教学材料《WindowsServer安装与配置》-项目四

任务一创建和删除组策略任务描述正确完成组策略的创建与删除，并能正确链接己有的组策略对象，对组策略进行设置。相关参数设计见实施步骤。下一页返回任务一创建和删除组策略实施条件在安装组策略之前，安装并运行域控制器，再进行组策略的创建。上一页下一页返回任务一创建和删除组策略

实施步骤（1）创建域的组策略的具体操作步骤如下。①在己经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“ActiveDirectory用户和计算机”选项，在弹出的“ActiveDirectory用户和计算机”窗口左部，右击操作对象，在弹出的快捷菜单中选择“属性”命令，如图4-1所示;在弹出的对话框中打开“组策略”选项卡，如图4-2所示，图中列出了当前应用到域或者组织单元的全部组策略。上一页下一页返回任务一创建和删除组策略②单击“新建”按钮，输入新的组策略名称“组策略对象A"，然后单击“确定”按钮即可，如图4-3所小，这样就将“组策略对象A”组策略应用到该组织单元，但是该组策略尚未做任何设置。图4-3中各按钮作用解释如下。添加:添加一个组策略对象链接。编辑:打开组策略对象编辑器来比较组策略对象。选项:进行组策略对象替代控制。删除:清除或删除组策略对象。向上、向下:修改组策略对象的优先级。阻止策略继承:用于防止父容器定义的策略在自身传递。上一页下一页返回任务一创建和删除组策略

（2）如果己经建立了组策略，现要将组策略应用到某个计算机或用户上，通过链接组策略对象操作，将组策略应用到站点、域或组织单元中。具体操作步骤如下。①在己经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“ActiveDirectory用户和计算机”选项，在弹出的“ActiveDirectory用户和计算机”窗口左部，右击域或者要链接组策略的组织单元，在弹出的快捷菜单中选择“属性”命令。②如果要链接的组策略没有出现在组策略列表中，就单击“添加”按钮，弹出“添加组策略对象链接”对话框，打开“域/OUs"选项卡，单击要链接的组策略，单击“确定”按钮，如图4-4所示。上一页下一页返回任务一创建和删除组策略③返回“组织单元属性”窗口，选择添加的组策略，单击“应用”按钮，再单击“确定”按钮即可。（3）委托组策略管理控制。在创建组策略以后，要确定哪些用户和组对组策略对象拥有访问权限，默认的组策略对象权限如下。①CreatorOwne:组:拥有特别的权限。②AuthenticatedUsers组:拥有读、应用组策略和特别的权限。③DomainAdmins组:拥有读、写、创建所有子对象、删除所有子对象、特别的权限。④System组:拥有读、写、创建所有子对象、删除所有子对象、特别的权限。上一页下一页返回任务一创建和删除组策略（4）如果要委托某用户对组策略有访问权限，具体操作步骤如下。①在己经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“ActiveDirectory用户和计算机”选项，在弹出的“ActiveDirectory用户和计算机”窗口左部，右击域名并在弹出的快捷菜单中选择“属性”命令，打开“组策略”选项卡。②选中组策略，单击“属性”按钮，打开“安全”选项卡，如图4-5所示。③可以单击“添加”或“删除”按钮，来添加或删除对组策略有权限的用户或组。④如果要设置用户或组对组策略的管理权限，直接在列表中选中“读取”、“写入”等权限即可，还可以通过“高级”按钮做进一步设置。单击“确定”按钮，保存相关设置。上一页下一页返回任务一创建和删除组策略（5）设置组策略。在创建了组策略对象以后，还需要对组策略对象进行配置，其具体的操作步骤如下。①在己经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”，选择“ActiveDirectory用户和计算机”选项，在弹出的“ActiveDirectory用户和计算机”窗口左部，右击域名，在弹出的快捷菜单中选择“属性”命令，打开“组策略”选项卡。②选择组策略，单击“编辑”按钮，打开“组策略编辑器”窗口，如图4-6所示。③在“组策略编辑器”的左边，扩展代表自己想要设置的特殊策略项日。④在窗口右侧，右击想要设置策略的项日，在弹出的快捷菜单中选择“属性”命令，弹出如图4-7所示的对话框，各个选项的解释如下。上一页下一页返回任务一创建和删除组策略

未配置:表示该设置不会更改注册表。己启用:表示该配置应用到该组策略对象的用户和计算机。己禁用:表示注册表将指示策略不会应用到隶属于该组策略的用户和计算机。（6）删除组策略对象链接就是将组策略对象与指定的站点、域或组织单元之间的链接断开。组策略对象仍然保留在活动目录中，直至被删除，具体的操作步骤如下。①在己经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“ActiveDirectory用户和计算机”选项，在弹出的“ActiveDirectory用户和计算机”窗口左部，右击想要断开链接的站点、域或组织单元，在弹出的快捷菜单中选择“属性”命令。②在弹出的对话框中打开“组策略”选项卡，选择要断开的组策略对象，单击“删除”按钮。上一页下一页返回任务一创建和删除组策略③在弹出的“删除”对话框中，如图4-8所示，选中“从列表中移除链接”单选按钮，单击“确定”按钮即可。

