windows2003组策略配置、应用与管理

《windows2003组策略配置、应用与管理》由会员分享，可在线阅读，更多相关《windows2003组策略配置、应用与管理（71页珍藏版）》请在金锄头文库上搜索。

1、1第第 10 章章 组策略配置、应用与管理组策略配置、应用与管理组策略的配置与管理一直是 Windows Server 2003 域管理的重点和难点，特别是基于组策略的应用，那更是千变万化、层出不穷。其实组策略中实现的功能原来在注册表中已有体现，但是使用注册表有些功能的配置显得比较复杂，一般人难以掌握，而组策略中对这些功能的配置采取了完全不同的组织方式，更加容易掌握，所以通过组策略来实现域网络的用户、计算机桌面环境和安全策略的配置就成了日常网络管理中最常用的方法。但在组策略中的配置都会同步应用到对应的注册表项的。随着 GPMC 的应用，组策略的管理思路更加清晰，管理功能也更加强大。本节主要介绍

2、 Windows Server 2003 域中组策略 GPMC 的主要使用方法和基于组策略的一些常见应用。教学（自学）课时安排课时安排本章老师共需安排 3 个授课课时，着重介绍 GPMC 结构，主要使用、配置方法，以及组策略的一些典型应用。授课课时主要内容重点1 组策略结构 组策略对象（GPO） 组策略管理模板 使用 GPMC 前后的 组策略配置操作区别组策略对象（GPO） 组策略管理模板2新建和链接 GPO 编辑和查看 GPO 设置 更改 GPO 链接顺序和访问权限委派 组策略继承 组策略应用筛选 新建和链接 GPO 更改 GPO 链接顺 序和访问权限委派 组策略继承 组策略应用筛选3 密码

3、复杂性策略配置 限制本地登录策略配置 限制网络访问策略配置 阻止更改组成员和隶属关 系策略配置 文件夹重定向策略配置 软件安装策略配置 限制软件运行策略配置 隐藏/禁止访问光驱和 U 盘策略配置密码复杂性策略配置 限制本地登录策略配置 限制网络访问策略配置 阻止更改组成员和 隶属关系策略配置 文件夹重定向策略配置 软件安装策略配置 限制软件运行策略配置 隐藏/禁止访问光驱和 U 盘策略配置210.1 组策略基础组策略基础组策略是 Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管

4、理。它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。10.1.1 组策略结构组策略结构组策略设置主要包括：用户计算机环境（如“开始“菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP 安全策略等）。可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及 IE 的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将 GPO 与所选的Active Directory 系统容器-站点、域和组织单位相关

5、联，实现组策略设置的具体应用。还可以将 GPO 策略设置应用于 Active Directory 容器中的具体用户和计算机。组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在 GPO 中的组策略设置项中包括“计算机配置“和“用户配置“两大部分（如图 10-1 所示），这就是组策略的基本结构。而且可以看到，在这两大部分中，有许多设置项是相同的，如都有“软件设置“、“Windows 设置“和“管理模板“等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，“计算机配置“是针对计算机对象而言的，“用户配置“是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在

6、一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内 的任何其他 Windows 2000 计算机。组策略对象（GPO）的创建的最大容器是域，最小容 器是组织单位（OU） ，当然可以为各级 OU 创建不同的 GPO。不能为特定的计算机或用户3创建单独的 GPO。应用于域（即在域级别应用，刚好在“Active Directory 用户和计算机 “（ADUC）控制台的根目录之上）的组策略（也就是“域组策略“）会影响域中的所有计算 机（包括域

7、控制器）和用户。默认的域组策略是 Default Domain Policy。ADUC 还提供内 置的 Domain Controllers（域控制器）组织单位（域控制器是域网络中最大的组织单位） ， 默认使用的组策略对象是 Default Domain Controllers Policy。域控制器组策略应用于域网络 中的所有域控制器，将域控制器策略与其他计算机策略分开管理。10.1.2 组策略对象组策略对象组策略设置存储在组策略对象（GPO）中，可以使用组策略对象编辑器（gpedit.msc）来编辑每个 GPO 的设置。在安装组策略管理控制台（GPMC）后，通常从 GPMC 中打开组策略对

