收藏
下载资源

组策略与安全配置教学材料

上传人:yulij****0329 文档编号:141142757 上传时间:2020-08-04 格式:PPT 页数:68 大小:1.05MB
返回 下载 相关 举报
组策略与安全配置教学材料_第1页
第1页 / 共68页
组策略与安全配置教学材料_第2页
第2页 / 共68页
组策略与安全配置教学材料_第3页
第3页 / 共68页
组策略与安全配置教学材料_第4页
第4页 / 共68页
组策略与安全配置教学材料_第5页
第5页 / 共68页
点击查看更多>>
资源描述

《组策略与安全配置教学材料》由会员分享,可在线阅读,更多相关《组策略与安全配置教学材料(68页珍藏版)》请在金锄头文库上搜索。

1、第8章 组策略与安全配置,本章要点 组策略可实现的功能与基本配置 帐户策略、用户指派权利、使用组策略部署软件 安全模板、安全配置和分析、安全配置向导 Windows防火墙 IP安全策略 证书服务,目 录,8.1 组策略概述 8.2 组策略的基本配置与实例 8.3 使用组策略配置用户环境 8.4 使用组策略部署软件 综合实训7:Windows Server 2003服务器 安全配置本地安全策略 8.5 安全配置和分析 8.6 安全配置向导 8.7 Windows Server 2003防火墙 8.8 IP安全设置 8.9 证书服务 综合实训8: 安全配置,组策略是管理员为计算机和用户定义的,是用

2、来控制应用程序、系统设置和管理模板的一种机制。简单地说,组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。 组策略高于注册表,组策略使用更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 1.使用组策略可以实现的功能 帐户策略的设定 本地策略的设定 脚本的设定 用户工作环境的定制 软件的安装与删除 限制软件的运行 文件夹的转移 其他系统设定,8.1 组策略概述,3.组策略界面 组策略主界面共分为左右两个窗格,左边窗格中的【“本地计算机”策略】由【计算机配置】和【用户配置】两个子项构成,右边窗格中是针对左边某一配置可以设置的

3、具体策略。 4.组策略对象 组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类型的组策略对象:本地组策略对象和非本地组策略对象。 组策略作用范围:由它们所链接的站点、域或组织单元启用。 5.组策略的应用时机 计算机配置:计算机开机时自动启用,域控制器默认每隔5分钟自动启用,非域控制器默认每隔90-120分钟自动启动,此外不论策略是否有变动系统每隔16小时自动启动一次。 用户配置:用户登录时自动启用,系统默认每隔90分钟自动启动,此外不论策略是否有变动系统每隔16小时自动启动一次。 手动启动组策略的命令是:gpupdate /target:compute /force 6.组策略的

4、处理顺序 组策略的配置是累加的。 应用的顺序:本地组策略对象站点的组策略对象域的组策略对象组织单元的组策略对象。后面策略覆盖前面策略。,8.1 组策略概述,1.计算机配置 计算机配置包括所有与计算机相关的策略设置,它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。 2.用户配置 用户配置包括所有与用户相关的策略设置,它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。 3.组策略插件扩展 (1)软件设置 (2)Windows设置 账号策略、本地策略、事件日志、受限组、系统服务、

5、注册表、文件系统、 IP安全策略、公钥策略 (3)管理模板,8.2 组策略的基本配置与实例,8.2.1组策略的基本配置,1让Windows的上网速率提升20% 操作步骤: 在【组策略编辑器】控制台中,展开【计算机配置】|【管理模板】|【网络】|【QoS 数据包调度程序】项,在右窗格双击【限制可保留带宽】策略,在属性对话框中,选择【已启用】单选按钮,并将【带宽限制】值设置为0%,单击【确定】按钮。,8.2.2 组策略实例1:计算机配置,8.2 组策略的基本配置与实例,2关闭系统还原功能 操作步骤: 在【组策略】控制台中,展开【计算机配置】|【管理模板】|【系统】|【系统还原】项,在右窗格双击【关

6、闭系统还原】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮,启用此设置来关闭系统还原。 3禁止Windows Messenger自动运行 操作步骤:在【组策略】控制台中,展开【计算机配置】|【管理模板】|【Windows组件】|【Windows Messenger】项,在右窗格双击【不允许运行Windows Messenger】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮。,8.2.2 组策略实例1:计算机配置,8.2 组策略的基本配置与实例,4管理远程桌面设置实例 允许“远程桌面”连接 在【组策略编辑器 】中,展开【计算机配置】|【管理模板】|【Window

7、s组件】|【终端服务】项,在右窗格中双击【允许用户使用终端服务远程连接】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮即可。 配置“数据重定向” 双击【客户端/服务器数据重定向】目录,打开【客户端/服务器数据重定向】项,可以设置在建立连接后所能使用的客户端资源。 设置空闲会话连接时间 展开【会话】目录,双击【为活动但空闲的终端服务会话设置时间限制】策略,可以限制空闲会话的连接时间。 5.审核登录帐户 在【组策略】控制台中,展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【审核策略】项,双击【帐户登录审核】策略,选择审核【成功】和【失败】两项,单击【确定】

8、按钮。,8.2.2 组策略实例1:计算机配置,8.2 组策略的基本配置与实例,1.个性化【任务栏和开始菜单】 通过组策略可以实现【任务栏和开始菜单】的个性化。在【组策略编辑器】控制台中,展开【用户配置】【管理模板】【任务栏和开始菜单】项,在右窗格中列出【任务栏和开始菜单】有关策略的具体配置。具体实例如下 :,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,给开始菜单减肥 在组策略窗口中,可以启用【从开始菜单删除用户文件夹】、【从开始菜单删除公用程序组】、【从开始菜单中删除我的文档图标】等多种组策略配置项目来去掉不需要的菜单项。 保护好【任务栏和开始菜单】 如果不想随意让他人更

