域管理组策略及其应用课件

主讲教师:谭鸣钟WindowsServer2003服务器操作系统主讲教师:谭鸣钟WindowsServer2003服务器1第10章组策略及其应用主要知识点：一、活动目录结构和组策略 （了解）二、配置安全策略 （掌握）三、管理用户环境 （掌握）四、文件夹重定向 （掌握）第10章组策略及其应用主要知识点：2一组策略概述组策略是WindowsServer2003操作系统中提供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活，它包括如下的一些选项：基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销，文件重定向等。WindowsServer2003包括几百种可以配置的组策略设置。组策略设置允许企业管理员通过增强和控制用户桌面来减少总的开销。一组策略概述组策略是Windows3组策略只允许用户一次性地规定自己的环境，在这之后，依赖操作系统来强制实施。组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行更改，如：桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的，系统管理员使用（MMC，MicrosoftManageController）工具来对用户组和计算机组设置策略。组策略只允许用户一次性地规定自己的环4默认情况下，组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象（把它们链接到它们的目标上）的顺序和级别决定了用户或计算机实际能收到的组策略设置。另外，组策略能够在站点、域、组织单元这些级别上被阻塞；组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上，然后将链接设置为非覆盖方式来实现。默认情况下，组策略影响站点、域、或组织单元中所有用户和计算机，而不影响站点、域、或组织单元中的其他对象。默认情况下，组策略能够从站点、域、最5组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中，也可以从属于任何非本地（即基于活动目录）的组策略对象。使用组策略指定的策略设置是WindowsServer2003中启用中心化的更新和配置管理的首选方式。组策略插件为基于注册表的策略、安全设6组策略设置能够：与站点、域、组织单元相关联在站点、域、组织单元中影响用户和计算机被安全组中的用户或计算机成员进一步控制是安全的，仅仅系统管理员能更改设置在策略改变时被删除和重写用于很好地调整桌面控制，增强用户的计算环境组策略设置能够：与站点、域、组织单元相关联7二活动目录结构和组策略组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是组策略对象（GroupPolicyObject）。组策略对象是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的，它不是仅能作用到部分组策略对象上。有两种类型的组策略对象：本地组策略对象和非本地组策略对象。二活动目录结构和组策略组策略的8组策略对象存储在WindowsServer2003的域中，其作用由它们所链接的站点、域或组织单元启用。链接到一个站点（使用活动目录站点和服务）的组策略对象能够应用于站点上的所有域。一个域的组策略对象直接应用于域中的所有计算机和用户，从而被组织单元（通常为活动目录容器）中的所有用户和计算机继承。应用到组织单元的组策略对象直接应用到组织单元中所有用户和计算机，从而被组织单元（通常为活动目录容器）中所有用户和计算机继承。组策略对象存储在WindowsSe9不可能将一组策略对象链接到通常的活动目录容器中。（通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个组织单元中的图标是类似的，除了有一本小书的图形叠放在文件夹上）然而，通常的活动目录容器中的用户和计算机接收这些类型的策略，这些策略继承于链接到较高层次的活动目录的组策略对象。例如，在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们，但是它们可以通过继承接收链接到域的组策略对象。不可能将一组策略对象链接到通常的活动10本地组策略对象首先被应用，然后是链接到站点的组策略对象，再然后是链接到域的组策略对象以特定顺序被应用，最后是链接到组织单元的组策略对象，其顺序是开始于最高层（在活动目录层次）的组织单元（它包含用户或计算机帐户），终止于最低层（最接近用户和计算机）的组织单元（它包含用户和计算机）。在每个组织单元中，任何链接到它的组策略对象以指定的管理顺序被应用。本地组策略对象首先被应用，然后是链接11应用的顺序（本地、站点、域和组织单元）对于活动目录体系结构非常有意义。因为缺省情况下，对每种设置而言，后来被应用的策略覆盖前面应用的策略，而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西（任何早期被应用的设置），“打开”或“关闭”允许保留。组策略编辑器是如下图所示的MMC插件，它分为两个节点：【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一。应用的顺序（本地、站点、域和组织单元12组策略编辑器组策略编辑器133、配置安全策略安全策略用于WindowsServer2003网络的安全设置。安全配置包含有应用到一个或多个WindowsServer2003支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。能为计算机配置安全领域的包括：（1）帐户策略它们是WindowsServer2003域中关于密码策略、帐户锁定策略的计算机安全设置。3、配置安全策略14（2）本地策略包括有关审核策略（试图登录时审计成功或失败）、用户权限分配（他们连接到网上）、以及安全选项（以匿名连接到计算机的能力）。（3）事件日志它控制如应用的大小和保持方法、安全、系统事件日志等设置。可以通过事件浏览器来访问这些日志。（2）本地策略15（4）受限组允许用来控制是否需要属于安全敏感组，以及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略，这种敏感组的例子有企业管理员、薪水册等。例如，有可能决定仅仅有两个用户成为企业管理员组，这样就定义企业行政组为一个受限组，它仅包含两个成员。