收藏
下载资源

活动目录组策略

上传人:桔**** 文档编号:567656850 上传时间:2024-07-21 格式:PPT 页数:80 大小:524.01KB
返回 下载 相关 举报
活动目录组策略_第1页
第1页 / 共80页
活动目录组策略_第2页
第2页 / 共80页
活动目录组策略_第3页
第3页 / 共80页
活动目录组策略_第4页
第4页 / 共80页
活动目录组策略_第5页
第5页 / 共80页
点击查看更多>>
资源描述

《活动目录组策略》由会员分享,可在线阅读,更多相关《活动目录组策略(80页珍藏版)》请在金锄头文库上搜索。

1、组策略主要内容8.1 组策略概述8.2 组策略对象 8.3 管理模板策略的设置8.4 账户策略的设置8.5 本地策略的设置8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序8.1 组 策 略 概 述组策略就是修改注册表修改注册表中的配置。组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。组策略可以针对站点、域和组织单位设置。这些组策略的数据存存储储在在活活动动目目录录内(域控制器“%systemroot%SYSVOLsysvol域名Policies”目录下)。8.1.1 组策略简介计算机配置:当计算机启动时,就会根据“

2、计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有计算机。用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有用户。本地组策略:它是针对每一台Windows 2000 Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%system32GroupPolicy” 目录内,只针对本地计算机和本地用户。8.1.2 组策略的应用顺序与规则 如果在本地计算机、站点、域和组织单位内分别设置了组策略,则这些组策略

3、的应用顺序为:1.本地组策略(即本地安全策略,存储在本地计算机内);2.站点的组策略;3.域的组策略;4.组织单位的组策略(后3项的数据存储在活动目录内)。 具体的应用规则说明如下:(1)如果在父容器内建立了一个组策略,但是并未在子容器建立组策略,则子容器会继继承承在父容器内所建立的组策略。(2)如果另外在子容器内建立了组策略,在默认情况下子容器的组策略则要取代取代父容器的组策略。(3)如果父容器未被设置组策略,则子容器不不会会继承继承父容器的组策略。(4)如果父容器设置了组策略,但是子容器内的组策略并未设置,则子容器会继继承承父容器的组策略。 存在这样一些机制:用户可以强强制制继承或阻阻止止

4、组策略对象影响用户组和计算机组,这可以通过“禁禁止止替替代代”和“阻止策略继承阻止策略继承”的设置来实现。 特别要指出的是,组策略不不影影响响安全组。但是可以使用安全组来过滤过滤组策略,也就是改变它的范围。组策略的特性组策略的特性8.1.3 组策略的继承一、阻止组策略继承在子容器组策略内,可以通过“阻止策略继承”复选框来设置不不要要继继承承由父容器传递的组策略设置,也就是直接以子容器的组策略为其设置。二、强迫继承策略在父容器的组策略内,可以通过“禁禁止止替替代代”复选框来强强迫迫子容器必须继继承承由父容器传送的组策略设置,而不不管管子容器的组策略内是否设置了“阻止策略继承”,即“强迫继承”策略

5、的优先级要高高于“阻止策略的继承”。8.1.4 组策略和AD GPO是一种与域、地址或组织单元相联系的物物理理策策略略,GPO包括文件和AD对象,要充分发挥GPO的功能,需要有AD域架构的支支持持,利用AD可以定义一个集中的策略,所有的Windows Server 2003服务器和工作站都可以采用它。访问本地GPO的方法: 1.MS-DOS命令窗口:gpedit.msc 2.MMC控制台中选择GPO插件8.2 组策略对象 一、根据不同的计算机,设置不同的组策略1域控制器开始程序管理工具域控制器安全策略 2成员服务器、独立服务器控制面板管理工具本地安全策略 3Windows XP/2000 Pr