9、改【任务栏和开始菜单】的设置,只要启用【阻止更改“任务栏和开始菜单”设置】和【阻止访问任务栏的上下文菜单】两个策略即可。 禁止【关机】 启动计算机后,如果不希望用户进行【关机】操作,那么启用【删除和阻止访问“关机”命令】策略。 利用组策略保护个人文档隐私 如果不希望用户查看曾经访问过的文件,只要在组策略窗口中的【任务栏和开始菜单】项中,启用【不要保留最近打开文档的记录】和【退出时清除最近打开的文档的记录】两个策略即可。,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,2个性化桌面 通过组策略可以实现【桌面】的个性化,可以让桌面管理工作变得易如反掌。在【组策略编辑器】控制台中,

10、展开【用户配置】|【管理模板】|【桌面】项,在右窗格中列出【桌面】有关策略的具体配置,具体实例如下:,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例, 隐藏桌面的系统图标 只要启用【隐藏桌面上“网上邻居”图标】、【隐藏桌面上的Internet Explorer图标】、【隐藏和禁用桌面上的所有项目】、【删除桌面上的“我的文档”图标】、【删除桌面上的“我的电脑”图标】和【从桌面删除回收站】等策略可以隐藏桌面上的相应的图标。 退出时不保存桌面设置 启用【退出时不保存设置】策略可以防止用户保存对桌面的某些更改(如图标的位置、任务栏的位置及大小等),不过任务栏上的快捷方式总可以被保存。

11、 禁用Active Desktop 【活动桌面】是Windows系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。考虑性能因素,需要禁用这一功能,打开【桌面】中【Active Desktop】目录,在右侧窗格中启用【禁用Active Desktop】策略,可以禁用活动桌面。,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,3.IE浏览器设置 微软的IE浏览器让我们可以轻松地在互联网上遨游,但要想用好IE浏览器,则必须将它配置好。通过组策略可轻松实现高级配置功能。在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows 组件

12、】|【Internet Explorer】项(需添加inetres.adm模板文件),在右窗口格中列出【Internet Explorer】有关策略的具体配置。具体实例如下:,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,禁用IE浏览器的某些菜单项 例如在【浏览器菜单】目录项,启用【禁用“在新窗口中打开”菜单项】策略,在浏览器中用户右击链接,选择【在新窗口中打开】时,该命令不起作用。网页自动打开的窗口也被禁止,可达到屏蔽弹出广告窗口的效果。 禁用【Internet 选项】控制面板 如果不希望用户修改Internet Explorer的属性中的某些设置,可以禁用【Intern

13、et 选项】的某些选项卡,在【Internet 控制面板】目录中,启用【禁用常规页】、【禁用安全页】等组策略项,可在【Internet选项】中删除【常规】、【安全】等选项卡。 禁止修改IE浏览器的主页 在【工具栏】目录,启用【禁用更改主页设置】策略即可。 自定义IE工具栏 在【组策略】控制台中,展开【用户配置】|【Windows设置】|【Internet Explorer维护】|【浏览器用户界面】项,双击【浏览器工具栏按钮自定义】策略,打开其设置窗口中,在【按钮】栏中单击【添加】按钮,在【工具栏标题】中输人【我的QQ】,在【工具栏操作】中选择QQ程序的路径,最后再选择好【颜色图标】和【灰度图标

14、】的路径。添加了一个【我的QQ】按钮。,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,4.轻松实现Windows高级功能 关闭缩略图的缓存 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项,启用【关闭缩略图的缓存】策略即可。 隐藏【我的电脑】中指定的驱动器 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项,启用【隐藏“我的电脑”中的这些指定的驱动器】策略,并在列表框中选择一个驱动器或几个驱动器。 防止从【我的电脑】访问驱动器 在【组策略编辑器】中,展开

15、【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项,启用【防止从“我的电脑”访问驱动器】策略,并在列表框中选择一个驱动器或几个驱动器。 禁止使用【命令提示符】 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【系统】项,启用【阻止访问命令提示符】策略,并选择【也停用命令提示符脚本处理】项。,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,禁止更改显示属性 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【控制面板】|【显示】项,可根据需要启用【隐藏桌面选项卡】、【隐藏主题选项卡】、【隐藏保护程序选项卡】、【隐藏设置选项卡】等策略,

16、来隐藏相关属性的选项卡,用户将无法再对桌面属性进行更改。 禁用注册表编辑器 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【系统】项,启用【阻止访问注册表编辑工具】策略,禁止用户启动注册表编辑器。 禁止访问【控制面板】 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【扩展面板】项,启用【禁止访问控制面板】策略。此后用户不能使用Control.exe启动【控制面板】,开始菜单和【资源管理器】中将删除【控制面板】项。 禁用【添加/删除程序】 在【组策略编辑器】中,展开【用户配置】|【管理模板】|【添加或删除程序】项,启用【删除“添加/删除程序”】策略,用户将无法运行【添加/删除程序】。,8.2.3组策略实例2:用户配置,8.2 组策略的基本配置与实例,当用户登录计算机网络,操作系统将会通过“计算机配置”和“用户配置”中的“管理模板”策略配置用户环境。 常用的配置: 限制使用应用程序:展开【系统】项,启用【只运行许可的Windows应用程序】策略,添加允许运行的应用程序。 隐藏在控制面板中指定的图标:展开【控制面板】项,启用【隐藏指定的控制面板程序】策略,添加相

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 高中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号