量，默认为记

49、录10个登录用户的账户数据。交互式登录交互式登录：试图登录的用户的消息标题、试图登录的用户的消息文本。若用户在登录时按Ctrl+Alt+Del键后，界面上能够显示您希望用户看到的提示信息，请通过这两个选项来设置，其中一个用来设置提示信息标题文字，一个用来设置提示信息的内容。关机关机：允许系统在未登录的情况下关闭。让登录界面的右下角能够显示关机图标，以便在不需要登录的情况下就可直接通过此图标将计算机关机（这是Windows 8.1等客户端的默认值）。4.3.6 任务任务6 登录登录/注销、启动注销、启动/关机脚本关机脚本 可以让域用户登录时，其系统就自动执行登录脚本登录脚本( script)，而

50、当用户注销时，就自动执行注销脚本注销脚本；另外也可以让计算机在开机启动时自动执行启动脚本启动脚本，而关机时自动执行关机脚本关机脚本。1登录脚本的设置登录脚本的设置下面利用文件名为logon.bat的批处理文件来练习登录脚本。请利用记事本（notepad）来建立此文件，该文件内只有一条如下所示的命令，此命令会在C:下新建文件夹TestDir： Mkdir c:TestDir下面我们利用组织单位sales的GPO进行说明。 步骤 1 单击【开始管理工具组策略管理展开到组织单位sales选中sales的的GPO并单击右键编辑】。 步骤 2 如图6-27所示，【展开用户配置策略Windows设置脚本（

51、登录，注销）双击右侧的登录单击“显示文件”安钮】。图6-27 脚本登录 步骤 3出现图6-28所示的界面时，请将登录脚本logon.bat粘贴到界面中的文件夹内，此文件夹位于域控制器的SYSVOL文件夹内，其完整路径为（其中的GUID是sales的GPO的GUID）:%systemroot%SYSVOLsysvol域名PoliciesGUIDUserScriptsLogon图6-28 logon文件 步骤 4 请关闭图6-28窗口，回到前面图6-27时单击“添加”按钮。 步骤 5 图6-29中通过“浏览”按钮来从图6-28的文件夹内选择登录脚本文件logon.bat。完成后单击“确定”按钮。

52、步骤 6 回到图6-30所示的界面并单击“确定”按钮。图6-29 添加脚本 图6-30 登录属性 步骤 7 完成设置后，组织单位sales内的所有用户登录时，系统就会自动执行登录脚本 logon.bat，它会在C:下建立文件夹TestDir，请自行利用文件资源管理器来检查（如图6-31所示）。本例使用jane，在成员服务器ms上登录验证。图6-31 利用文件资源管理器来检查结果2注销脚本的设置注销脚本的设置 下面利用文件名为logoff.bat的批处理文件来练习注销脚本。请利用记事本（notepad）来建立此文件，其内只有一条命令，此指令会将C:TestDir文件夹删除：rmdir c : T

53、estDir下面利用组织单位sales的GPO进行说明。 步骤 1 请先将前一个登录脚本设置删除，也就是单击图6-30中的logon.bat后单击“删除”按钮，以免干扰验证本实验的结果。 步骤 2 下面演示的步骤与前一个登录脚本的设置类似，不再重复，不过在图6-27中选择注销、文件名改为logoft:bat。 步骤 3 在客户端计算机【使用命令：gpupdate /force】以便立即应用上述策略上的设置或在客户端计算机上利用注销、再重新登录的方式来应用上述策略设置。 步骤 4 再注销，这时候就会执行注销脚本logofLbat来删除C:TestDir，请再登录后利用文件资源管理器来确认C:Te

54、stDir已被删除（请先确认logon.bat已经删除，否则它又会建立此文件夹）。3启动启动/关机脚本的设置关机脚本的设置我们可以利用图6-32中组织单位sales的GPO为例来说明，以图中计算机名称为的计算机来练习启动/关机脚本。若您要练习的计算机不是位于组织单位sales内，而是位于容器Computers内，则请通过域级别的GPO来练习（例如Default Domain Policy GPO），或将计算机账户移动到组织单位sales内。 由于启动/关机脚本的设置步骤与前一个登录，注销脚本的设置类似，故此处不再重复，不过在图6-33中改为使用计算机配置。您可以直接利用前面的登录、注销脚本的示

