《实验八组策略》由会员分享,可在线阅读,更多相关《实验八组策略(71页珍藏版)》请在金锄头文库上搜索。
1、Unit 8配置组策略配置组策略 实验目的了解并掌握组策略的配置。实验内容通过使用组策略来实现计算机及用户安全 1组策略 可以使用“组策略”为用户和计算机组定义用户和计算机的配置 “组策略”配置包含在一个“组策略对象”(GPO) 中,该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联 组策略对象包括两种对象本地的组策略对象 非本地的组策略对象2组策略结构 组策略对象(Group Policy Object)实现组策略设置的机制是组策略对象,它包含了设定好的设置组策略对象(GPO) 由GPC和GPT两部分构成GPT(Group Policy Templ
2、ate ),包含所有的组策略的设置和信息(systemroot/SYSVOL/sysvol)GPC(Group Policy Container),包含GPO属性和版本信息的活动目录对象(活动目录用户和计算机 系统 策略)3组策略结构 计算机和用户的组策略设置通过使用组策略中各自的计算机配置和用户配置节点来推行网络中计算机当计算机策略和用户策略发生冲突时,计算机策略覆盖用户策略组策略对象和活动目录容器GPO和站点、域以及组织单位相连接或关联。在将GPO和站点、域或组织单位链接后, GPO的设置将应用在站点、域或组织单位的用户和计算机上4组策略 存储在域控制器中的非本地组策略对象只能在Activ
3、e Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。 本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。 使用组策略,我们可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略,对用户和计算机进行管理 5实现组策略的前提 运行在活动目录上,组策略是在活动目录的最大应用 组策略依赖于Windows操作系统 6组策略应用顺序 唯一的本地组策略对象。站点组策略对象,按照行政管理指定的顺序。域组策略对象,按照行政管理指定的顺序。对于组织单位组策略对象,按照从大组织单位到小的
4、组织单位顺序(从父组织单位到子组织单位),而在每个组织单位级别中,则按照行政管理指定的顺序。默认情况下,这些策略不一致时,后应用的策略将覆盖以前应用的策略7组策略 组策略包括应用于域或计算机组的大量安全权限配置文件 一个组策略对象可以应用到局域网内的所有计算机 组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点,这个组策略会应用到父等级以下所有站点,包括每个容器中的用户和计算机对象策略设置是在域范围内进行的 组策略有100多个与安全有关的设置和450多个基于注册表的设置,为管理用户计算机环境提供了众多的选项,某一选项一旦被设置将会作用于登录到域上的所有用户和工作站 8
5、实施组策略安全管理 分别从服务器和工作站两方面进行 应在服务器上安装活动目录服务 在域上实施组策略 将工作站置于服务器所管理的域中9组策略中的管理模板 .adm文本文件 为组策略管理模板项目提供策略信息 系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件 System.adm:默认情况下安装在“组策略”中,用于系统设置Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置Wmplayer.adm:用于Windows Media Player 设置Conf.adm:用于NetMeeting 设置10组策略控制台 组策略对象为当前的计算机 开始
6、 运行 gpedit.msc 确定11组策略控制台 组策略对象为其他的计算机 开始 运行 MMC 确定“控制台”菜单 添加/删除管理单元 “独立”选项卡 添加“可用的独立管理单元”对话框 组策略 添加“选择组策略对象”对话框 “本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象 (对于不包含域的计算机系统 ,只有“计算机”标签,而没有其他标签项目 )组策略管理单元即打开要编辑的组策略对象 12组策略控制台 13组策略控制台 14组策略控制台 15组策略控制台 16组策略控制台 17组策略控制台 18组策略控制台 19在活动目录中应用组策略设置 组策略是如何被处理的 当计算机
7、启动时,针对计算机的设置生效,启动脚本运行当用户登录时,针对用户的设置生效,登录脚本运行施加的顺序为:本机 站点 域 OU解决组策略之间的冲突 如果组策略设置间存在冲突,将采用最新设置而忽略其他设置,除非用户设置和计算机设置冲突。而在大多数场合,计算机设置高于用户设置母容器的GPO设置和子容器的GPO设置冲突。当这种情况发生时,子容器的设置后执行并发挥作用连接到同一容器上的不同GPO的设置发生冲突。当这种情况发生时,在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用20实现组策略问题:在OU中用户对象最终组策略是什么,为什么? GPO1:确定“Favorites”出现在“St
8、art”菜单中的组策略设置上GPO2:要求输入至少一个含有11个字符的密码的组策略设置GPO3:从开始菜单中移动Windows更新图标中的“Start”菜单设置GPO4:确保Windows更新图标在“Start”菜单中并从“Start”菜单中删除“Favorites”的“Start”菜单设置GPO1SiteDomainOUGPO2GPO3GPO421实现组策略最终策略设置是 用户密码至少为11个字符Windows更新图标在“Start”菜单中出现“Favorites”不出现在“Start”菜单中从“Start”菜单里移去“Favorites”的组策略设置必须在确保它已在“Start”菜单中出现