8、象编辑器，而不是像以前从 ADUC 中打开。GPMC.msc 可以在微软网站http:/ low 26 bits on (1 bit per drive) 8.NAME !RestNoDrives VALUE NUMERIC 0 9. END ITEMLIST 10. END PART 11. END POLICY 12. 13. POLICY !NoViewOnDrive 14. EXPLAIN !NoViewOnDrive_Help 6415. PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED 16. VALUENAME “NoView

9、OnDrive“ 17. ITEMLIST 18.NAME !ABOnly VALUE NUMERIC 3 19.NAME !COnly VALUE NUMERIC 4 20.NAME !DOnly VALUE NUMERIC 8 21.NAME !ABConly VALUE NUMERIC 7 22.NAME !ABCDOnly VALUE NUMERIC 15 23.NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 24.; low 26 bits on (1 bit per drive) 25.NAME !RestNoDrives VALUE

10、NUMERIC 0 26. END ITEMLIST 27. END PART 28.END POLICY 这两段都是以 POLICY !开始，以 END POLICY 结束。这两段分别是专门用来配置在资源管理器中隐藏指定盘符的驱动器和在资源管理器中禁止访问的驱动器。通常对于一般用户来说，仅有第一个隐藏驱动器策略就可以了，但对于一些高级用户则最好是同时禁止访问指定的驱动器。复制它，放在另一个记事本页面中，然后进行下面的编辑（直接采用一般无法达到自己的目的）。（2）原始代码中 ITEMLIST 下的 7 个列表项如下：1.NAME !ABOnly VALUE NUMERIC 3 2.NAME !

11、COnly VALUE NUMERIC 4 3.NAME !DOnly VALUE NUMERIC 8 4.NAME !ABConly VALUE NUMERIC 7 5.NAME !ABCDOnly VALUE NUMERIC 15 6.NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 7.; low 26 bits on (1 bit per drive) 8.NAME !RestNoDrives VALUE NUMERIC 0 10.3.9 禁用禁用 U 盘和光驱（盘和光驱（2）其中的; low 26 bits on (1 bit per dr

12、ive)是一个注释行，表示驱动盘符是由 26 位二进制组成的（代表 26 个盘符字母），每一位代表一个驱动器盘符。转换成十进制就为：A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，依此类推。原始代码中的 ABOnly 就相当于要同时隐藏 A、B 两个驱动器，它的取值就是这两个驱动器值的和（1+2=3）；同理 ABCDOnly 项的取值就相当于 A、B、C、D 四个盘符取值的总和65（1+2+4+8=15），与原始代码后面的 VALUE NUMERIC 值是一致的。如果值为0，表示不限制。现编辑以上策略代码。在编辑时一定要对这两个策略项同时且一致修

13、改。现假如系统中的硬盘和软驱盘符最大为 G，H 为光驱，I 为 U 盘。现在要对 H 和 I 盘的盘符进行隐藏，则只需在以下两段代码中 ITEMLIST（项目列表）的 NAME !ABCDOnly VALUE NUMERIC 15 行下面分别插入以下一行内容即可：1.NAME !HIOnly VALUE NUMERIC 384 这样一来，以上两个策略的完整代码中的 ITEMLIST 段内容都为：1.NAME !ABOnly VALUE NUMERIC 3 2.NAME !COnly VALUE NUMERIC 4 3.NAME !DOnly VALUE NUMERIC 8 4.NAME !AB

14、Conly VALUE NUMERIC 7 5.NAME !ABCDOnly VALUE NUMERIC 15 6. NAME !HIOnly VALUE NUMERIC 384 7.NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 8.; low 26 bits on (1 bit per drive) 9.NAME !RestNoDrives VALUE NUMERIC 0 【经验之谈】在驱动器隐藏中，当然可以设置隐藏非连续的驱动器。如只需要隐藏D、F 盘，则可以添加这样一行（取值是对应驱动器值相加即可）：1.NAME !DFOnly VALUE NUMERIC 40 （3）对上面代码中的所有关键字进行说明，这些都可以在 system.adm 后面的strings部分找到。新加的代码行也要在strings部分作出解释，如 NAME！HIOnly=“仅限制驱动器 H 和 I“。当然在strings部分，各关键字说明可以自定义，也可以直接从 system.adm管理模板中复制（以下为直接复制的结果）。完整的代码如下：1.CLASS USER 2.CATEGORY !WindowsExplorer 3.