《windows server 2003服務(wù)器操作系統(tǒng)》第15章 組策略及其應(yīng)用

1、編輯ppt第第10章章 組策略及其應(yīng)用組策略及其應(yīng)用 主要知識(shí)點(diǎn)：主要知識(shí)點(diǎn)：一、活動(dòng)目錄結(jié)構(gòu)和組策略一、活動(dòng)目錄結(jié)構(gòu)和組策略 （了解）（了解）二、配置安全策略二、配置安全策略 （掌握）（掌握）三、管理用戶環(huán)境三、管理用戶環(huán)境 （掌握）（掌握）四、文件夾重定向四、文件夾重定向 （掌握）（掌握）編輯ppt一組策略概述一組策略概述 組策略是組策略是Windows Server 2003操作系統(tǒng)中提操作系統(tǒng)中提供的一種重要的更新和配置管理技術(shù)。系統(tǒng)管理供的一種重要的更新和配置管理技術(shù)。系統(tǒng)管理員使用組策略來為計(jì)算機(jī)和用戶組管理桌面配置員使用組策略來為計(jì)算機(jī)和用戶組管理桌面配置指定的選項(xiàng)。組策略很靈活

2、，它包括如下的一些指定的選項(xiàng)。組策略很靈活，它包括如下的一些選項(xiàng)：基于注冊(cè)表的策略設(shè)置、安全設(shè)置、軟件選項(xiàng)：基于注冊(cè)表的策略設(shè)置、安全設(shè)置、軟件安裝、腳本、計(jì)算機(jī)啟動(dòng)與關(guān)閉、用戶登錄和注安裝、腳本、計(jì)算機(jī)啟動(dòng)與關(guān)閉、用戶登錄和注銷，文件重定向等。銷，文件重定向等。Windows Server 2003包括幾包括幾百種可以配置的組策略設(shè)置。組策略設(shè)置允許企百種可以配置的組策略設(shè)置。組策略設(shè)置允許企業(yè)管理員通過增強(qiáng)和控制用戶桌面來減少總的開業(yè)管理員通過增強(qiáng)和控制用戶桌面來減少總的開銷。銷。編輯ppt 組策略只允許用戶一次性地規(guī)定自己的環(huán)境，組策略只允許用戶一次性地規(guī)定自己的環(huán)境，在這之后，依賴操作

3、系統(tǒng)來強(qiáng)制實(shí)施。在這之后，依賴操作系統(tǒng)來強(qiáng)制實(shí)施。 組策略對(duì)象不是用戶配置文件。用戶配置文組策略對(duì)象不是用戶配置文件。用戶配置文件是用來進(jìn)行用戶環(huán)境設(shè)置的，它允許用戶進(jìn)行件是用來進(jìn)行用戶環(huán)境設(shè)置的，它允許用戶進(jìn)行更改，如：桌面設(shè)置、更改，如：桌面設(shè)置、NTUSER.DAT文件中的注文件中的注冊(cè)表配置、用戶配置文件目錄、冊(cè)表配置、用戶配置文件目錄、MyDocuments以以及及Favorites等。而組策略是由系統(tǒng)管理員管理和等。而組策略是由系統(tǒng)管理員管理和維護(hù)的，系統(tǒng)管理員使用（維護(hù)的，系統(tǒng)管理員使用（MMC，Microsoft Manage Controller）工具來對(duì)用戶組和計(jì)算機(jī)組）工

4、具來對(duì)用戶組和計(jì)算機(jī)組設(shè)置策略。設(shè)置策略。編輯ppt 默認(rèn)情況下，組策略能夠從站點(diǎn)、域、最后默認(rèn)情況下，組策略能夠從站點(diǎn)、域、最后到組織單元繼承而來。應(yīng)用組策略對(duì)象（把它們到組織單元繼承而來。應(yīng)用組策略對(duì)象（把它們鏈接到它們的目標(biāo)上）的順序和級(jí)別決定了用戶鏈接到它們的目標(biāo)上）的順序和級(jí)別決定了用戶或計(jì)算機(jī)實(shí)際能收到的組策略設(shè)置。另外，組策或計(jì)算機(jī)實(shí)際能收到的組策略設(shè)置。另外，組策略能夠在站點(diǎn)、域、組織單元這些級(jí)別上被阻塞；略能夠在站點(diǎn)、域、組織單元這些級(jí)別上被阻塞；組策略還能夠基于組策略對(duì)象強(qiáng)制實(shí)施。這可以組策略還能夠基于組策略對(duì)象強(qiáng)制實(shí)施。這可以通過將組策略對(duì)象鏈接到它們的目標(biāo)上，然后將通過

