组策略一ppt课件

1、组战略一组战略可实现的功能与根本配置帐户战略、用户指派权益平安模板本地组战略高级运用 所谓组战略，就是基于组的战略。它以Windows中的一个MMC管理单元的方式存在，可以协助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和平安配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开场菜单项选择项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组战略是Windows中的一套系统更改和配置管理工具的集合。 组战略概述组战略是管理员为计算机和用户定义的，是用来控制运用程序、系统设置和管理模板的一种机制。简单地说，组战略就是介于控制面板和注册表之间的一种修

2、正系统、设置程序的工具。 其实简单地说，组战略设置就是在修正注册表中的配置。组战略高于注册表，当然，组战略运用了更完善的管理组织方法，可以对各种对象中的设置进展管理和配置，远比手工修正注册表方便、灵敏，功能也更加强大。 组战略概述运用组战略可以实现的功能帐户战略的设定本地战略的设定脚本的设定用户任务环境的定制软件的安装与删除限制软件的运转文件夹的转移其他系统设定方法1：单击【开场】|【运转】命令，输入gpedit.msc，单击【确定】按钮，翻开当前计算机的组战略。方法2：单击【开场】|【运转】命令，输入MMC，单击【确定】按钮，翻开 Microsoft 管理控制台，添加【组战略对象编辑器】，选

3、择所需的组战略对象，翻开要编辑的组战略对象。 启动组战略的方法组战略界面 组战略主界面共分为左右两个窗格，左边窗格中的【“本地计算机战略】由【计算机配置】和【用户配置】两个子项构成，右边窗格中是针对左边某一配置可以设置的详细战略组战略对象 组战略的根本单元是组战略对象GPO,它是一组设置的组合。有两种类型的组战略对象：本地组战略对象和非本地组战略对象，即基于Active Directory的GPO和本地GPO。组战略作用范围：由它们所链接的站点、域或组织单元启用。组战略模板 组战略模板GPT实现了一系列指令，在组战略编辑器“计算机配置和“用户配置文件夹下导入这些管理模板文件，以实如今组战略中配

4、置相关选项的目的。.adm文件本身并不是部署到客户端操作系统的实践设置，它只是一种模板文件。.adm文件存储在两个位置：GPO内部和本地计算机上的 %windir%inf文件夹中 (1)System.adm：默许安装在“组战略中，用于系统设置 (2)Inetres.adm：默许安装在“组战略中，用于Internet Explorer(IE)战略设置。 (3)Wmplayer.adm：用于Windows Media Player设置。 (4)Conf.adm：用于NetMeeting设置。 (5)Wuau.adm：Windows Update设置模板文件。 组战略的运用时机 计算机配置：计算机开

5、机时自动启用，域控制器默许每隔5分钟自动启用，非域控制器默许每隔90-120分钟自动启动，此外不论战略能否有变动系统每隔16小时自动启动一次。 用户配置：用户登录时自动启用，系统默许每隔90分钟自动启动，此外不论战略能否有变动系统每隔16小时自动启动一次。手动启动组战略的命令是：gpupdate /target:compute /force组战略的处置顺序 组战略的配置是累加的。 运用的顺序：本地组战略对象站点的组战略对象域的组战略对象组织单元的组战略对象。后面战略覆盖前面战略。1.计算机配置计算机配置包括一切与计算机相关的战略设置，它们用来指定操作系统行为、桌面行为、平安设置、计算机开机与关

6、机脚本、指定的计算机运用选项以及运用设置。2.用户配置用户配置包括一切与用户相关的战略设置，它们用来指定操作系统行为、桌面设置、平安设置、指定和发布的运用选项、运用设置、文件夹重定向选项、用户登录与注销脚本等。组战略的根本配置3.组战略插件扩展1软件设置2Windows设置账号战略、本地战略、事件日志、受限组、系统效力、注册表、文件系统、 IP平安战略、公钥战略3管理模板组战略的根本配置1让Windows的上网速率提升20%在【组战略编辑器】控制台中，展开【计算机配置】|【管理模板】|【网络】|【QoS 数据包调度程序】项，在右窗格双击【限制可保管带宽】战略，在属性对话框中，选择【已启用】单项

7、选择按钮，并将【带宽限制】值设置为0%，单击【确定】按钮。 2封锁系统复原功能 在【组战略】控制台中，展开【计算机配置】|【管理模板】|【系统】|【系统复原】项，在右窗格双击【封锁系统复原】战略，在属性对话框中，选择【已启用】单项选择按钮，单击【确定】按钮，启用此设置来封锁系统复原组战略实例1：计算机配置 3、制止Windows Messenger自动运转在【组战略】控制台中，展开【计算机配置】|【管理模板】|【Windows组件】|【Windows Messenger】项，在右窗格双击【不允许运转Windows Messenger】战略，在属性对话框中，选择【已启用】单项选择按钮，单击【确定

