《实用网络操作系统 第2版 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 史宝会 第08章.组策略》由会员分享,可在线阅读,更多相关《实用网络操作系统 第2版 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 史宝会 第08章.组策略(58页珍藏版)》请在金锄头文库上搜索。
1、人民邮电出版社,第8章 组策略,人民邮电出版社,主要内容,8.1 组策略概述 8.2 组策略对象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序,人民邮电出版社,8.1 组 策 略 概 述,组策略就是修改注册表中的配置。 组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内(域控制器“%systemroot%SYSVOLsysvol域名Policies”目录下)。,人民邮
2、电出版社,8.1.1 组策略简介,计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有计算机。 用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有用户。 本地组策略,它是针对每一台Windows 2000 Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%system32GroupPolicy”目录内,只针对本地计算机和本地用户。,人民邮电出版社,8.1.2
3、组策略的应用顺序与规则 如果在本地计算机、站点、域和组织单位内分别设置了组策略,则这些组策略的应用顺序为:本地组策略(即本地安全策略,存储在本地计算机内);站点的组策略;域的组策略;组织单位的组策略(后3项的数据存储在活动目录内)。,人民邮电出版社,具体的应用规则说明如下。 (1)如果在父容器内建立了一个组策略,但是并未在子容器建立组策略,则子容器会继承在父容器内所建立的组策略。 (2)如果另外在子容器内建立了组策略,在默认情况下子容器的组策略则要取代父容器的组策略。 (3)如果父容器未被设置组策略,则子容器不会继承父容器的组策略。 (4)如果父容器设置了组策略,但是子容器内的组策略并未设置,
4、则子容器会继承父容器的组策略。,人民邮电出版社,存在这样一些机制:用户可以强制继承或阻止组策略对象影响用户组和计算机组,这可以通过“禁止替代”和“阻止策略继承”的设置来实现。 特别要指出的是,组策略不影响安全组。但是可以使用安全组来过滤组策略,也就是改变它的范围。,组策略的特性,人民邮电出版社,8.1.3 组策略的继承 一、阻止组策略继承 在子容器组策略内,可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容器的组策略为其设置。 二、强迫继承策略 在父容器的组策略内,可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置,而不管子容器的组策略内
5、是否设置了“阻止策略继承”,即“强迫继承”策略的优先级要高于“阻止策略的继承”,人民邮电出版社,8.1.4 组策略和AD,GPO是一种与域、地址或组织单元相联系的物理策略,GPO包括文件和AD对象,要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Windows Server 2003服务器和工作站都可以采用它 访问本地GPO的方法 MS-DOS命令窗口:gpedit.msc MMC控制台中选择GPO插件,人民邮电出版社,8.2 组策略对象,一、根据不同的计算机,设置不同的组策略 1域控制器 开始程序管理工具域控制器安全策略 2成员服务器、独立服务器 控制面
6、板管理工具本地安全策略 3Windows XP/2000 Professional 控制面板管理工具本地安全策略,人民邮电出版社,二、利用“Active Directory用户和计算机”设置组策略,人民邮电出版社,8.2.1 更改组策略 在默认情况下,只有某些组内的用户账户(如administrators组内的账户)才可以在域控制器上登录,而一般用户无法在域控制器上登录。,人民邮电出版社,8.2.2 测试“在本地登录”策略是否正常 策略设置好后,并不是立即生效,因为针对域所设置的策略,此域内的计算机(包括域控制器)往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效,必须利用以
7、下3种方式之一来达到目的。,人民邮电出版社,8.2.2 测试“在本地登录”策略是否正常,一、使组策略生效 二、测试组策略的效果 添加新用户重新启动/注销计算机用新用户帐号登录,人民邮电出版社,8.3 管理模板策略的设置,管理模板策略的设置: (1)隐藏用户桌面的“网上邻居”和“我的文档”图标。 (2)将“开始”菜单中的“运行”、“文档”等命令删除。 (3)在“开始”菜单中添加“注销”的功能。,人民邮电出版社,8.3.1 建立组织单位与用户账户,Active Directory用户和计算机 新建组织单元(Beijing) 在新建和组织单元中新建用户(john),人民邮电出版社,8.3.2 设置与
8、测试组策略的替代功能,设置与测试组策略的功能,可以先在“Beijing”组织单位内建立一个GPO,然后利用“Beijing”组织内的用户账户“John”来验证GPO的设置是否有效,然后再利用“School”子组织单位中的用户账户“Lili”登录,来验证“School”子组织单位是否会继承“Beijing”组织单位的GPO设置。,人民邮电出版社,然后再在“School”子组织单位中建立一个新的GPO,利用“Lili”登录来验证在子容器中设置的组策略是否替代了父容器中的组策略。,人民邮电出版社,图8-158-26 一、设置“Beijing”组织单位的“GPO” 二、测试组策略的应用 三、测试组策略