如果第三个人添加到这个组（例如，在紧急情况下处理某个事情），下一次策略实施时该用户被自动的从企业管理员组删除。这种策略也可以强制用于域中工作站上的组成员（即，强制使一些系统管理员从域中移到工作站上本地管理员组）。（4）受限组16（5）系统服务它控制启动模式及系统服务的访问权限，如哪些用户能关闭和启动传真服务。（6）注册表用来为注册表表项配置注册表设置，包括访问控制、审计、所有者。（7）文件系统它用来为文件系统对象配置安全设置，包括访问控制、审计、所有者。（5）系统服务171、帐户策略装入组策略的MMC管理单元后，出现本地计算机策略选项。要访问帐户策略文件夹，需展开【本地计算机策略】、【计算机配置】、【Windows设置】、【安全设置】和【帐户策略】。如下图所示。1、帐户策略18设置帐户策略设置帐户策略19（1）密码策略密码策略（Passwordpolicies）可以强制在计算机上执行安全要求。一定要注意，密码策略在各个计算机上设置，而不能对特定用户配置。密码策略选项使用如下（如下图所示）：强制密码历史：用户不能用相同的密码。用户在旧密码到期或改变时要创建新密码。密码最长使用期限：到达最大密码寿命期后强迫用户改变密码。密码最短使用期限：不允许用户连续多次改变密码以破坏强制密码历史策略。（1）密码策略密码策略选项使用如下（如下图所示）：20密码长度最小值：保证用户创建密码并指定其符合长度要求。如果不设置这个选项，则用户不需要创建密码。密码必须符合复杂性要求：防止用户将常用字典中的项目当作密码。用可还原的加密来存储密码：提供用户密码的高级安全性。密码长度最小值：保证用户创建密码并指定其符合长度要求。如果不21密码策略密码策略22（2）帐户锁定策略帐户锁定策略用于指定无效登录企图的最大次数。它通常被配置成在y分钟内进行x次登录失败时帐户将在指定的时间段内锁定，直到管理员打开这个帐户锁，如下图所示。帐户锁定策略类似于银行处理ATM访问码安全性的方法。用户有几次机会输入访问码。这样，如果别人企图盗用，那么他无法一直猜访问码。通常，几次访问失败后，ATM机会吃掉这个卡，然后需要从银行申请办理新卡。（2）帐户锁定策略23帐户锁定策略帐户锁定策略242、本地策略帐户策略可控制登录过程。要控制用户登录之后的操作，需使用本地策略（localpolicies），如下图所示。利用本地策略可以实现审核、指定用户权限和设置安全选项。设置本地策略2、本地策略设置本地策略25（1）审核策略可以通过审计策略审核与用户管理有关的事件。通过跟踪某个事件，可以创建特定任务的历史，其界面如下图所示。审核策略（1）审核策略审核策略26定义审计策略时，可以选择采用审核访问也可以选择特定事件故障。事件成功表示任务顺利完成，事件失败表示任务没有顺利完成。缺省情况下，审核过程并不启用，需要手工配置。配置审核过程之后，可以通过事件查看器、安全日志浏览审核结果。审核太多事件会因为增大处理要求而降低系统性能。审核还需要大量磁盘空间来存放审核日志，因此事件查看实用程序要慎用。定义审计策略时，可以选择采用审核访问27（2）用户权限分配用户权限分配确定了用户和组对计算机的权利。用户权利的一个例子是备份文件和目录权利。这个权利使用户可以备份文件与文件夹，如下图所示。用户权限分配（2）用户权限分配用户权限分配28（3）安全选项启用或禁用计算机的安全设置，例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示，如下图所示。安全选项（3）安全选项安全选项29四管理用户环境管理用户环境意味着控制用户在登录网络时有哪些权利，以及用户桌面上会出现哪些内容。集中配置和管理用户环境，可以执行下列任务：把用户访问限制在所选择的操作系统的某些部分。可以防止用户打开控制面板和关闭计算机。通过防止用户访问一些关键的操作系统组件和配置选项，可以减少用户破坏系统的可能性。四管理用户环境管理用户环境意味着控30要有效地配置和管理用户环境，应确保用户只可以访问他们工作需要的资源。利用管理模板可以简化用户环境并防止用户破坏工作环境或把时间花在不必要的应用程序、软件和文件上。限制使用WindowsServer2003中的工具和组件。这些工具和组件包括InternetExplorer、资源管理器和MMC。可以不让用户看到这些工具，除非他们确实需要使用。组装用户桌面。可以确保用户有他们所需要的文件、快捷方式和网络连接。使用管理模板可以配置和管理用户环境。要有效地配置和管理用户环境，应确保用31如下图所示，【本地计算机】策略有两个部分：计算机的配置主要集中于WindowsServer2003的管理，而用户的配置主要集中于控制用户如何能够影响桌面环境。使用管理模板管理用户环境如下图所示，【本地计算机】策略有两个部32管理模板设置分成七种类型，下表列出了管理模板扩展中不同类型的设置。设置类型控制可使用者Windows组件用户可以访问的WindowsServer2003及其工具和组件部分，例如用户对MMC的访问。计算机和用户系统登录、退出过程。利用系统设置，可以管理组策略、更新间隔、磁盘配额等。计算机和用户网络网络连接和拨号连接的属性，包括共用网络访问。计算机和用户任务栏和开始菜单用户可以从开始菜单中访问的功能部件。例如，如果删除“运行”菜单，用户将不能运行没有图标或快捷方式的应用程序。可以把开始菜单设置为只读方式，这样可以防止用户修改。用户桌面活动桌面。通过隐藏某些桌面图标并控制用户对MyDocuments文件夹使用，可以控制用户对网络的访问。用户控制面板控制面板上的一些应用程序。包括限制对添加/删除程序，显示和打印机的使用。用户共享文件夹控制用户是否允许发布共享文件夹或DFS根。用户管理模板设置分成七种类型，下表列出了管理模板33五文件夹重定向在用户配置文件中，可以使用文件夹重定向扩展来重定向下面的任何文件夹到可选的位置（如网络共享）：ApplicationDataDesktopMyDocumentsMyPictures开始菜单五文件夹重定向在用户配置文件中34可以重定向一名用户的MyDocuments文件夹到\\server_name\share_name\%username%，并且提供如下的好处：可以确保用户从一台计算机漫游到另一台计算机，并且无论在有或没有漫游用户配置文件的情况下用户的文档都是可用的。可以把用户的数据存储在网络上而不是本地计算机上，这就为用户提供了管理和保护数据的另一种方式。当用户从企业网上断开时，可以通过离线文件夹技术使用户的基于网络的文件夹可用。可以重定向一名用户的MyDocume35类似的好处适用任何重定向文件夹，而不仅仅是MyDocuments文件夹。重定向到一个DFS共享在服务器失败时增加了安全性。设置文件夹重定向的步骤如下：第1步打开组策略编辑器。第2步展开【用户配置】，展开【Windows设

