《网络操作系统(Windows Server 2003)-电子教案-王红 第6章》由会员分享,可在线阅读,更多相关《网络操作系统(Windows Server 2003)-电子教案-王红 第6章(67页珍藏版)》请在金锄头文库上搜索。
1、网络操作系统(Windows Server 2003),主编 王红 中国水利水电出版社,第6章 组策略的管理与应用,本章主要讲解Windows Server 2003网络操作系统中的组策略。通过本章学习,读者应该掌握以下内容: 组策略的概念及结构 组策略对象的创建及作用域 组策略的继承 组策略的配置 各种安全策略的设置,6.1 组策略基础,6.1.1 组策略概述 组策略(Group Policy,简称GPO)是一组配置设置,组策略管理员应用于活动目录存储中的一个或多个对象,利用组策略控制用户的工作环境。组策略也可以控制在指定组织单位OU位置上的用户工作环境。另外,使用Active Direct
2、or站点和服务管理单元,组策略管理员可以在站点上设置组策略。,组策略包含一组设置,用来控制对象和子对象的行为。 组策略还授予用户和组权力。,组策略的功能有: 1保护用户环境 2增强用户环境,6.1.2 组策略结构,组策略是应用到活动目录存储中的一个或多个对象配置设置的集合。这些设置包含在组策略对象中。组策略对象在两个位置存储组策略的信息:容器和模板。 1.组策略对象GPO 2. 组策略容器GPC 3. 组策略模板GPT,6.2 组策略对象,组策略对象是配置组策略的基础,在设置组策略之前必须创建一个或多个组策略对象,然后通过组策略编辑器(Group Policy Editor)设置所创建的组策略
3、对象。,6.2.1 创建组策略对象,要对组策略进行管理,首先要创建组策略,创建组策略对象是创建组策略的第一步。创建组策略对象的步骤如下: (1)单击“开始”菜单,在“管理工具”子菜单中选择“Active Directory用户和计算机”命令,打开“Active Directory用户和计算机”控制台窗口,右击要建立组策略对象的域控制器下的Domain Controllers文件夹,从弹出的快捷菜单中选择“属性”命令。打开“Domain Controllers属性”对话框并选择“组策略”选项卡,如图6-1所示。,图6-1 “组策略”选项卡,图6-2 组策略创建的“全部”选项卡,(2)在该选项止中
4、单击“添加”按钮,可打开“添加组策略对象链接”对话框,其中又有三个选项卡:“域/OUs”、“站点”和“全部”三个选项卡。“域/OUs”和“全部”指定了链接到每个对象的组策略对象。“全部”选项卡允许创建和指定组策略对象,如图6-2所示。 (3)选择“全部”选项卡,单击工具栏上“创建新的组策略对象”铵钮,在“存储在本域中的所有组策略对象”文本框中出现一个新的组策略对象,输入新的组策略对象名称后,单击“确定”按钮,如图6-3所示。 (4)完成新建组策略后,返回到“组策略”选项卡,必须从中指定要管理的组策略。,图6-3 新建组策略,6.2.2 筛选GPO作用域,组策略对象中的策略仅适用于对组策略对象有
5、“读取”权限的用户,可以筛选组策略对象的范围,通过创建“安全”组,然后给所选组分配“读”权限。,。筛选GPO作用域的步骤如下: (1)在“Domain Controllers属性”对话框的“组策略”选项卡中,选择列表中的组策略对象,然后右击“属性”按扭,打开该策略的属性对话框,并选择“安全”选项卡,如图6-4所示。,图6-4 “安全”选项卡,(2)在该选项卡中单击“添加”按钮,打开“选择用户、计算机或组”对话框,在其中选择合适的用户和组,然后在“权限”列表框中,通过为用户选择合适的权限来允许或禁止组策略对象。也可以通过单击“高级”按钮,打开其高级安全设置对话框进行设置,以提供或终止对组策略对象
