《组策略配置文档.doc》由会员分享,可在线阅读,更多相关《组策略配置文档.doc(8页珍藏版)》请在金锄头文库上搜索。
1、第五章 制作网安全策略应用Windows 2000 Advanced Server的策略AGDLP原则对网络客户端做安全性设置,可以实现所有站点拥有统一的界面;可以使用户没有任何设置涉及系统安全性方面的权力,所有对安全性的设置大部分都在服务器端只设置一次,只有很少量的设置需要在各客户端设置。1建OU并加入用户和组yztvuserYzgd(用户)Yztv (全局安全组)其中,yztvuser是OU,即一个域中的组织单位,yzgd是一个用户,即在客户端登陆Windows 2000的用户名,yztv是一个全局安全组,具体创建过程如下:开始程序管理工具Active Directory用户和计算机,展开
2、左边树,如图51图51选中dyyz-右键新建组织单位,如图52图52输入组织单位名称:yztvuser,点击“确定”,创建OU结束。然后在OU上创建组,在yztvuser右键新建组,如图53图53输入组名:yztv,组作用域:全局,组类型:安全式,点击“确定”,创建组完成。同样,创建用户,在yztvuser右键新建用户,如图54图54输入需要创建的用户名登陆名:yzxw,姓名:yzxw 注:目前皆改为yzgd点击“下一步”,如图55图55输入密码,并选中:用户不能更改密码;密码永不过期,点击“下一步”,如图56图56创建完成,点击“完成”。然后修改用户属性,使其加入到yztv组中,在新建的用户
3、名上右键属性成员属于添加选中yztv添加,这样把用户添加到yztv全局安全组。若需要建立其它帐号,可依上样建立,如yzxw、yzdss、yzgz三个用户。2组策略的设置组策略使用来设置Windows登陆安全的策略,比如屏蔽客户端左面右键,开始菜单,资源管理器等。组策略针对OU,所有设置只涉及“用户配置”中的“Windows设置”和“管理模板”。21 建立策略组在组织单位yztvuser上右键属性组策略新建,如图57图57输入组策略对象链接名,即建立了策略组。22 设置登录脚本点击“编辑”该组策略对象链接名,策略组用户配置windows设置脚本(登录/注销),如图8图58双击“登录”,如图59图
4、59显示文件,将打开浏览器,然后在该文件夹中建立登录脚本文件,登录脚本针对磁盘阵列的盘符映射,如下:将该文件保存为disk.bat,这样用户登录时在本地工作站映射共享盘符。然后在图59中点击添加浏览选中disk .bat确定,这样就设定用户登录脚本。23 重定向开始菜单策略组用户配置Windows设置文件夹重定向开始菜单属性,如图510图510设置:基本,目标文件夹设置组:C:程序组,这样我们需要在每个工作站上用administrator登录后,在C盘根目录上建立文件夹“程序组”,把我们需要的软件快捷方式如:Xedit,Newsmanage拷贝到该文件夹。这样,用户登录后在开始菜单中只出现我们
5、需要的快捷方式。注意:在设置该项后,要在所有站点上以某个yztv组用户登录,然后删除系统在程序组中自动生成的快捷方式。 24 管理模板策略管理模板策略主要是用来屏蔽桌面等设置,在组策略用户配置管理模板中,对相应的策略设置启用。1)桌面的设置(位置在“管理模板”“桌面”)(1)启用“隐藏桌面上的所有图标”(2)启用“禁止添加、托、放和关闭任务栏的工具栏”(3)启用“禁用调整着桌面工具栏”2)任务栏和开始菜单的设置(位置在“管理模板”“任务栏和开始菜单”)(1)启用“从开始菜单上删除文档菜单”(2)启用“从开始菜单中删除搜索菜单”(3)启用“从开始菜单中删除收藏夹菜单”(4)启用“从开始菜单中删除
6、运行菜单”(5)启用“从开始菜单删除帮助命令”(可选)(6)启用“从开始菜单删除网络和拨号连接”(可选)(7)启用“禁用并删除Windows Update的链接”(8)启用“禁用开始菜单上的拖放上下文菜单”(9)启用“在设置菜单上禁用程序”(10)启用“将注销添加到开始菜单”(可选)(11)启用“禁止更改任务栏和开始菜单设置”(12)启用“禁用任务栏的上下文菜单” 注:在设置该项前,要在所有站点上以该用户登录,然后在任务栏右击,在“工具栏”中取消“快速启动”。(这样可以更加提高安全性,但此项设置也可以做为可选项)本项设置最好删除程序组里自动生成的快捷方式,这样可以减少工作量。(13)用“从开始
7、菜单删除公用程序组”3)限制用户网络设置权限(在“管理模板”“网络”“网络及拨号连接”)(1)启用“禁止启用/停用LAN连接”(2)启用“禁止访问LAN连接的属性”最后在工作站本地登录,并在本地Administrators组中添加dyyz- 另外一种方法:先在桌面选项内,禁用掉删除桌面上我的电脑图标,这样软件内就可以看见驱动器。然后禁用隐藏和禁用桌面上的所有项目这样桌面上能看到非编软件和我的电脑,软件里也可以用。然后在win资源管理器内防止从我的电脑访问驱动器里禁掉c,e,f盘。 每次修改完策略后要在运行里运行下 gpupdata /force 才算刷新策略成功13.002.09.0097第8页,共8页