置】，然后展开【文件夹重定向】。第3步右键单击需要重定向的文件夹名称，单击

【属性】，然后提供目标路径和位置。后表

是【目标】标签上的选项说明。类似的好处适用任何重定向文件夹，而不36选项说明设置【没有具体指定的管理策略】。默认设置。【基本】，把所有文件夹重定向到同一位置。【高级】，为不同的安全组指定位置。该选项允许重定向用户的文件夹并根据组成员资格指定不同的位置。目标文件夹位置选择【基本】的时候会出现该选项。该选项把所有的文件夹重定向到同一位置，并允许为新位置指定通用命名条例（UNC）的路径名。可以按下列格式用登录名字建立目标文件夹名字：\\server_name\share_name\%username%。安全组成员资格选择【高级】的时候会出现该选项。该选项为不同的安全组制定具体位置。这里会出现安全组和重定向文件夹的路径。和上一个选项一样，可以用登录名建立文件夹名字。目标标签选项选项说明设置【没有具体指定的管理策略】。默认设置。目37

【设置】标签上的选项控制文件夹重定向的方式。应该注意这些设置的预设值，这可能和服务器磁盘空间与安全性相关。下表是文件夹重定向设置的解释。选项效果授予文件夹用户独占权默认选中，该设置确保只有用户和系统有权访问文件夹。管理人员不能访问这些文件夹。把文件夹移到新位置默认选中，该设置在组策略下一次实现的时候把文件夹移动到新位置。策略删除当重定向策略删除的时候，可以将文件夹保留在重定向的位置。【设置】标签上的选项控制文件夹重定向的方式。应该注381.组策略概论:

是一个管理用户工作环境的技术,通过他可以确保用户拥有所需要的工作环境,也可以用他来限制用户,减轻管理员的负担。1.1组策略的功能:1、账户策略：如设定用户密码长度，使用期限，账户锁定