8、】按钮。 4.审核登录帐户 在【战略】控制台中，展开【计算机配置】|【Windows设置】|【平安设置】|【本地战略】|【审核战略】项，双击【帐户登录审核】战略，选择审核【胜利】和【失败】两项，单击【确定】按钮。5管理远程桌面设置实例允许“远程桌面衔接在【组战略编辑器 】中，展开【计算机配置】|【管理模板】|【Windows组件】|【终端效力】项，在右窗格中双击【允许用户运用终端效力远程衔接】战略，在属性对话框中，选择【已启用】单项选择按钮，单击【确定】按钮即可。 配置“数据重定向双击【客户端/效力器数据重定向】目录，翻开【客户端/效力器数据重定向】项，可以设置在建立衔接后所能运用的客户端资源

9、。设置空闲会话衔接时间展开【会话】目录，双击【为活动但空闲的终端效力会话设置时间限制】战略，可以限制空闲会话的衔接时间。1.个性化【义务栏和开场菜单】经过组战略可以实现【义务栏和开场菜单】的个性化。在【组战略编辑器】控制台中，展开【用户配置】【管理模板】【义务栏和开场菜单】项，在右窗格中列出【义务栏和开场菜单】有关战略的详细配置。 维护好【义务栏和开场菜单】 假设不想随意让他人更改【义务栏和开场菜单】的设置，只需启用【阻止更改“义务栏和开场菜单设置】和【阻止访问义务栏的上下文菜单】两个战略即可。 利用组战略维护个人文档隐私 假设不希望用户查看曾经访问过的文件，只需在组战略窗口中的【义务栏和开场

10、菜单】项中，启用【不要保管最近翻开文档的记录】和【退出时去除最近翻开的文档的记录】两个战略即可。组战略实例2：用户配置2个性化桌面经过组战略可以实现【桌面】的个性化，可以让桌面管理任务变得易如反掌。在【组战略编辑器】控制台中，展开【用户配置】|【管理模板】|【桌面】项，在右窗格中列出【桌面】有关战略的详细配置。 隐藏桌面的系统图标 只需启用【隐藏桌面上“网上邻居图标】、【隐藏桌面上的Internet Explorer图标】、【隐藏和禁用桌面上的一切工程】、【删除桌面上的“我的文档图标】、【删除桌面上的“我的电脑图标】和【从桌面删除回收站】等战略可以隐藏桌面上的相应的图标。 退出时不保管桌面设置

11、 启用【退出时不保管设置】战略可以防止用户保管对桌面的某些更改如图标的位置、义务栏的位置及大小等，不过义务栏上的快捷方式总可以被保管。3.IE阅读器设置微软的IE阅读器让我们可以轻松地在互联网上遨游，但要想用好IE阅读器，那么必需将它配置好。经过组战略可轻松实现高级配置功能。在【组战略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Internet Explorer】项需添加inetres.adm模板文件，在右窗口格中列出【Internet Explorer】有关战略的详细配置。 禁用【Internet 选项】控制面板 假设不希望用户修正Internet Explore

12、r的属性中的某些设置，可以禁用【Internet 选项】的某些选项卡，在【Internet 控制面板】目录中，启用【禁用常规页】、【禁用平安页】等组战略项，可在【Internet选项】中删除【常规】、【平安】等选项卡。 制止修正IE阅读器的主页 在【工具栏】目录，启用【禁用更改主页设置】战略即可4.轻松实现Windows高级功能隐藏【我的电脑】中指定的驱动器在【组战略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项，启用【隐藏“我的电脑中的这些指定的驱动器】战略，并在列表框中选择一个驱动器或几个驱动器。防止从【我的电脑】访问驱动器在【组战略编

13、辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项，启用【防止从“我的电脑访问驱动器】战略，并在列表框中选择一个驱动器或几个驱动器。 制止运用【命令提示符】 在【组战略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问命令提示符】战略，并选择【也停用命令提示符脚本处置】项。 制止更改显示属性 在【组战略编辑器】中，展开【用户配置】|【管理模板】|【控制面板】|【显示】项，可根据需求启用【隐藏桌面选项卡】、【隐藏主题选项卡】、【隐藏维护程序选项卡】、【隐藏设置选项卡】等战略，来隐藏相关属性的选项卡，用户将无法再对桌面属性进展更改

14、。 禁用注册表编辑器 在【组战略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问注册表编辑工具】战略，制止用户启动注册表编辑器。制止访问【控制面板】在【组战略编辑器】中，展开【用户配置】|【管理模板】|【扩展面板】项，启用【制止访问控制面板】战略。以后用户不能运用Control.exe启动【控制面板】，开场菜单和【资源管理器】中将删除【控制面板】项。禁用【添加/删除程序】在【组战略编辑器】中，展开【用户配置】|【管理模板】|【添加或删除程序】项，启用【删除“添加/删除程序】战略，用户将无法运转【添加/删除程序】。 当用户登录计算机网络，操作系统将会经过“计算机配置和“用户