6、的访问,如图6-5所示。 (3)筛选完组策略的作用域后,单击“确定”铵钮即可生效。,图6-5 高级安全设置,6.2.3 组策略的继承,组策略是根据继承顺序在Active Directory中指派的。组策略首先在站点应用,然后在域内应用,最后在组织单位内应用。在小型业务环境中这个顺序可能工作得很好,但在企业环境中可能需要更复杂的组策略设计。系统还提供了进一步自定义组策略指派的继承模型选项。,1继承顺序 当组策略应用到Active Directory内的对象时,在应用修改方面就使用继承顺序。根据继承应用的位置,继承顺序确定什么策略将发生影响。例如,当两个策略为一台计算机在不同位置定义发生冲突时,继
7、承顺序将会确定什么策略会发生影响。预定义的顺序建立后,还必须保证不同的策略不会发生冲突。 组策略的继承顺序从用户或计算机对象的最远点开始应用。查看的第一个对象是站点对象,应用的策略也是通过“Active Directory站点和服务”管理单元进行管理。一旦策略加载到站点对象,下一步就是为域对象应用组策略。完成之后,在那个域内分配的组策略就会起作用。如果在站点或域级别上应用的策略与在组织单位设置的策略发生了冲突,组织单位的策略级别更高。如果计算机配置策略已经与用户配置策略同时安装,当发生冲突时用户策略设置就会覆盖计算机配置策略。,2继承选项 “覆盖继承”和“阻止继承”是进一步自定义组策略的两项特
8、性。 (1)覆盖继承 由于组策略的继承顺序,低级别的系统管理员能够覆盖较高级别上设置的组策略。,(2)阻止继承 “阻止继承”选项为系统管理员在指定的策略方面提供了其他控制。例如,为组织单位等对象所定义策略的附加控制。这个选项可以防止父容器定义的策略在自身内传递。,6.3 配置组策略对象,6.3.1 组策略配置类型 配置组策略有两个选项:计算机配置和用户配置。如图6-8所示。 组策略的配置类型都有类似的选项,但在实施时可能应用在不同的方面。组策略类型可以从“组策略”管理控制台管理单元或Active Directory管理控制台管理单元进行管理。,1、计算机配置 计算机配置设置有管理控制计算机特定
9、项目的策略。这些项目包括桌面外观、安全设置、操作系统运行、文件部署、应用程序分配和计算机启动及其关机脚本的执行。,图6-8 “组策略”控制台窗口,2、用户配置 用户配置设置用于管理控制更多用户特定项目的管理策略。这些项目中包括应用程序配置、桌面特性、分配和发行的应用程序、安全配置及登录、注销的用户脚本。每当用户登录到计算机时,就会应用用户配置组策略。,3、配置子文件夹 在图6-7中,在“计算机配置”和“用户配置”节点下有3个不同的子文件夹。虽然这些子文件夹都是很相似的,但每个设置应用的方法是由配置类型决定的,有一定的差别。子文件夹中默认包括软件设置、windows设置和管理模板。,4、软件设置
10、 软件设置用于管理软件分发组件。该组件是为计算机和用户安装的。计算机配置的软件设置存储在“计算机配置软件设置”中,而用户配置的软件设置存储在“用户配置软件设置”中。“软件安装”子文件夹用来管理应用程序的配置。,5、Windows设置 Windows设置是为了管理用户环境设置,该设置是为计算机和用户安装的。计算机配置的Windows设置是存储在“计算机配置Windows设置”中,而用户配置的Windows设置则存储在“用户配置Windows设置”中。在计算机配置的Windows设置中,有“安全设置”和“脚本”两个子文件夹。在用户配置的Windows设置中有5个子文件夹,除了“安全设置”和“脚本”
11、两个子文件夹外,还有 “文件夹重定向”、“远程安装服务”子文件夹和“IE维护”子文件夹。Windows Server 2003还提供了Intellimirro技术,通过这个技术,系统可以提供灾难恢复的功能特性。,6、管理模板 “管理模板”包含了基于注册表的策略信息。注册表内每个配置、计算机和用户都维持着自己的信息。用户配置信息存储在HKEY_CURRENT_USER中,计算机配置信息存储在HKEY_LOCAL_MACHINE中。策略用注册表存储的信息包含在这部分内,包括操作系统组件和应用程序。每个配置类型的模板都存储在名为Registry.pol的单个文件中。,6.3.2 组策略的配置,在创建