5、將組策略對(duì)象鏈接到它們的目標(biāo)上，然后將鏈接設(shè)置為非覆蓋方式來實(shí)現(xiàn)。鏈接設(shè)置為非覆蓋方式來實(shí)現(xiàn)。 默認(rèn)情況下，組策略影響站點(diǎn)、域、或組織默認(rèn)情況下，組策略影響站點(diǎn)、域、或組織單元中所有用戶和計(jì)算機(jī)，而不影響站點(diǎn)、域、單元中所有用戶和計(jì)算機(jī)，而不影響站點(diǎn)、域、或組織單元中的其他對(duì)象。或組織單元中的其他對(duì)象。編輯ppt 組策略插件為基于注冊(cè)表的策略、安全設(shè)置、組策略插件為基于注冊(cè)表的策略、安全設(shè)置、軟件安裝、腳本和文件夾重定向提供內(nèi)置的特征。軟件安裝、腳本和文件夾重定向提供內(nèi)置的特征。用戶創(chuàng)建的組策略設(shè)置包含在組策略對(duì)象中，也用戶創(chuàng)建的組策略設(shè)置包含在組策略對(duì)象中，也可以從屬于任何非本地（即基于活動(dòng)

6、目錄）的組可以從屬于任何非本地（即基于活動(dòng)目錄）的組策略對(duì)象。使用組策略指定的策略設(shè)置是策略對(duì)象。使用組策略指定的策略設(shè)置是Windows Server 2003中啟用中心化的更新和配置管理的首中啟用中心化的更新和配置管理的首選方式。選方式。編輯ppt組策略設(shè)置能夠：組策略設(shè)置能夠：n與站點(diǎn)、域、組織單元相關(guān)聯(lián)與站點(diǎn)、域、組織單元相關(guān)聯(lián)n在站點(diǎn)、域、組織單元中影響用戶和計(jì)算機(jī)在站點(diǎn)、域、組織單元中影響用戶和計(jì)算機(jī)n被安全組中的用戶或計(jì)算機(jī)成員進(jìn)一步控制被安全組中的用戶或計(jì)算機(jī)成員進(jìn)一步控制n是安全的，僅僅系統(tǒng)管理員能更改設(shè)置是安全的，僅僅系統(tǒng)管理員能更改設(shè)置n在策略改變時(shí)被刪除和重寫在策略改變

7、時(shí)被刪除和重寫n用于很好地調(diào)整桌面控制，增強(qiáng)用戶的計(jì)算環(huán)境用于很好地調(diào)整桌面控制，增強(qiáng)用戶的計(jì)算環(huán)境編輯ppt二二 活動(dòng)目錄結(jié)構(gòu)和組策略活動(dòng)目錄結(jié)構(gòu)和組策略 組策略的實(shí)現(xiàn)是企業(yè)在規(guī)劃活動(dòng)目錄結(jié)構(gòu)設(shè)組策略的實(shí)現(xiàn)是企業(yè)在規(guī)劃活動(dòng)目錄結(jié)構(gòu)設(shè)置時(shí)需要考慮的因素之一。組策略的基本單元是置時(shí)需要考慮的因素之一。組策略的基本單元是組策略對(duì)象（組策略對(duì)象（Group Policy Object）。組策略對(duì)象）。組策略對(duì)象是用戶鏈接所有組策略對(duì)象的基本單元。不能僅是用戶鏈接所有組策略對(duì)象的基本單元。不能僅僅將組策略對(duì)象的一個(gè)子集鏈接到目標(biāo)上。使用僅將組策略對(duì)象的一個(gè)子集鏈接到目標(biāo)上。使用安全組來過濾組策略范圍同

8、樣可達(dá)到打開或關(guān)閉安全組來過濾組策略范圍同樣可達(dá)到打開或關(guān)閉組策略對(duì)象的目的，它不是僅能作用到部分組策組策略對(duì)象的目的，它不是僅能作用到部分組策略對(duì)象上。略對(duì)象上。 有兩種類型的組策略對(duì)象：本地組策略對(duì)象有兩種類型的組策略對(duì)象：本地組策略對(duì)象和非本地組策略對(duì)象。和非本地組策略對(duì)象。編輯ppt 組策略對(duì)象存儲(chǔ)在組策略對(duì)象存儲(chǔ)在Windows Server 2003的域中，的域中，其作用由它們所鏈接的站點(diǎn)、域或組織單元啟用。其作用由它們所鏈接的站點(diǎn)、域或組織單元啟用。 n鏈接到一個(gè)站點(diǎn)（使用活動(dòng)目錄站點(diǎn)和服務(wù)）的鏈接到一個(gè)站點(diǎn)（使用活動(dòng)目錄站點(diǎn)和服務(wù)）的組策略對(duì)象能夠應(yīng)用于站點(diǎn)上的所有域。組策略對(duì)