（7）删除组策略。如果要删除组策略，它就被从活动目录中删除了，组策略对象所链接的任何站点、域或组织单元都不会受到影响。它和删除组策略对象链接的操作基本一样，不同的是在如图4-8所示的“删除”对话框中，选中“移除链接并将组策略对象永久删除”单选按钮即可。上一页返回任务二组策略的应用任务描述

(1)指派应用程序。可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机上，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击该软件的文档时，该软件才会被自动安装。软件指派应用程序既可以用于计算机配置，也可用于用户配置。

(2)发布应用程序和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要通过选择“控制面板”一“添加或者删除应用程序”命令来安装软件。发布应用程序只用于用户配置，在组策略中发布的程序是否被用户安装，取决于用户。下一页返回任务二组策略的应用(3)酉己置桌面:①设置开始菜单;②设置最近打开文档记录;③设置系统关机;④使用脚本。

(4)文件夹重定向。在组策略中系统管理员可以重定向的文件夹有应用程序、桌面、“我的文档”、“开始”菜单。如果用户要保存数据到“我的文档”时，数据不再保存到本机而是保存到网络位置。文件夹重定向只是重定向用户自己创建的数据文档，而不会把系统数据重定向到网络服务器上，并不会造成服务器的硬盘容量需要过大。这样做的好处是:用户登录到域中任何一台计算机，它的文档都会很容易地获得。上一页下一页返回任务二组策略的应用(5)安全设置。在用户配置和计算机配置节点中都有安全设置，然而用户配置节点下的安全设置卞要是公钥策略，一般情况下使用得较少，所以把注意力放在计算机配置节点中的安全设置上。

(6)安全模板。安全模板实际上是保存有组策略中的安全设置的一个文件，可以把它当少戊一个样板应用到组策略中，则组策略中的安全设置就和模板中的安全设置一样。把所有的安全设置存放在文件中方便于使用和管理，这样可以把安全设置进行备份或者复制到别的计算机上。上一页下一页返回任务二组策略的应用实施条件在实施本任务之前击建立组策略。上一页下一页返回任务二组策略的应用实施步骤（1）指派应用程序具体的操作步骤如下。①打开“组策略编辑器”窗口，选择“计算机配置”或“用户配置”下的“软件设置”选项，如图4-9所示。②右击“软件安装”选项，在弹出的快捷菜单中选择“新建”一“程序包”命令，如图4-10所示。③在弹出的“打开”对话框中，如图4-11所示，选择要指派的软件包，单击“打开”按钮。④在弹出的“部署软件”对话框中，如图4-12所示，选中“己指派”单选按钮，单击“确定”按钮。上一页下一页返回任务二组策略的应用

（2）发布应用程序具体的操作步骤如下。①打开“组策略编辑器”窗口，选择“计算机配置”或“用户配置”下的“软件设置”;右击“软件安装”选项，在弹出的快捷菜单中选择“新建”一“程序包”命令，如图4-13所示。②在弹出的“打开”对话框中选择要指派的软件包，单击“打开”按钮。③在弹出的“部署软件”对话框中，如图4-14所示，选中“己发布”单选按钮，单击“确定”按钮。上一页下一页返回任务二组策略的应用（3）配置桌面中的设置开始菜单，WindowsServer2003系统的各种操作和控制命令，都是通过“开始”菜单发出的。在各种公共场合下，“开始”菜单常常会受到诸多用户的修改，轻则让系统一片混乱，重则导致系统出现无法正常运行的故障。为了防止出现故障，需要修改组策略，具体的操作步骤如下。

①选择“开始”弹出“组策略编辑器”一“运行”命令，在打开的“运行”对话框中输入gpedit.msc命令，窗口，如图4-15所示。②选择“用户配置”一“管理模板”选项，在对应的右部子窗口中，双击“任务栏和厂开始一菜单”选项，如图4-16所示。

③双击“阻止更改【开始】菜单’设置属性”④分别单击“应用”‘任务栏和对话框，不正确定【开始】菜单’设置”选项，弹出“阻止更改‘任务栏和选中“己启用”单选按钮，如图4-17所示。”按钮，“开始”菜单就不能被非法修改了。上一页下一页返回任务二组策略的应用（4）配置桌面中的设置最近打开文档记录，出于某种安全的需要，例如，不想让人知道自己浏览过哪些网页和打开过哪些文件，这时只要在右侧窗格中双击“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略，如图4-18所示，在弹出的对话框中选中“己启用”单选按钮即可。