6、ofessional控制面板管理工具本地安全策略二、利用二、利用“Active Directory“Active Directory用户和计算机用户和计算机”设置组策略设置组策略图8-1 组策略8.2.1 更改组策略 在默认情况下,只有某些组内的用户账户(如administrators组内的账户)才可以在域控制器上登录,而一般用户无法在域控制器上登录。 图8-2 更改组策略8.2.2 测试“在本地登录”策略是否正常 策略设置好后,并不不是是立立即即生生效效,因为针对域所设置的策略,此域内的计算机(包括域控制器)往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效,必须利用以下3

7、种方式之一来达到目的。8.2.2 测试“在本地登录”策略是否正常一、使组策略生效1.运行命令: Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police2.重新启动/注销计算机3.等待此策略应用到计算机图图8-3 8-3 打开组策略打开组策略测试组策略的效果利用administrator账号登录“开始” “程序” “管理工具”“Active Directory用户和计算机”在User组织单位上右键“新建”普通用户账户使策略应用到计算机用新建账号重新登录8.3 管理模板策略的设置管理模板策略的设置:(1)隐藏用户

8、桌面的“网上邻居”和“我的文档”图标。(2)将“开始”菜单中的“运行”、“文档”等命令删除。(3)在“开始”菜单中添加“注销”的功能。8.3.1 建立组织单位与用户账户管理工具Active Directory用户和计算机 新建组织单元(Beijing)在新建和组织单元中新建用户(john)。图8-4 新建对象8.3.2 设置与测试组策略的替代功能 设置与测试组策略的功能,可以先在“Beijing”组织单位内建建立立一个GPO,然后利用“Beijing”组织内的用户账户“John”来验验证证GPO的设置是否有效,然后再利用“School”子组织单位中的用户账户“Lili”登登录录,来验验证证“S

9、chool”子组织单位是是否否会会继继承承“Beijing”组织单位的GPO设置。 然后再在“School”子组织单位中建建立立一个新的GPO,利用“Lili”登录来验验证证在子容器中设置的组策略是否替代是否替代了父容器中的组策略。一、设置设置“Beijing”组织单位的“GPO”二、测试测试组策略的应用三、测试测试组策略在子组织单位中的应用四、设置设置School的组策略五、测试测试School子组织单位组策略的应用 8.3.3 拒绝继承组策略在子组织单位的GPO内,若有些策略被设置为“未未被被配配置置”,则子组织单位内的这些设置将继继承承父组织单位内的设置。但是却可以在子组织单位的GPO内

10、,通过“阻阻止止策策略略继继承承”复选框,将子组织单位的GPO设置为不要继承不要继承父组织单位的设置。8.3.4 强迫继承组策略 用户可以在父组织单位内,设设置置强强迫迫其所有的子组织单位必必须须继继承承父组织单位的GPO设置。那就是父组织单位的“禁禁止止替替代代”功能。通过GPO的“选项”按钮打开如图8-5所示的对话框,进行设置。图8-5 继承组策略8.4 账户策略的设置一、账户策略设置的注意事项一、账户策略设置的注意事项(1)若针对域域设设置置的账户策略,则这个策略会应用到域内的所有计算机所有计算机。(2)若针对某某个个组组织织单单位位设置账户策略,则这个策略只会应用到这个组组织织单单位位

11、内内的的计计算算机机而已,不会影响到其他的计算机。二、设置账户策略的步骤二、设置账户策略的步骤 开始程序管理工具Active Directory用户和计算机在域或组织单位右键属性组策略选定GPO编辑图8-6 账户策略8.4.1 密码策略密码策略包含多个与用户账户的密码有关的选项,如图8-7所示:图8-7 密码策略8.4.2 账户锁定策略单击图8-7窗口中的“账户锁定策略”,显示如图8-8所示的窗口:图8-8 账户锁定策略8.5 8.5 本地策略的设置本地策略的设置8.5.1 用户权利指派策略开始程序管理工具Active Directory用户和计算机域或组织单位上单击鼠标右键属性组策略选定GP