9、象能夠應(yīng)用于站點(diǎn)上的所有域。n一個(gè)域的組策略對(duì)象直接應(yīng)用于域中的所有計(jì)算一個(gè)域的組策略對(duì)象直接應(yīng)用于域中的所有計(jì)算機(jī)和用戶，從而被組織單元（通常為活動(dòng)目錄容機(jī)和用戶，從而被組織單元（通常為活動(dòng)目錄容器）中的所有用戶和計(jì)算機(jī)繼承。器）中的所有用戶和計(jì)算機(jī)繼承。n應(yīng)用到組織單元的組策略對(duì)象直接應(yīng)用到組織單應(yīng)用到組織單元的組策略對(duì)象直接應(yīng)用到組織單元中所有用戶和計(jì)算機(jī)，從而被組織單元（通常元中所有用戶和計(jì)算機(jī)，從而被組織單元（通常為活動(dòng)目錄容器）中所有用戶和計(jì)算機(jī)繼承。為活動(dòng)目錄容器）中所有用戶和計(jì)算機(jī)繼承。編輯ppt 不可能將一組策略對(duì)象鏈接到通常的活動(dòng)目不可能將一組策略對(duì)象鏈接到通常的活動(dòng)目錄容

10、器中。（通常的活動(dòng)目錄容器可以由它在活錄容器中。（通常的活動(dòng)目錄容器可以由它在活動(dòng)目錄用戶與計(jì)算機(jī)控制臺(tái)上的文件夾圖標(biāo)來區(qū)動(dòng)目錄用戶與計(jì)算機(jī)控制臺(tái)上的文件夾圖標(biāo)來區(qū)分。同一個(gè)組織單元中的圖標(biāo)是類似的，除了有分。同一個(gè)組織單元中的圖標(biāo)是類似的，除了有一本小書的圖形疊放在文件夾上）然而，通常的一本小書的圖形疊放在文件夾上）然而，通常的活動(dòng)目錄容器中的用戶和計(jì)算機(jī)接收這些類型的活動(dòng)目錄容器中的用戶和計(jì)算機(jī)接收這些類型的策略，這些策略繼承于鏈接到較高層次的活動(dòng)目策略，這些策略繼承于鏈接到較高層次的活動(dòng)目錄的組策略對(duì)象。例如，在活動(dòng)目錄用戶與計(jì)算錄的組策略對(duì)象。例如，在活動(dòng)目錄用戶與計(jì)算機(jī)中見到的【機(jī)中

11、見到的【User】和【】和【Computer】不能有組策】不能有組策略對(duì)象直接鏈接到它們，但是它們可以通過繼承略對(duì)象直接鏈接到它們，但是它們可以通過繼承接收鏈接到域的組策略對(duì)象。接收鏈接到域的組策略對(duì)象。編輯ppt 本地組策略對(duì)象首先被應(yīng)用，然后是鏈接到本地組策略對(duì)象首先被應(yīng)用，然后是鏈接到站點(diǎn)的組策略對(duì)象，再然后是鏈接到域的組策略站點(diǎn)的組策略對(duì)象，再然后是鏈接到域的組策略對(duì)象以特定順序被應(yīng)用，最后是鏈接到組織單元對(duì)象以特定順序被應(yīng)用，最后是鏈接到組織單元的組策略對(duì)象，其順序是開始于最高層（在活動(dòng)的組策略對(duì)象，其順序是開始于最高層（在活動(dòng)目錄層次）的組織單元（它包含用戶或計(jì)算機(jī)帳目錄層次）的組

