windows server 2019服务器操作系统-第15章 组策略及其应用ppt课件

1、第第10章章 组策略及其应用组策略及其应用 主要知识点：主要知识点：一、活动目录结构和组策略一、活动目录结构和组策略 （了解）（了解）二、配置安全策略二、配置安全策略 （掌握）（掌握）三、管理用户环境三、管理用户环境 （掌握）（掌握）四、文件夹重定向四、文件夹重定向 （掌握）（掌握）一组策略概述一组策略概述 组策略是组策略是Windows Server 2019操作系统中提操作系统中提供的一种重要的更新和配置管理技术。系统管理供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活，它包括如下的一些指

2、定的选项。组策略很灵活，它包括如下的一些选项：基于注册表的策略设置、安全设置、软件选项：基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注安装、脚本、计算机启动与关闭、用户登录和注销，文件重定向等。销，文件重定向等。Windows Server 2019包括几包括几百种可以配置的组策略设置。组策略设置允许企百种可以配置的组策略设置。组策略设置允许企业管理员通过增强和控制用户桌面来减少总的开业管理员通过增强和控制用户桌面来减少总的开销。销。 组策略只允许用户一次性地规定自己的环境，组策略只允许用户一次性地规定自己的环境，在这之后，依赖操作系统来强制实施。在这之后，依赖

3、操作系统来强制实施。 组策略对象不是用户配置文件。用户配置文组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行件是用来进行用户环境设置的，它允许用户进行更改，如：桌面设置、更改，如：桌面设置、NTUSER.DAT文件中的注文件中的注册表配置、用户配置文件目录、册表配置、用户配置文件目录、MyDocuments以以及及Favorites等。而组策略是由系统管理员管理和等。而组策略是由系统管理员管理和维护的，系统管理员使用维护的，系统管理员使用MMC，Microsoft Manage Controller工具来对用户组和计算机组工具来对用户组和计算机组设置策略。设置策

4、略。 默认情况下，组策略能够从站点、域、最后默认情况下，组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象把它们到组织单元继承而来。应用组策略对象把它们链接到它们的目标上的顺序和级别决定了用户链接到它们的目标上的顺序和级别决定了用户或计算机实际能收到的组策略设置。另外，组策或计算机实际能收到的组策略设置。另外，组策略能够在站点、域、组织单元这些级别上被阻塞；略能够在站点、域、组织单元这些级别上被阻塞；组策略还能够基于组策略对象强制实施。这可以组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上，然后将通过将组策略对象链接到它们的目标上，然后将链接设置为非覆盖方

5、式来实现。链接设置为非覆盖方式来实现。 默认情况下，组策略影响站点、域、或组织默认情况下，组策略影响站点、域、或组织单元中所有用户和计算机，而不影响站点、域、单元中所有用户和计算机，而不影响站点、域、或组织单元中的其他对象。或组织单元中的其他对象。 组策略插件为基于注册表的策略、安全设置、组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中，也用户创建的组策略设置包含在组策略对象中，也可以从属于任何非本地即基于活动目录的组可以从属于任何非本地即基于活动目录的组策略对象。使用组策略指

6、定的策略设置是策略对象。使用组策略指定的策略设置是Windows Server 2019中启用中心化的更新和配置中启用中心化的更新和配置管理的首选方式。管理的首选方式。组策略设置能够：组策略设置能够：n与站点、域、组织单元相关联与站点、域、组织单元相关联n在站点、域、组织单元中影响用户和计算机在站点、域、组织单元中影响用户和计算机n被安全组中的用户或计算机成员进一步控制被安全组中的用户或计算机成员进一步控制n是安全的，仅仅系统管理员能更改设置是安全的，仅仅系统管理员能更改设置n在策略改变时被删除和重写在策略改变时被删除和重写n用于很好地调整桌面控制，增强用户的计算环境用于很好地调整桌面控制，增

7、强用户的计算环境二二 活动目录结构和组策略活动目录结构和组策略 组策略的实现是企业在规划活动目录结构设组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是置时需要考虑的因素之一。组策略的基本单元是组策略对象组策略对象Group Policy Object）。组策略对象）。组策略对象是用户链接所有组策略对象的基本单元。不能仅是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的，它不是仅能作用到部分

