网络操作系统(Windows-Server-2008)课件(共13单元)项目6组策略与安全设置

项目六 组策略与安全设置1目录目录目录目录本地计算机策略设置1域组策略设置2本地安全策略设置域与域控制器安全策略设置342前言前言前言前言组策略Windows Server 2008提供了功能强大的组策略（Group Policy），组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略，完全控制和管理网络用户和计算机的工作环境，减轻网络管理的负担。3任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【任务引入】组策略内包含着计算机配置与用户配置两部分，其中计算机配置只对计算机环境有影响，而用户配置只对用户工作环境有影响。可以通过本地计算机策略和域内的组策略两个途径来设置组策略。4任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【任务分析】本地计算机策略可以用来设置某一计算机的策略，这个策略内的计算机配置只会被应用到这台计算机，而用户配置会被应用到在此计算机登录所有用户。在进行本地计算机策略配置的时候，本任务使用未加入域的计算机，从计算机配置和用户配置两个方面来练习本地计算机策略，以免受到域内组策略的干扰，造成本地计算机策略的配置无效，因而影响到验证结果。5任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【操作步骤】1计算机配置计算机配置当要将Windows Server 2008计算机关机时，系统会要求提供关机的理由，如图6-1所示。以下实例完成后，系统就再也不会要求说明关机理由了。（1）选择“开始”“运行”，输入“GPEDIT.MSC”，单击“确定”按钮，如图6-2所示。6任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置7图6-1 关闭Windows图6-2 运行对话框任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【操作步骤】（2）弹出“本地组策略编辑器”对话框，单击“计算机配置”“管理模板”“系统”，双击右边的“显示关闭事件跟踪程序”，如图6-3所示。（3）在弹出属性对话框中选择“已禁用”，单击“确定”，如图6-4所示。完成配置以后，单击屏幕左下角的“开始”“关机”图标时，系统就会直接关机。8任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置9图6-3 本地组策略编辑器图6-4 本地组策略编辑器属性任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【操作步骤】2用户配置（1）删除“关机”、“重新启动”、“睡眠”及“休眠”命令如图6-5所示，单击“用户配置”“管理模板”“开始菜单和工具栏”。双击右边的“删除并阻止访问关机、重新启动、睡眠及休眠命令”，选择“已启用”。10任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置11图6-5“开始”菜单和工具栏任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【操作步骤】（2）删除浏览器Internet Explorer的“因特网选项”内的“高级”与“隐私”选项卡。如图6-7所示，单击“用户配置”“管理模板”“Windows组件”“Internet Explore”“Internet控制面板”。分别单击“禁用高级页”与“禁用隐私页”，选择“已启用”，此设置会立即应用到所有用户，因此当开启Internet Explorer，选择菜单“工具”“Internet选项”时，可以看到“高级”与“隐私”选项卡没有显示，如图6-8所示。12任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置13图6-6 设置页面图6-7 Internet控制面板图6-8 Internet选项任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置【操作步骤】（3）将控制面板内的“打印机”隐藏起来。如图6-9所示，单击“用户配置”“管理模板”“控制面板”，双击“隐藏指定的控制面板项”。接着如图6-10所示，选择“已启用”，单击“显示”“添加”，输入“打印机”，如图6-11所示，再依次单击3次“确定”，此设置会立即应用到所有用户，因此选择“开始”“控制面板”后可以看到，打印机没有出现在图6-12上。14任务一、任务一、任务一、任务一、本地计算机策略设置本地计算机策略设置本地计算机策略设置本地计算机策略设置15图6-9 控制面板选项图6-10 控制面板选项设置图6-11 设置控制面板选项图6-12 控制面板界面任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【任务引入】利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能，能够快速便捷的帮助管理员完成烦琐的工作。对域设置组策略将影响整个域的工作环境。16任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【任务分析】域组策略可以针对站点、域或组织单元来设置组策略，本任务只针对域与组织单元来设置。如图6-13所示，针对域来设置组策略。此策略设置会被应用到域内的所有计算机与用户，包含图中组织单元“业务部”内的所有的计算机与用户（换句话说，业务部会继承域的策略设置）。17任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置18图6-13 活动目录与计算机任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【操作步骤】1组策略设置组策略设置下例针对组织单元业务部内的用户禁止运行浏览器Internet Explorer，也就是要创建一个链接到组织单元业务部的GPO，并通过此GPO内的用户配置来禁止用户运行浏览器Internet Explorer，如图6-14所示。