（5）配置桌面中的设置系统关机，每次关闭WindowsServer2003系统时，总会出现关机原因提示框，可以进行设置将该提示框关闭，对关闭关机原因提示框进行如下设置。①选择“开始”一“运行”命令，在打开的对话框中输入gpedit.msc命令，弹出“组策略编辑器”窗口。②选择“计算机配置”一“管理模板”一“系统”选项，如图4-19所示，双击“显示‘关闭事件跟踪程序”，，在弹出的对话框中，选中“己禁用”单选按钮即可。上一页下一页返回任务二组策略的应用（6）配置桌面中的使用脚本，所谓脚本就是一段类似VisualBasicScript或者JavaScript的程序或命令，本教程不讨论脚本如何编写，关于脚本编写请参考相关的资料。脚本用于管理用户环境，WindowsServer2003提供了脚本用于计算机的启动、关机以及用户的登录和注销。设置使用脚本启动计算机的具体步骤如下。①选择“开始”一“运行”命令，在打开的对话框中输入gpedit.msc命令，弹出“组策略编辑器”窗口。②选择“计算机配置”一“Windows配置”一“脚本”选项，如图4-20所小。

③右击“启动”选项，在弹出的快捷菜单中选择“属性”命令，在打开的“启动属性”对话框中，如图4-21所示，单击“添加”按钮，在打开的“添加脚本”对话框中，输入要添加的脚本文件即可。上一页下一页返回任务二组策略的应用（6）文件夹重定向操作步骤如下。①打开“组策略编辑器”窗口，在左窗格中选择“用户配置”一“Windows设置”一文件夹重定向”选项，如图4-22所示。

②右击“厂开始」菜单”，在弹出的快捷菜单中选择“属性”命令，并在弹出的对话框中打开“日标”选项卡，在“设置”下拉列表框中选择“基本一将每个人的文件夹重定向到同一个位置”选项，在“日标文件夹位置”下拉列表框中选择文件夹的存放位置，如图4-23所示。③打开“设置”选项卡，选中“授予用户对‘厂开始」菜单’的独占权限”复选框，选中“策略被删除时，将文件留在新位置”单选按钮。这样在删除策略时用户的文档不会也被删除，如图4-24所示。上一页下一页返回任务二组策略的应用④执行Gpupdate.exe可以使修改后的组策略立即生效，然后可以右击“我的文档”，在弹出的快捷菜单中选择“属性”命令，查看“我的文档”位置。注意:进行文件夹重定向的操作有两种选择，一种是基本方式(将每个人的文件夹重定向到同一个位置)，即在服务器上为每一个用户创建一个文件夹，允许把认为重要的数据放到这个文件夹下，这样做的好处是用户不用专门的去连接服务器，往服务器上存放数据，而是将数据存放在我的文档下，这些数据就会自动的存放到服务器上指定的位置;另外一种是高级方式(为不同的用户组指定位置)，它是以组为单位，如图4-25所示。上一页下一页返回任务二组策略的应用（7）安全设置，如图4-26是安全设置的基本内容。①账户策略。该部分包括3个子部分:密码策略、帐户锁定策略和Kerberos策略。密码策略用于控制用户设置的密码;帐户锁定策略用于控制用户输错密码时如何锁定帐户;Kerberos策略用于用户登录时的身份验证。

②本地策略。该部分包括3个子部分:审核策略、用户权利指派和安全选项。审核策略:它决定哪些安全事件记录到计算机的安全日志中，可以审核成功和失败事件。例如，审核对象访问是审核用户访问文件、文件夹、打印机的事件等，如图4-27所示。上一页下一页返回任务二组策略的应用在本地策略中打开了某个审核策略项，不是表示系统就对用户的行为开始审核了，例如，对象访问审核策略项启动后，还应该在具体的被访问对象打开审核项日。

用户权利指派:它决定用户或组有登录或任务特权，例如指定哪些用户可以关闭系统。安全选项:它用以启动或禁用计算机的安全设置，例如Administrato:和Guest的帐户名、软驱和光盘的访问、驱动程序的安装以及升录提小等。③事件日志。该设置定义了关于“应用程序”、“安全日志”和“系统事件”日志的属性;最大日志的大小、每个日志的访问权限、保留设置和保留方法，如图4-28所示。上一页下一页返回任务二组策略的应用④受限制的组。用以控制组的成员，防止有的用户增加某个组的成员。此特性充当组的管理员，如图4-29所小，限制GroupTest组只允许有一个成员Administrator。当用户在“ActiveDirectory用户和计算机”窗口中把别的用户添加到GroupTest组，组策略传播后，添加到组中的用户会被删除。⑤系统服务。系统服务策略项用于为计算机上运行的服务配置安全设置和启动设置。例如，可以设置计算机自动把InternetConnection共享出来，如图4-30所小。⑥注册表。注册表策略项用以指定用户或组访问注册表的权限。在“组策略编辑器”窗口的左部选中“注册表”，并右击，选择“添加密钥”命令，弹出如图4-31所示的对话框，选择合适的注册表项，单击“确定”按钮，则在窗口的右部会显示添加的注册表项，双击该项，弹出如图4-32所示的对话框，从中单击“添加”按钮选择用户;下一步是控制权限如何传递到子项，如图4-33所小，选择后单击“确定”按钮。上一页下一页返回任务二组策略的应用⑦文件系统。文件系统允许在策略级别上设置文件系统对象(NTFS目录和文件)的权限。

(8)安全模板，模板文件是inf文件，WindowsServer2003预定义