9、在子组织单位中的应用 四、设置School的组策略 五、测试School子组织单位组策略的应用,人民邮电出版社,8.3.3 拒绝继承组策略 在子组织单位的GPO内,若有些策略被设置为“未被配置”,则子组织单位内的这些设置将继承父组织单位内的设置。但是却可以在子组织单位的GPO内,通过“阻止策略继承”复选框,将子组织单位的GPO设置为不要继承父组织单位的设置。,人民邮电出版社,8.3.4 强迫继承组策略 用户可以在父组织单位内,设置强迫其所有的子组织单位必须继承父组织单位的GPO设置。那就是父组织单位的“禁止替代”功能。通过GPO的“选项”按钮打开如图8-27所示的对话框,进行设置。,人民邮电出
10、版社,8.4 账户策略的设置,一、账户策略设置的注意事项 (1)若针对域设置的账户策略,则这个策略会应用到域内的所有计算机。 (2)若针对某个组织单位设置账户策略,则这个策略只会应用到这个组织单位内的计算机而已,不会影响到其他的计算机。,人民邮电出版社,二、设置账户策略的步骤 开始程序管理工具Active Directory用户和计算机 在域或组织单位右键属性组策略,选定GPO编辑,人民邮电出版社,8.4.1 密码策略 密码策略包含多个与用户账户的密码有关的选项,如图8-29所示。,人民邮电出版社,8.4.2 账户锁定策略 单击图8-29窗口中的“账户锁定策略”,显示如图8-32所示的窗口。,
11、人民邮电出版社,8.5 本地策略的设置,8.5.1 用户权利指派策略 开始程序管理工具Active Directory用户和计算机 域或组织单位上单击鼠标右键属性组策略选定GPO编辑 计算机配置Windows设置安全设置本地策略用户权利指派用户权利指派。,人民邮电出版社,图8-35 安全选项,人民邮电出版社,常用的用户权力指派中包括以下选项。 (1)在本地登录:允许用户在本台计算机上按CTRL+ALT+DEL键登录。 (2)域中增加工作站:允许用户将Windows NT/Windows 2000计算机加入到域内。 (3)关闭系统:允许用户关闭此计算机。 (4)从网络访问此计算机。,人民邮电出版
12、社,(5)从远端计算机来关闭此计算机。 (6)备份文件和目录。 (7)还原文件和目录。 (8)管理审核和安全日志。 (9)更改系统的时间。 (10)装载和卸载设备驱动程序。 (11)取得文件或其他对象的所有权。,人民邮电出版社,8.5.2 安全选项策略 设置步骤:打开“Active Directory用户和计算机”对话框,在域或组织单位上单击鼠标右键,在弹出的快捷菜单中选择“属性”在对话框中选择“组策略”,选定GPO,单击“编辑”按钮,在打开的窗口中单击“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”,打开如图8-35所示的窗口。,人民邮电出版社,图8-35 安全选项,
13、人民邮电出版社,常用的安全策略包括以下选项。 (1)登录屏幕上不要显示上次登录的用户名。 (2)允许在未登录前关机。 (3)在密码到期前提示用户更改用户密码。 (4)禁用按Ctrl+Alt+Del进行登录的设置。 (5)只有在本地登录的用户才能访问CD-ROM。,人民邮电出版社,8.6 登录/注销、启动/关闭脚本,8.6.1 登录/注销脚本的设置 登录/注销脚本用于指定用户登录或注销计算机时运行的脚本。 登录/注销脚本是可选的。,人民邮电出版社,8.6.2 启动/关闭脚本的设置 启动/关闭脚本是针对计算机进行的设置,当所有使用此计算机的用户启动和关闭计算机时,预先设置好的启动或关闭脚本就可以执
14、行。启动/关闭脚本的设置与登录/注销脚本的设置步骤十分相似。,人民邮电出版社,启动脚本文件名称为startup.vbs,文件内容为:wscript.echo“Welcome to Windows Server 2000”。 关闭脚本文件名称为shutdown.vbs 文件内容为:wscript.echo“Windows 2000 will be shut down, goodbye”。,人民邮电出版社,8.7 部署应用程序,部署应用程序包括如下内容。 (1)将应用程序发布(发行)给用户 (2)将应用程序指派给用户或计算机 (3)自动修复应用程序 (4)删除用户应用程序,人民邮电出版社,8.7.
15、1 发布应用程序 图8-468-51 一、发布应用程序 二、安装被发布的应用程序 三、测试自动修复应用程序功能,人民邮电出版社,8.7.2 给用户指派应用程序 给用户指派应用程序与给用户发布应用程序的方法基本一致,首先建立包含Windows安装程序包的文件夹。接下来设置默认程序包位置,最后给用户指派应用程序,只需要将给用户发布应用程序中的步骤(7)中的部署软件的类型由“已发行”改为“已指派”即可,人民邮电出版社,图8-52 指派应用程序,人民邮电出版社,8.7.3 给计算机指派应用程序,人民邮电出版社,8.7.4 更改部署应用程序的设置,人民邮电出版社,8.7.5 文件夹重定向 可以利用组策略
16、将一些Windows Server 2003内的特殊文件夹的存储位置,重定向到网络上的其他位置。所谓的特殊文件夹,是指如“我的文档”、“my pictures”等数据的存储位置。一般情况下,这些文件夹是在本地计算机内,如可以单击“我的文档”属性“目标文件夹”将此文件夹的存储位置指定到网络上的其他计算机内。,人民邮电出版社,通过以下两种方式来重定向文件夹。 (1)针对每个用户设置,也就是将每个用户的文件夹重定向。 (2)针对某个组设置,组内所有用户的文件夹都将被重定向。,人民邮电出版社,8.8 事件查看器,事件查看器允许用户监视用户系统事件。 它保存用户计算机上的程序、安全和系统事件的日志。 Windows Server 2003操作系统的事件日志文件主要分类 一、系统日志 二、应用程序日志 三、安全日志 四、目录服务日志,人民邮电出版社,8.8.1 查看事件记录,一、打开事件查看器方式 开始程序管理工具事件查看器,人民邮电出版社,二、事件查看器内容,(1)