19任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置20图6-14 业务部的用户任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【操作步骤】1组策略设置组策略设置（1）到域控制器上使用系统管理员身份登录。（2）选择“开始”“管理工具”“组策略管理”。（3）展示组织单元“业务部”，右击“业务部”，选择“在这个域中创建GPO并在此处链接”，如图6-15所示。（4）在“新建GPO”对话框中为此GPO命名，单击“确定”按钮，如图6-16所示。（5）右击新建的GPO，选择“编辑”，如图6-17所示。21任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置22图6-16 GPO的命名图6-15 创建GPO图6-17 编辑GPO任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【操作步骤】（6）单击“用户配置”“管理模板”“系统”后，双击右边的“不要运行指定的Windows应用程序”，如图6-18所示。（7）选择“已启用”，单击“显示”“添加”，输入Internet Explorer的文件名iexplore.exe，再依次单击3次“确定”，如图6-19所示。23任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置24图6-18 用户配置GPO图6-19设置添加选项任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【操作步骤】2组策略例外排除组策略例外排除通过“测试GPO”的用户配置来禁止组织单元业务部内用户运行浏览器Internet Explorer后，业务部内的所有用户都不可以运行Internet Explorer。不过，也可以通过让此GPO不应用到特定的用户，例如业务部经理jackie，如此jackie便仍然可以运行Internet Explorer，这个操作被称为组策略筛选（group policy filtering）。25任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置【操作步骤】组织单元业务部内的用户，默认都会应用该组织单元内的所有GPO设置，因此他们对这些GPO都具有读取与应用组策略的权限。如图6-20所示，单击“测试GPO”右方的“委派”选项卡，单击“高级”，可知Authenticated Users具有这两个权限。若不想将此GPO的设置应用到用户jackie,则只要单击添加，选择用户jackie，然后将jackie的这两个权限设为“拒绝”即可，如图6-21所示。26任务二、任务二、任务二、任务二、域组策略设置域组策略设置域组策略设置域组策略设置27图6-21 用户权限设置图6-20 GPO的委派任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【任务引入】安全策略是影响计算机上安全性的安全设置组合。工作组中和域环境下都可以应用本机的安全策略，其设置方式也很相似。管理员可以利用本地安全策略编辑本地计算机上的账户和本地策略。28任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【任务分析】用户通过本地安全策略可以控制访问计算机的用户的一系列操作权限，可以授权用户使用计算机上的哪些资源，以及是否在事件日志中记录用户或者组的操作。本任务对本地安全策略进行设置，需在未加入域的计算机上操作，以免受到域内组策略的干扰。因为域内的组策略优先权较高，可能会造成本地安全策略的设置无效，因而影响到操作结果。29任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【操作步骤】（1）使用本地计算机策略中的安全设置，或者单击“开始”“管理工具”“本地安全策略”，打开“本地安全策略”窗口来设置计算机安全，这些设置包含密码策略、账户锁定策略与本地策略等，如图6-22所示。30任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置31图6-22 本地安全策略任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【操作步骤】（2）密码策略 单击“账户策略”下的“密码策略”，在右侧可以进行密码策略的设置，如图6-23所示。32图6-23 密码策略任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【操作步骤】（3）账户锁定策略单击“账户策略”下的“账户锁定策略”，在右侧可以进行用户锁定策略的设置，如图6-24所示。如设置“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定阈值”为3次无效登录，如图6-25所示。33任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置34图6-24 账户锁定策略图6-25 账户锁定策略配置任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【操作步骤】（4）用户权限分配 单击“本地策略”下的“用户权限分配”，可分配给用户或组的权限，如图6-26所示。想要分配任何一个权限给用户或组时，只要双击该权限，在弹出的对话框中单击“添加用户或组”，将用户或组加入即可，如图6-27所示。35任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置36图6-26 用户权限分配图6-27 添加用户或组任务三任务三任务三任务三 本地安全策略设置本地安全策略设置本地安全策略设置本地安全策略设置【操作步骤】（5）安全选项单击“本地策略”下的“安全选项”，在右侧可以启用或禁用相关安全设