12、了组策略对象后,我们需要对组策略对象进行更完善的配置,以便更好地发挥组策略的优势。 1 组策略编辑器 使用组策略编辑器,可以为计算机、用户账号、应用程序和文件配置安全性、软件及脚本等。,图6-9 “组策略编辑器”窗口,图6-10 策略设置,2使用管理模板 管理模板是具有扩展名为.adm的文件,用于标识注册表的设置。通过使用“组策略”管理单元,可以修改注册表的设置。在“管理模板”中有两个位置可以写入。应用于“计算机配置”的设置是写在注册表的HKEY_LOCAL_MACHINE部分,应用于“用户配置”的设置是写在注册表的HKEY_CURRENT_USER部分。,图6-11 “组策略编辑器”窗口,通
13、过管理模板应用组策略的具体操作步骤如下: (1)系统管理员以Administrator身份登录到服务器上,单击“开始”菜单,在“管理工具”子菜单中选择“Active Directory用户和计算机”命令,打开“Active Directory用户和计算机”控制台窗口,右击要建立组策略对象的域控制器下的domain Controllers文件夹,从快捷菜单中选择“属性”命令,在打开的“属性”对话框中选择“组策略”选项卡,从中选择“Default Domain Controllers Policy”项,并单击“编辑”按钮。,图6-12 应用组策略窗口,(2)在“显示”项目的设置选项中选择“可执行的
14、屏幕保护程序名称”选项,打开该选项的“属性”对话框,即可启用域的组策略。如图6-13所示。,(3)在“设置”选项卡中选择“已启用”单选按扭,在“可执行的屏幕保护程序的名称”文本框中输入logon.scr,然后单击“确定”铵钮,如图6-14所示。,图6-14启用策略,(4)然后,在“显示”项目的设置选项中选择“密码保护屏幕保护程序”选项,打开该选项的“属性”对话框,启用该策略。这样就启用了这两个策略。策略一旦被启用,就会立即起作用。,3使用脚本 脚本用于管理用户环境。Windows 2003支持的脚本有:计算机启动、关机、用户登录、用户注销。,图6-15 “脚本”的具体设置选项,添加脚本到组策略
15、中的具体操作步骤如下: (1)在“组策略编辑器”窗口依次展开“计算机配置”|“windows设置”|节点,选择“脚本”选项,这时在右边的窗格中看到详细的选项设置,如图6-15所示。 (2)在右边窗格的选项中右击“启动”选项,从弹出的快捷菜单中选择“属性”命令,打开其“属性”对话框,如图6-16所示。,图6-16 “启动属性”对话框,4文件夹重定向 用“文件重定向”可以把位于用户配置文件的多个文件夹重定向到其他位置。例如,网络共享的位置。这些文件夹是Application Data、“开始”菜单、My Documents和桌面。这样如果我们把用户的“我的文档”文件夹重定向到serverusern
16、ame,那么当用户从一台计算机漫游到另一台计算机时,其“我的文档”文件夹仍然可以使用;而且这样也允许用户对文档进行备份。文件夹重定向的好处还在于当用户从网络脱机时,通过使用“脱机文件夹”,用户还可以使用“我的文档”。,使用“文件夹重定向”,是从“用户配置”节点完成的。为用户重定向文件夹的步骤如下: (1)在“组策略编辑器”窗口依次展开“用户配置”|“Windows设置”|“文件夹重定向”节点,这时会在右边的窗格中看到“文件夹重定向”的详细选项设置,如图6-18所示。,图6-18 “文件夹重定向”的详细选项,图6-19 “我的文档 属性”对话框 图6-20 “目标”选项卡,图6-19 “我的文档 属性”对话框图6-20 “目标”选项卡 (2)从“文件夹重定向”选项中右击“我的文档”选项,从弹出的快捷菜单中选择“属性”命令,打开其“属性”对话框,如图6-19所示。 (3)在“我的文档属性”对话框的“目标”选项卡中的“设置”下拉列表中可以选择“基本-将每个人的文件夹重定向到同一个位