9、后执行22修改组策略的继承性允许阻止继承阻止继承将不允许子容器从母容器那里继承GPO的组策略设置。允许在一子容器阻止继承将阻止容器所有的组策略设置而不是单个设置。当活动目录的容器需要唯一的组策略设置和需要确保设置不被继承时这一功能很有用允许不重写Windows不受阻止继承性设置和通常的冲突解决方式的影响而沿着活动目录树执行GPO。防止其它的组策略对象替代这个组对象的策略集筛选组策略设置用来修改组策略继承性的另一种方式。筛选将允许读者阻止一个GPO和它的设置应用于一容器内部的特定的计算机、用户以及安全组23组策略的类型用户配置 计算机配置在“用户配置”和“计算机配置”中均包含三个方面的内容软件设
10、置Windows设置管理模板 24添加“策略模板” 25添加“策略模板”26隐藏桌面的系统图标 27隐藏桌面的系统图标 28个性化“任务栏”和“开始”菜单 个性化“任务栏”和“开始”菜单29个性化“任务栏”和“开始”菜单 个性化“任务栏”和“开始”菜单30IE设置 IE设置(需添加inetres.adm模板文件 )31IE设置 IE设置(需添加inetres.adm模板文件 )32IE设置 IE设置(需添加inetres.adm模板文件 )33IE设置 IE设置(需添加inetres.adm模板文件 )34IE设置 IE设置(需添加inetres.adm模板文件 )35IE设置 IE设置(需添
11、加inetres.adm模板文件 )36IE设置 IE设置(需添加inetres.adm模板文件 )37IE设置 IE设置(需添加inetres.adm模板文件 )38Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm )39Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm )40Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm )41屏蔽使用所有 Windows Upd
12、ate 功能的访问 屏蔽使用所有 Windows Update 功能的访问42在Windows XP/2003中实现远程关机在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料注销当前用户: shutdown - l (该命令只能注销本机用户,对远程计算机不适用)关闭本地计算机 : shutdown - s重启本地计算机 : shutdown - r定时关机 : shutdown - s -t 30 (指定在30秒之后自动关闭计算机 )43在Windo
13、ws XP/2003中实现远程关机中止计算机的关闭 : shutdown a使用命令:shutdown -s -m Asolon -t 30(在30秒内关闭Asolon名为Asolon的计算机)该命令执行后,计算机Asolon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问)出现这种情况是因为只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以执行上述命令时,便会出现“拒绝访问”的情况。我们利用组策略即可赋予guest用户远程关机的权限 44在Windows XP/2003中实现远程关机45在Wi
14、ndows XP/2003中实现远程关机使用命令:shutdown -s -m Anyes-solon -t 60(在60秒内关闭Anyes-solon名为Asolon的计算机)46关闭缩略图的缓存 关闭缩略图的缓存 47关闭系统还原功能 48禁止Windows Messenger自动运行 49隐藏“我的电脑”中指定的驱动器 隐藏“我的电脑”中指定的驱动器 50防止从“我的电脑”访问驱动器 防止从“我的电脑”访问驱动器 51禁止更改显示属性 52禁用注册表编辑器 53彻底禁止访问“控制面板” 54禁用“添加/删除程序” 55限制使用应用程序 56限制使用应用程序 57利用组策略管理58利用组策
15、略管理59利用组策略管理60利用组策略管理61利用组策略管理62利用组策略管理63利用组策略管理64利用组策略管理65利用组策略管理66 软件分发介绍Windows的软件分发是针对软件生存周期而设置的,可以实现整个周期的全自动。包括:自动安装软件,自动维护软件,自动删除软件。软件分发最主要的作用就是对软件生存周期实现了全自动的过程利用组策略管理用户环境67 软件分发过程需要分发的软件(必须是*.MSI格式的文件)把这个软件放到软件分发点(即为一共享文件夹)创建或修改GPO(组策略)配置GPO进行软件分发利用组策略管理用户环境68 利用组策略重定向文件夹Windows允许用户重定向文件夹(这些文
16、件夹是用户配置文件的一部份),把这些文件夹从用户的硬盘上重定向到服务器的中心位置通过重定向文件夹,可以确保用户数据在中心位置,而且不管用户从什么计算机上登录,都可以访问这些数据。这使管理和备份集中的数据更为简便根据用户和网络的需要,可以重定向我的文档、应用程序数据、桌面和开始菜单文件夹利用组策略管理用户环境69 重定向文件夹创建的步骤创建一共享的公共文件夹;建立GPO或选择现有的GPO,然后单击“编辑”;展开“用户配置”,展开“Windows设置”,然后展开“文件夹重定向”右击需要重定向的文件夹名字,单击“属性”,然后提供目标路径和位置路径利用组策略管理用户环境70练习一在域控制器上建立一个组织单元OU1,并在组织单元OU1中建立一个用户U1,并使用户U1在域控制器上能本地登录在域控制器上建立组织单元OU1的组策略为:防止从“我的电脑”访问驱动器 、隐藏桌面上“网上邻居”图标在域控制器上用用户U1登录,检查组策略的设置域客户机用用户U1登录,检查组策略的设置。域控制器域成员服务器或域客户机交叉线71