15、配置中的“管理模板战略配置用户环境。常用的配置：限制运用运用程序：展开【系统】项，启用【只运转答应的Windows运用程序】战略，添加允许运转的运用程序。隐藏在控制面板中指定的图标：展开【控制面板】项，启用【隐藏指定的控制面板程序】战略，添加相应的图标。禁用【Ctrl+Alt+Del】组合键弹出的对话框中的选项：展开【系统】|【Ctrl+Alt+Del】项，启用相应的战略，如【删除“义务管理器】。删除开场菜单中的【关机】图标：展开【义务栏和开场菜单】项，启用【删除和阻止访问“关机命令】战略。隐藏桌面上一切图标：展开【桌面】项，启用【隐藏和禁用桌面上一切的工程】战略。运用组战略配置用户环境帐户战

16、略又包括密码战略、帐户锁定战略和Kerberos战略。1.密码战略的设置操作步骤： 对本地计算机的用户，在【组战略编辑器】中，展开【计算机配置】|【Windows设置】|【平安设置】|【帐户战略】|【密码战略】项，双击【密码必需符合复杂性要求】选项，选择【已启用】，单击【确定】按钮。还可设置：强迫密码历史、密码最长运用期限、密码最短运用期限、密码长度最小值。对域控制器用户，翻开【Active Directory用户和计算机】管理窗口，右击域或组织单位，选择【属性】命令，在翻开的对话框中选择【组战略】选项卡。选择组战略对象，单击【编辑】按钮，翻开【组战略编辑器】界面，展开【计算机配置】|【Win

17、dows设置】|【平安设置】|【帐户战略】|【密码战略】项，选择相应的密码战略选项配置即可。 帐户战略2.帐户锁定战略帐户锁定指在某些情况下如帐户遭到黑客攻击，为维护帐户平安而将此帐户进展锁定，使之在一定时间内不能再次登录，从而挫败延续的猜解尝试。配置方法：在【组战略】控制台中，展开【计算机配置】|【Windows设置】|【平安设置】|【帐户战略】|【帐户锁定战略】项，双击某帐户锁定战略，进展配置：帐户锁定阈值、帐户锁定时间、复位帐户锁定计数器。3.Kerberos战略Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，是Windows Server 2003系统默许的身

18、份验证效力。IPSec可以运用Kerberos协议进展身份验证。Kerberos战略只用于域用户帐户，确定与Kerberos相关的设置，配置方法：在【组战略】控制台中，展开【计算机配置】|【Windows设置】|【平安设置】|【帐户战略】|【Kerberos战略】，选择相应的Kerberos战略选项配置即可。帐户战略为用户指派权限的操作步骤：步骤1在【组战略编辑器】控制台中，展开【计算机配置】|【Windows设置】|【平安设置】|【本地战略】|【用户权限指派】项，这里列出了能为用户指派的各项权限， 用户权限指派步骤2在右窗格中双击要指派的权限如【封锁系统】，翻开其属性窗口，单击【添加用户或组

19、】按钮，翻开【选择用户或组】对话框，输入用户名如abc，延续单击【确定】按钮。 从网络访问此计算机：确定哪些用户和组可以经过网络衔接到该计算机。许多网络协议如HTTP都要求该用户权益。默许情况下为Everyone任何人平安组授予权限。建议删除Everyone组。向域中添加任务站：允许用户向指定的域中添加一台计算机。有此权限的用户可以向域中添加10个任务站。默许情况下Authenticated Users经过身份验证的用户有此权限。建议此权限只授予Administrators组。允许从本地登录：允许用户在计算机上开启一个交互式的会话。用户不具备该权限，但拥有“允许经过终端效力登录权限，他依然可以

20、在计算机上开启一个远程的交互式会话。建议此权限只授予Administrators组。允许经过终端效力登录：允许用户运用远程桌面衔接登录到计算机上。建议此权限只授予Administrators组，但制止Administrator帐户有此权限，可以添加系统的平安性。装载和卸载设备驱动程序：确定哪些用户有权安装和卸载设备驱动程序。默许情况下Print Operators组有此权限。建议此权限只授予Administrators组。复原文件及目录：允许用户在恢复备份的文件或文件夹时，避开文件和目录的答应权限，并且作为对象的一切者设置任何有效的平安主体。建议此权限只授予Administrators组。可以

21、经过【平安选项】来启用计算机的一些平安设置。操作步骤是：在【组战略编辑器】控制台中，展开【计算机配置】|【Windows设置】|【平安设置】|【本地战略】|【平安选项】项，双击要设置的战略，选择【已启用】或【已禁用】项，单击【确定】按钮。下面列举几个比较常用的平安选项：【交互式登录：不需求按CTRL+ALT+DEL】：在计算机机启动时直接出现“登录Windows对话框，不需求显示“请按CTRL+ALT+DEL对话框。【交互式登录：不显示上次的用户名】：在每次出现的“登录Windows对话框中都不显示上一次登录者的用户称号。【交互式登录：在密码到期前提示用户更改密码】：用来设置密码到期前几天提示用户更改密码。【关机：允许系统在未登录前关机】：设置在“登录Windows对话框中显示【关机】按钮，以便不需求登录的情况下就可以将计算机封锁。8.3.4平安选项8.3 运用组战略配置用户环境启动/关机脚本是