2、本地策略：如审核策略、用户权限的指派，安全性

3、脚本（scripts）：如登录/注销，启动/关机。

4、用户工作环境：如隐藏桌面图标，删除开始菜单中的“运行/搜索/关机”等功能。

1.组策略概论:39

5、软件的安装与删除：启动计算机时，自动为用户安装应用软件，自动修复应用软件或删除。

6、限制软件的运行：限制域用户只能运行某些软件。

7、文件夹转移：改变文件夹的存储位置

8、其他系统设定：让所有计算机自动信任指定CA

组策略包含“计算机配置”和“用户配置”两部分：一、计算机配置：当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。如针对域配置了组策略，那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机。5、软件的安装与删除：启动计算机时，自动为用户安装应用40二、用户配置：当用户登录时，系统就会根据“用户配置”的内容来配置用户的工作环境。如针对“业务部”OU设定了组策略内的“用户配置”就会被应用到此OU内的所有用户。除了可以针对站点，域或OU设定策略外，还可以针对本地计算机设定组策略。1.2组策略对象：组策略是通过“组策略对象（GPO）”来设定的，只要将GPO连接到指定的站点、域或OU，该GPO内的设定值就会影响到该对象的所有计算机或用户。二、用户配置：当用户登录时，系统就会根据“用户41域管理组策略及其应用ppt课件42域管理组策略及其应用ppt课件43域管理组策略及其应用ppt课件441.3组策略的应用时机：当修改了GPO的配置后，这些配置值并不是立即有效，而是必须等他们应用到用户或计算机后才有效。何时有效，要看是计算机配置，还是用户配置而定。一、计算机配置的启用时间：

1、计算机开机时

2、即使计算机不重启，系统也会自动启用：域控制器：每5分钟非域控制器：每90—120分钟不论策略配置是否改动，系统每16小时自动启用一次

3、手动（WIN2003）：gpupdate/target:computer/force

1.3组策略的应用时机：45二、用户配置的启用时间：

1、用户登录时：

2、每90—120分钟不论策略配置是否改动，系统每16小时自动启用一次

3、手动：gpupdate/target:user/force二、用户配置的启用时间：462.组策略实例：2.1计算机配置：由于系统默认只有某些组内的用户，才有权限在域控制器的计算机上登录，因此一般用户在利用域控制器的时候，会出现“此系统的本地策略不允许你交互登录”的字样。那我们如何让其他用户也可以来登录到域控制器上呢？

ActiveDirectory用户和计算机——DomainContorllers——属性——组策略

2.组策略实例：47域管理组策略及其应用ppt课件48域管理组策略及其应用ppt课件49域管理组策略及其应用ppt课件50域管理组策略及其应用ppt课件51但不是我们对策略配置好了，就可以马上生效，而必须等待这个策略应用到域控制器上后，才可以使用。2.2用户配置：我们利用组策略中的“用户配置”，让一个OU中的用户在登录域后，删除”开始“菜单中的“运行”选项。业务部——属性——组策略——按图操作

但不是我们对策略配置好了，就可以马上生效，而必52域管理组策略及其应用ppt课件53域管理组策略及其应用ppt课件54域管理组策略及其应用ppt课件55域管理组策略及其应用ppt课件56域管理组策略及其应用ppt课件57域管理组策略及其应用ppt课件583.组策略的处理规则：

域控制器与域内的计算机在处理、应用组策略时，有一定的程序与规则，了解他们，才可以通过组策略来管理用户和计算机。3.1一般的继承与处理规则：

1、如果父容器（high-levelcontainer）的某个策略被配置，但其子容器（low-levelcontainer）的策略未被配置，则子将继承父的配置值。如：的GPO内的某策略已经配置了，但OU业务部的策略还是未配置，那么OU将继承a的策略。3.组策略的处理规则：59

2、如果子容器内的某个策略被配置，则此配置值会覆盖由其父容器继承下来的配置。

3.组策略的配置是累加性的，如在业务部内建立了一个GPO，同时在域和站点也都有GPO，则域、站点和业务部的GPO将累加起来，作为业务部的最后的有效值。但当他们出现冲突时，则以处理顺序在后的GPO优先。系统处理顺序是；站点、域、OU

所以其中OU的优先级别最高最优先。2、如果子容器内的某个策略被配置，则此配置值会覆盖由60

4、系统是先处理“计算机配置”，再处理“用户配置”。如果他们发生冲突时，虽然“用户配置”在后，但大部分情况下是以”计算机配置”为先。

5、如果将多个GPO连接到同一个OU，那么所有的GPO