8、组策组策略对象的目的，它不是仅能作用到部分组策略对象上。略对象上。 有两种类型的组策略对象：本地组策略对象有两种类型的组策略对象：本地组策略对象和非本地组策略对象。和非本地组策略对象。 组策略对象存储在组策略对象存储在Windows Server 2019的域中，的域中，其作用由它们所链接的站点、域或组织单元启用。其作用由它们所链接的站点、域或组织单元启用。 n链接到一个站点使用活动目录站点和服务的链接到一个站点使用活动目录站点和服务的组策略对象能够应用于站点上的所有域。组策略对象能够应用于站点上的所有域。n一个域的组策略对象直接应用于域中的所有计算一个域的组策略对象直接应用于域中的所有计算机

9、和用户，从而被组织单元通常为活动目录容机和用户，从而被组织单元通常为活动目录容器中的所有用户和计算机继承。器中的所有用户和计算机继承。n应用到组织单元的组策略对象直接应用到组织单应用到组织单元的组策略对象直接应用到组织单元中所有用户和计算机，从而被组织单元通常元中所有用户和计算机，从而被组织单元通常为活动目录容器中所有用户和计算机继承。为活动目录容器中所有用户和计算机继承。 不可能将一组策略对象链接到通常的活动目不可能将一组策略对象链接到通常的活动目录容器中。（通常的活动目录容器可以由它在活录容器中。（通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区动目录用户与计算机控

10、制台上的文件夹图标来区分。同一个组织单元中的图标是类似的，除了有分。同一个组织单元中的图标是类似的，除了有一本小书的图形叠放在文件夹上然而，通常的一本小书的图形叠放在文件夹上然而，通常的活动目录容器中的用户和计算机接收这些类型的活动目录容器中的用户和计算机接收这些类型的策略，这些策略继承于链接到较高层次的活动目策略，这些策略继承于链接到较高层次的活动目录的组策略对象。例如，在活动目录用户与计算录的组策略对象。例如，在活动目录用户与计算机中见到的【机中见到的【User】和【】和【Computer】不能有组策】不能有组策略对象直接链接到它们，但是它们可以通过继承略对象直接链接到它们，但是它们可以通

11、过继承接收链接到域的组策略对象。接收链接到域的组策略对象。 本地组策略对象首先被应用，然后是链接到本地组策略对象首先被应用，然后是链接到站点的组策略对象，再然后是链接到域的组策略站点的组策略对象，再然后是链接到域的组策略对象以特定顺序被应用，最后是链接到组织单元对象以特定顺序被应用，最后是链接到组织单元的组策略对象，其顺序是开始于最高层在活动的组策略对象，其顺序是开始于最高层在活动目录层次的组织单元它包含用户或计算机帐目录层次的组织单元它包含用户或计算机帐户），终止于最低层最接近用户和计算机的户），终止于最低层最接近用户和计算机的组织单元它包含用户和计算机）。在每个组织组织单元它包含用户和计算

12、机）。在每个组织单元中，任何链接到它的组策略对象以指定的管单元中，任何链接到它的组策略对象以指定的管理顺序被应用。理顺序被应用。 应用的顺序本地、站点、域和组织单元应用的顺序本地、站点、域和组织单元对于活动目录体系结构非常有意义。因为缺省情对于活动目录体系结构非常有意义。因为缺省情况下，对每种设置而言，后来被应用的策略覆盖况下，对每种设置而言，后来被应用的策略覆盖前面应用的策略，而无论后来被应用的策略是前面应用的策略，而无论后来被应用的策略是“开启开启还是还是“封锁封锁”。设置为。设置为“未定义未定义将不将不覆盖任何东西任何早期被应用的设置），覆盖任何东西任何早期被应用的设置），“翻翻开开或或

13、“封锁封锁允许保留。允许保留。 组策略编辑器是如下图所示的组策略编辑器是如下图所示的MMC插件，它插件，它分为两个节点：【计算机配置】和【用户配置】。分为两个节点：【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之策略应用到任何一个组策略对象中的两个节点之一。一。组策略编辑器 3、配置安全策略、配置安全策略 安全策略用于安全策略用于Windows Server 2019网络的安网络的安全设置。安全配置包含有应用到一个或多个全设置。安全配置包含有应用到一个或多个Windows Server

14、2019支持的安全领域的设置。指支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。系统安全工具进行了补充。能为计算机配置安全领域的包括：能为计算机配置安全领域的包括：（1） 帐户策略帐户策略 它们是它们是Windows Server 2019域中关于密码策域中关于密码策略、帐户锁定策略的计算机安全设置。略、帐户锁定策略的计算机安全设置。（2） 本地策略本地策略 包括有关审核策略试图登录时审计成功或失包括有关审核策略试图登录时审计成