12、O编辑计算机配置Windows设置安全设置本地策略用户权利指派用户权利指派。图8-9 安全选项 常用的用户权力指派中包括以下选项:(1)在在本本地地登登录录:允许用户在本台计算机上按CTRL+ALT+DEL键登录。(2)域域中中增增加加工工作作站站:允许用户将Windows NT/Windows 2000计算机加入到域内。(3)关闭系统关闭系统:允许用户关闭此计算机。(4)从网络访问访问此计算机。(5)从远端计算机来关闭关闭此计算机。(6)备份备份文件和目录。(7)还原还原文件和目录。(8)管理管理审核和安全日志。(9)更改更改系统的时间。(10)装载和卸载装载和卸载设备驱动程序。(11)取得

13、取得文件或其他对象的所有权所有权。8.5.2 安全选项策略 设置步骤:1.1.打打开开“Active Directory用户和计算机”对话框2.在域或组织单位上单击鼠标右键右键3.在弹出的快捷菜单中选择“属属性性”在对话框中选择“组策略”4.选定GPOGPO5.单击“编辑编辑”按钮6.在打开的窗口中单击“计算机配置计算机配置”7.“WindowsWindows设置设置”8.“安全安全设置”9.“本地本地策略”10.“安全安全选项”图8-10 安全选项 常用的安全策略包括以下选项:(1)登录屏幕上不要显示不要显示上次登录的用户名。(2)允许允许在未登录前关机。(3)在密码到期前提示提示用户更改用

14、户密码。(4)禁用禁用按Ctrl+Alt+Del进行登录的设置。(5)只有在本地登录的用户才能访问访问CD-ROM。8.6 登录/注销、启动/关闭脚本 8.6.1 登录/注销脚本的设置 登录/注销脚本用于指指定定用户登录或注销计算机时运行的脚本。登录/注销脚本是可选可选的。8.6.2 启动/关闭脚本的设置 启动/关闭脚本是针对计算机进行的设置,当所有使用此计算机的用户启动和关闭计算机时,预先设置好的启动或关闭脚本就可以执行。启动/关闭脚本的设置与登录/注销脚本的设置步骤十分相似。启动脚本文件名称为:startup.vbs文件内容为:wscript.echo“Welcome to Windows

15、 Server 2000”。关闭脚本文件名称为:shutdown.vbs 文件内容为:wscript.echo“Windows 2000 will be shut down, goodbye”。8.7 部署应用程序部署应用程序包括如下内容:(1)将应用程序发布发布(发行)给用户(2)将应用程序指派指派给用户或计算机(3)自动修复自动修复应用程序(4)删除删除用户应用程序8.7.1 发布应用程序一、发布发布应用程序二、安装安装被发布的应用程序三、测试测试自动修复应用程序功能8.7.2 给用户指派应用程序 给用户指派应用程序与给用户发布应用程序的方法基本一致:1.首先建立包含Windows安装程序

16、包的文件夹文件夹2.接下来设置默认程序包位置位置3.最后给用户指派指派应用程序只需要将给用户发布应用程序中的步骤部署软件的类型由“已发行已发行”改为“已指派已指派”即可。图图8-11 指派应用程序指派应用程序 8.7.3 给计算机指派应用程序图8-12 新建程序包 8.7.4 更改部署应用程序的设置图8-13 删除任务 8.7.5 文件夹重定向 可以利用组策略将一些Windows Server 2003内的特殊文件夹的存储位置,重定向到网络上的其他位置。特殊文件夹,是指如“我的文档”、“my pictures”等数据的存储位置。一般情况下,这些文件夹是在本本地地计计算算机机内内,如可以单击“我