55、例文件来练习。4.3.7 任务任务7 文件夹重定向文件夹重定向 您可以利用组策略来将用户的某些文件夹的存储位置重定向到网络共享文件夹内，这些文件夹包括文件、图片、音乐等，如图6-34所示，此图为用户Jane在MS计算机上的个人文件夹，可以通过【打开文件资源管理器单击左上方的桌面单击右侧的Jane来获取此界面】。图6-34 Jane的个人文件夹 这些文件夹平常存储在本地用户配置文件内，也就是%SystemDrive%用户用户名（或%SystemDrive%Users用户名）文件夹内，例如图6-35为用户Jane（此处显示其登录账户Jane，不是其显示名称Jane）的本地用户配置文件文件夹，因此用

56、户换到另外一台计算机登录，就无法访问到这些文件夹，而如果能够将其存储位置改为（重定向到）网络共享文件夹，则用户到任何一台域成员计算机上登录时，都可通过此共享文件夹来访问这些文件夹内的文件。图6-35 用户Jane的本地用户配置个人文件夹1将将“文档文档”文件夹重定向文件夹重定向 用户Jane可以通过【选中图6-35中的文档并单击右键属性如图6-36所示】的方法来得知其文档当前存储在本地用户配置文件文件夹C:Usersjane下。 我们利用将组织单位sales内所有用户（包含jane）的文档文件夹重定向，来说明如何将此文件夹重定向到另外一台计算机上的共享文件夹。 步骤 1 在任何一台域成员计算机

57、上建立一个文件夹，例如我们将在服务器dc1上建立文件夹C: StoreDoc，然后要将组织单位业务部内所有用户的文档文件夹重定向到此数据内。 步骤 2 将此文件夹设置为共享文件夹，将共享权限读取，写入赋给Everyone（系统会同时将完全控制的共享权限与NTFS权限赋予Everyone）。其共享名默认为文件夹名称StoreDoc，建议将共享文件夹隐藏起来，也就是将共享名最后一个字符设置为$符号，例如StoreDoc$。 步骤 3 到域控制器上选择【开始管理工具组策略管理展开到组织单位sales选中sales的的GPO并单击右键编辑】。 步骤 4 如图6-37所示，【展开用户配置策略Window

58、s设置文件夹重定向单击文档单击上方的属性图标】。 步骤 5 参照图6-38来设置，完成后单击“确定”按钮。图中的根路径指向我们所建立的共享文件夹dc1storedoc（一定是UNC路径，否则客户端无法访问），系统会在此文件夹下自动为每一位登录的用户分别建立一个专用文件夹，例如账户名称为jane的用户登录后，系统会自动在dc1storedoc下，建立一个名称为jane的文件夹。 图中在设置处共有下面几种选择。 基本-将每个人的文件夹重定向到同一个位置：它会将组织单位sales内所有用户的文件夹都重定向。 高级-为不同的用户组指定位置：它会将组织单位sales内隶属于特定组的用户的文件夹重定向。未

59、配置：也就是不执行重定向。另外图中的目标文件夹位置有下面的选项。 定向到用户的主目录：若用户账户内有指定主目录，则此选择可将文件夹重定向到其主目录。 在根目录路径下为每一用户创建一个文件夹：如前面所述，它让每一个用户各有一个专用的文件夹。重定向到下列位置：将所有用户的文件夹重定向到同一个文件夹。重定向到本地用户配置文件位置：重定向回原来的位置。 步骤 1 请利用组织单位sales内的任何一个用户账户到域成员计算机（以为例）登录，例如jane（假设其显示名称为jane），则jane的文档（在Windows 7内被称为我的文档）将被重定向到dc1storedocjanedocuments文件夹（也

60、就是dc1storedocjane文档文件夹）。可以【打开文件资源管理器单击jane如图6-39所示选中文档并单击右键属性】来查看文档文件夹是位于重定向后的新位置dc1storedocjane。几点说明： 用户可能需要登录两次后，文件夹才会成功地被重定向：用户登录时，系统默认并不会等待网络启动完成后再通过域控制器来验证用户，而是直接读取本地缓存区的账户数据来验证用户，以便让用户快速登录。之后等网络启动完成，系统就会自动在后台应用策略。不过因为文件夹重定向策略文件夹重定向策略与软件安装策略软件安装策略需在登录时才有作用，因此本实验您可能需要登录两次才有作用。 若用户账户内被指定使用漫游用户配置文