15、功或失败）、用户权限分配他们连接到网上）、以及败）、用户权限分配他们连接到网上）、以及安全选项以匿名连接到计算机的能力）。安全选项以匿名连接到计算机的能力）。（3） 事件日志事件日志 它控制如应用的大小和保持方法、平安、系它控制如应用的大小和保持方法、平安、系统事件日志等设置。可以通过事件浏览器来访问统事件日志等设置。可以通过事件浏览器来访问这些日志。这些日志。（4） 受限组受限组 允许用来控制是否需要属于安全敏感组，以允许用来控制是否需要属于安全敏感组，以及哪些其他组需要属于安全敏感组。这就允许系及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略，这种统管理员强制

16、有关敏感组的成员关系策略，这种敏感组的例子有企业管理员、薪水册等。例如，敏感组的例子有企业管理员、薪水册等。例如，有可能决定仅仅有两个用户成为企业管理员组，有可能决定仅仅有两个用户成为企业管理员组，这样就定义企业行政组为一个受限组，它仅包含这样就定义企业行政组为一个受限组，它仅包含两个成员。如果第三个人添加到这个组例如，两个成员。如果第三个人添加到这个组例如，在紧急情况下处理某个事情），下一次策略实施在紧急情况下处理某个事情），下一次策略实施时该用户被自动的从企业管理员组删除。这种策时该用户被自动的从企业管理员组删除。这种策略也可以强制用于域中工作站上的组成员即，略也可以强制用于域中工作站上的

17、组成员即，强制使一些系统管理员从域中移到工作站上本地强制使一些系统管理员从域中移到工作站上本地管理员组）。管理员组）。（5） 系统服务系统服务 它控制启动模式及系统服务的访问权限，如它控制启动模式及系统服务的访问权限，如哪些用户能关闭和启动传真服务。哪些用户能关闭和启动传真服务。（6） 注册表注册表 用来为注册表表项配置注册表设置，包括访用来为注册表表项配置注册表设置，包括访问控制、审计、所有者。问控制、审计、所有者。（7） 文件系统文件系统 它用来为文件系统对象配置安全设置，包括它用来为文件系统对象配置安全设置，包括访问控制、审计、所有者。访问控制、审计、所有者。1、帐户策略、帐户策略 装入

18、组策略的装入组策略的MMC管理单元后，出现本地管理单元后，出现本地计算机策略选项。要访问帐户策略文件夹，需展计算机策略选项。要访问帐户策略文件夹，需展开【本地计算机策略】、【计算机配置】、开【本地计算机策略】、【计算机配置】、【Windows设置】、【安全设置】和【帐户策设置】、【安全设置】和【帐户策略】。如下图所示。略】。如下图所示。 设置帐户策略 （1） 密码策略密码策略 密码策略密码策略Password policies可以强制在计可以强制在计算机上执行安全要求。一定要注意，密码策略在算机上执行安全要求。一定要注意，密码策略在各个计算机上设置，而不能对特定用户配置。各个计算机上设置，而不

19、能对特定用户配置。n密码策略选项使用如下如下图所示）：密码策略选项使用如下如下图所示）：n强制密码历史：用户不能用相同的密码。用户强制密码历史：用户不能用相同的密码。用户在旧密码到期或改变时要创建新密码。在旧密码到期或改变时要创建新密码。n密码最长使用期限：到达最大密码寿命期后强密码最长使用期限：到达最大密码寿命期后强迫用户改变密码。迫用户改变密码。n密码最短使用期限：不允许用户连续多次改变密码最短使用期限：不允许用户连续多次改变密码以破坏强制密码历史策略。密码以破坏强制密码历史策略。n密码长度最小值：保证用户创建密码并指定其密码长度最小值：保证用户创建密码并指定其符合长度要求。如果不设置这个

20、选项，则用户符合长度要求。如果不设置这个选项，则用户不需要创建密码。不需要创建密码。n密码必须符合复杂性要求：防止用户将常用字密码必须符合复杂性要求：防止用户将常用字典中的项目当作密码。典中的项目当作密码。n用可还原的加密来存储密码：提供用户密码的用可还原的加密来存储密码：提供用户密码的高级安全性。高级安全性。密码策略 （2） 帐户锁定策略帐户锁定策略 帐户锁定策略用于指定无效登录企图的最大帐户锁定策略用于指定无效登录企图的最大次数。它通常被配置成在次数。它通常被配置成在y分钟内进行分钟内进行x次登录失次登录失败时帐户将在指定的时间段内锁定，直到管理员败时帐户将在指定的时间段内锁定，直到管理员