17、的文档”属性“目标文件夹”将此文件夹的存储位置指定到网络上的其他计算机内。 通过以下两种方式来重定向文件夹: (1)针对每个用用户户设置,也就是将每个用户的文件夹重定向。 (2)针对某个组组设置,组内所有用户的文件夹都将被重定向。8.8 事件查看器 事件查看器允许用户监视监视用户系统事件。它保存保存用户计算机上的程序、安全和系统事件的日志。Windows Server 2003操作系统的事件日志文件主要分类:一、系统日志 二、应用程序日志 三、安全日志 四、目录服务日志 8.8.1 查看事件记录 一、打开事件查看器方式 开始程序管理工具事件查看器 图8 -14 事件查看器二、事件查看器内容 (

18、1)日期与时间:事件被记录的日期与时间。(2)来源:记录此事件的程序名称。(3)类型:事件所属的类型,包括信息、警告或错误等。(4)分类:产生事件的程序会将事件信息分类。(5)事件:每个事件都被赋予一个惟一的标号,即事件ID。(6)用户:事件发生时,哪个用户正在使用此计算机,或事件由哪个用户制造出来的。(7)计算机:事件发生所在的计算机名称。 三、事件查看器显示的事件类型 (1)错误:记录Windows Server 2003操作系统所产生的错误,记录的是重重要要的问题,例如数据丢失或功能丧失。(2)警告:并不是非常严重,但有可能说明将来的潜在问题潜在问题的事件。(3)信息:描述了应用程序、驱

19、动程序或服务的成功操作的事件事件。(4)成功审核:成功成功的审核安全访问尝试。(5)失败审核:失败失败的审核安全登录尝试。8.8.2 设置日志文件的大小 图图8-14 设设设设置置置置日日日日志志志志文文文文件件件件的的的的大大大大小小小小 8.8.3 筛选事件日志中的事件 一、事件搜索 1.1.所有所有事件搜索2.2.特定特定事件搜索 选择需要查找的事件类型、事件来源、类别、事件ID、用户和计算机等相匹配的事件。二、事件筛选可以针对事件的类型、事件来源、产生事件的计算机、事件ID、产生事件的用户、事件的起始/结束时间来设置要显示的事件。三、显示事件信息 根据用户需求需求显示事件不同的信息。8

20、.8.4 存储日志文件 存储事件日志的文件格式:(1)日志文件格式(*.evt)(2)纯文本文件格式(*.txt) (3)逗号分隔的文本文件格式(*.csv) 8.9 审核资源的使用 要审核用户访问资源的步骤:(1)设置审核策略必须是具备Administrator权限的用户才有权利设置审核策略。(2)设置要审核的资源:必须具备“管理审核及安全日志”权利的用户才可以审审核核资源的使用情况,默认是只有Administrators组内的成员才有权利。可以利用组策略内的用户权利指派指派策略给予其他用户这个权利。8.9.1 审核策略的设置 一、审核策略设置的途径1域控制器 2成员服务器、独立服务器 3W

21、indows XP/2000 Professional 二、在整个域上设置审核策略三、测试与查看审核策略的设置 在“Active Directory用户和计算机”中,在Users内新建用户账户user1、user2来审核账户管理策略的应用;在事件查看器的安全日志部分,可以看到新建账户的操作被成功审核。8.9.2 审核文件与文件夹的访问操作 一、设置对文件或文件夹的审核策略 二、设置被审核的资源与用户 三、测试与查看审核设置 用新用户登录测试策略的可用性。8.9.3 审核打印机的访问操作 为打印机添加、删除、查看或编辑审核项目 图图8-15 审审审审核核核核打打打打印印印印机机机机的的的的访访访访问问问问操操操操作作作作 8.9.4 审核访问活动目录对象的操作 一、设置“审核目录服务访问”策略 二、测试与查看审核设置 在Users组织单位内将用户账号user1加入组Domain Admins。 图图8 8- -1 15 5 审审核核目目录录服服务务访访问问本 章 小 结1.组策略是Windows Server 2003操作系统中提供的一种重要的更新和配置管理技术。2.可实现的功能包括安全设置、软件安装、脚本的设置、计算机启动与关闭、用户登录和注销、文件夹重定向等。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号