21、打开这个帐户锁，如下图所示。打开这个帐户锁，如下图所示。 帐户锁定策略类似于银行处理帐户锁定策略类似于银行处理ATM访问码安访问码安全性的方法。用户有几次机会输入访问码。这样，全性的方法。用户有几次机会输入访问码。这样，如果别人企图盗用，那么他无法一直猜访问码。如果别人企图盗用，那么他无法一直猜访问码。通常，几次访问失败后，通常，几次访问失败后，ATM机会吃掉这个卡，机会吃掉这个卡，然后需要从银行申请办理新卡。然后需要从银行申请办理新卡。帐户锁定策略 2、本地策略、本地策略 帐户策略可控制登录过程。要控制用户登录帐户策略可控制登录过程。要控制用户登录之后的操作，需使用本地策略之后的操作，需使用

22、本地策略local policies），），如下图所示。利用本地策略可以实现审核、指定如下图所示。利用本地策略可以实现审核、指定用户权限和设置安全选项。用户权限和设置安全选项。设置本地策略 （1） 审核策略审核策略 可以通过审计策略审核与用户管理有关的事件。可以通过审计策略审核与用户管理有关的事件。通过跟踪某个事件，可以创建特定任务的历史，通过跟踪某个事件，可以创建特定任务的历史，其界面如下图所示。其界面如下图所示。审核策略 定义审计策略时，可以选择采用审核访问也定义审计策略时，可以选择采用审核访问也可以选择特定事件故障。事件成功表示任务顺利可以选择特定事件故障。事件成功表示任务顺利完成，事件

23、失败表示任务没有顺利完成。完成，事件失败表示任务没有顺利完成。 缺省情况下，审核过程并不启用，需要手工缺省情况下，审核过程并不启用，需要手工配置。配置审核过程之后，可以通过事件查看器、配置。配置审核过程之后，可以通过事件查看器、安全日志浏览审核结果。安全日志浏览审核结果。 审核太多事件会因为增大处理要求而降低系审核太多事件会因为增大处理要求而降低系统性能。审核还需要大量磁盘空间来存放审核日统性能。审核还需要大量磁盘空间来存放审核日志，因此事件查看实用程序要慎用。志，因此事件查看实用程序要慎用。（2） 用户权限分配用户权限分配 用户权限分配确定了用户和组对计算机的权用户权限分配确定了用户和组对计

24、算机的权利。用户权利的一个例子是备份文件和目录权利。利。用户权利的一个例子是备份文件和目录权利。这个权利使用户可以备份文件与文件夹，如下图这个权利使用户可以备份文件与文件夹，如下图所示。所示。用户权限分配 （3） 安全选项安全选项 启用或禁用计算机的安全设置，例如数据的启用或禁用计算机的安全设置，例如数据的数字信号、数字信号、Administrator和和Guest的帐户名、软盘的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录驱动器和光盘的访问、驱动程序的安装以及登录提示，如下图所示。提示，如下图所示。安全选项 四管理用户环境四管理用户环境 管理用户环境意味着控制用户在登录网络时有管理

25、用户环境意味着控制用户在登录网络时有哪些权利，以及用户桌面上会出现哪些内容。集哪些权利，以及用户桌面上会出现哪些内容。集中配置和管理用户环境，可以执行下列任务：中配置和管理用户环境，可以执行下列任务：n把用户访问限制在所选择的操作系统的某些部把用户访问限制在所选择的操作系统的某些部分。可以防止用户打开控制面板和关闭计算机。分。可以防止用户打开控制面板和关闭计算机。通过防止用户访问一些关键的操作系统组件和通过防止用户访问一些关键的操作系统组件和配置选项，可以减少用户破坏系统的可能性。配置选项，可以减少用户破坏系统的可能性。 要有效地配置和管理用户环境，应确保用户要有效地配置和管理用户环境，应确保

26、用户只可以访问他们工作需要的资源。利用管理模板只可以访问他们工作需要的资源。利用管理模板可以简化用户环境并防止用户破坏工作环境或把可以简化用户环境并防止用户破坏工作环境或把时间花在不必要的应用程序、软件和文件上。时间花在不必要的应用程序、软件和文件上。n限制使用限制使用Windows Server 2019中的工具和组中的工具和组件。这些工具和组件包括件。这些工具和组件包括Internet Explorer、资源管理器和资源管理器和MMC。可以不让用户看到这些。可以不让用户看到这些工具，除非他们确实需要使用。工具，除非他们确实需要使用。n组装用户桌面。可以确保用户有他们所需要的组装用户桌面。可

27、以确保用户有他们所需要的文件、快捷方式和网络连接。文件、快捷方式和网络连接。n使用管理模板可以配置和管理用户环境。使用管理模板可以配置和管理用户环境。 如下图所示，【本地计算机】策略有两个部分：如下图所示，【本地计算机】策略有两个部分：计算机的配置主要集中于计算机的配置主要集中于Windows Server 2019的的管理，而用户的配置主要集中于控制用户如何能管理，而用户的配置主要集中于控制用户如何能够影响桌面环境。够影响桌面环境。使用管理模板管理用户环境 管理模板设置分成七种类型，下表列出了管理模板扩展中不同类型的设置。设置类型控 制可使用者Windows组件组件 用户可以访问的用户可以访

28、问的Windows Server 2019及及其工具和组件部分，例如用户对其工具和组件部分，例如用户对MMC的访问。的访问。计算机和用计算机和用户户系统系统 登录、退出过程。利用系统设置，可以管理登录、退出过程。利用系统设置，可以管理组策略、更新间隔、磁盘配额等。组策略、更新间隔、磁盘配额等。计算机和用计算机和用户户网络网络 网络连接和拨号连接的属性，包括共用网络网络连接和拨号连接的属性，包括共用网络访问。访问。计算机和用计算机和用户户任务栏和开始任务栏和开始菜单菜单 用户可以从开始菜单中访问的功能部件。例用户可以从开始菜单中访问的功能部件。例如，如果删除如，如果删除“运行运行”菜单，用户将不

29、能运行菜单，用户将不能运行没有图标或快捷方式的应用程序。可以把开始没有图标或快捷方式的应用程序。可以把开始菜单设置为只读方式，这样可以防止用户修改。菜单设置为只读方式，这样可以防止用户修改。用户用户桌面桌面 活动桌面。通过隐藏某些桌面图标并控制用活动桌面。通过隐藏某些桌面图标并控制用户对户对My Documents文件夹使用，可以控制用文件夹使用，可以控制用户对网络的访问。户对网络的访问。用户用户控制面板控制面板 控制面板上的一些应用程序。包括限制对添控制面板上的一些应用程序。包括限制对添加加/删除程序，显示和打印机的使用。删除程序，显示和打印机的使用。用户用户共享文件夹共享文件夹 控制用户是

30、否允许发布共享文件夹或控制用户是否允许发布共享文件夹或DFS根。根。用户用户五文件夹重定向五文件夹重定向 在用户配置文件中，可以使用文件夹重定向在用户配置文件中，可以使用文件夹重定向扩展来重定向下面的任何文件夹到可选的位置扩展来重定向下面的任何文件夹到可选的位置如网络共享）：如网络共享）：nApplication DatanDesktopnMy DocumentsnMy Picturesn开始菜单开始菜单 可以重定向一名用户的可以重定向一名用户的My Documents文件夹文件夹到到server_nameshare_name%username%，并且，并且提供如下的好处：提供如下的好处：n可

31、以确保用户从一台计算机漫游到另一台计算可以确保用户从一台计算机漫游到另一台计算机，并且无论在有或没有漫游用户配置文件的机，并且无论在有或没有漫游用户配置文件的情况下用户的文档都是可用的。情况下用户的文档都是可用的。n可以把用户的数据存储在网络上而不是本地计可以把用户的数据存储在网络上而不是本地计算机上，这就为用户提供了管理和保护数据的算机上，这就为用户提供了管理和保护数据的另一种方式。另一种方式。n当用户从企业网上断开时，可以通过离线文件当用户从企业网上断开时，可以通过离线文件夹技术使用户的基于网络的文件夹可用。夹技术使用户的基于网络的文件夹可用。 类似的好处适用任何重定向文件夹，而不仅类似的好处适用任何重定向文件夹，而不仅仅是仅是My Documents文件夹。重定向到一个文件夹。重定向到一个DFS共共享在服务器失败时增加了安全性。享在服务器失败时增加了安全性。设置文件夹重定向的步骤如下：设置文件夹重定向的步骤如下：第第1步步 打开组策略编辑器。打开组策略编辑器。第第2步步 展开【用户配置】，展开【展开【用户配置】，展开【Windows设设 置】，然后展开【文件夹重定向】。置】，然后展开【文件夹重定向】。第第