12、織單元（它包含用戶或計(jì)算機(jī)帳戶），終止于最低層（最接近用戶和計(jì)算機(jī)）的戶），終止于最低層（最接近用戶和計(jì)算機(jī)）的組織單元（它包含用戶和計(jì)算機(jī)）。在每個(gè)組織組織單元（它包含用戶和計(jì)算機(jī)）。在每個(gè)組織單元中，任何鏈接到它的組策略對(duì)象以指定的管單元中，任何鏈接到它的組策略對(duì)象以指定的管理順序被應(yīng)用。理順序被應(yīng)用。編輯ppt 應(yīng)用的順序（本地、站點(diǎn)、域和組織單元）應(yīng)用的順序（本地、站點(diǎn)、域和組織單元）對(duì)于活動(dòng)目錄體系結(jié)構(gòu)非常有意義。因?yàn)槿笔∏閷?duì)于活動(dòng)目錄體系結(jié)構(gòu)非常有意義。因?yàn)槿笔∏闆r下，對(duì)每種設(shè)置而言，后來被應(yīng)用的策略覆蓋況下，對(duì)每種設(shè)置而言，后來被應(yīng)用的策略覆蓋前面應(yīng)用的策略，而無論后來被應(yīng)用的策

13、略是前面應(yīng)用的策略，而無論后來被應(yīng)用的策略是“開啟開啟”還是還是“關(guān)閉關(guān)閉”。設(shè)置為。設(shè)置為“未定義未定義”將不將不覆蓋任何東西（任何早期被應(yīng)用的設(shè)置），覆蓋任何東西（任何早期被應(yīng)用的設(shè)置），“打打開開”或或“關(guān)閉關(guān)閉”允許保留。允許保留。 組策略編輯器是如下圖所示的組策略編輯器是如下圖所示的MMC插件，它插件，它分為兩個(gè)節(jié)點(diǎn)：【計(jì)算機(jī)配置】和【用戶配置】。分為兩個(gè)節(jié)點(diǎn)：【計(jì)算機(jī)配置】和【用戶配置】。每個(gè)節(jié)點(diǎn)包含了各自的安全主體的策略?？梢园衙總€(gè)節(jié)點(diǎn)包含了各自的安全主體的策略?？梢园巡呗詰?yīng)用到任何一個(gè)組策略對(duì)象中的兩個(gè)節(jié)點(diǎn)之策略應(yīng)用到任何一個(gè)組策略對(duì)象中的兩個(gè)節(jié)點(diǎn)之一。一。編輯ppt組策略編輯

14、器 編輯ppt3、配置安全策略、配置安全策略 安全策略用于安全策略用于Windows Server 2003網(wǎng)絡(luò)的安網(wǎng)絡(luò)的安全設(shè)置。安全配置包含有應(yīng)用到一個(gè)或多個(gè)全設(shè)置。安全配置包含有應(yīng)用到一個(gè)或多個(gè)Windows Server 2003支持的安全領(lǐng)域的設(shè)置。指支持的安全領(lǐng)域的設(shè)置。指定的安全配置被應(yīng)用到計(jì)算機(jī)作為組策略強(qiáng)制的定的安全配置被應(yīng)用到計(jì)算機(jī)作為組策略強(qiáng)制的一部分。組策略插件的安全設(shè)置擴(kuò)展對(duì)已存在的一部分。組策略插件的安全設(shè)置擴(kuò)展對(duì)已存在的系統(tǒng)安全工具進(jìn)行了補(bǔ)充。系統(tǒng)安全工具進(jìn)行了補(bǔ)充。能為計(jì)算機(jī)配置安全領(lǐng)域的包括：能為計(jì)算機(jī)配置安全領(lǐng)域的包括：（1） 帳戶策略帳戶策略 它們是它們是

15、Windows Server 2003域中關(guān)于密碼策域中關(guān)于密碼策略、帳戶鎖定策略的計(jì)算機(jī)安全設(shè)置。略、帳戶鎖定策略的計(jì)算機(jī)安全設(shè)置。編輯ppt（2） 本地策略本地策略 包括有關(guān)審核策略（試圖登錄時(shí)審計(jì)成功或失包括有關(guān)審核策略（試圖登錄時(shí)審計(jì)成功或失?。?、用戶權(quán)限分配（他們連接到網(wǎng)上）、以及?。?、用戶權(quán)限分配（他們連接到網(wǎng)上）、以及安全選項(xiàng)（以匿名連接到計(jì)算機(jī)的能力）。安全選項(xiàng)（以匿名連接到計(jì)算機(jī)的能力）。（3） 事件日志事件日志 它控制如應(yīng)用的大小和保持方法、安全、系它控制如應(yīng)用的大小和保持方法、安全、系統(tǒng)事件日志等設(shè)置?？梢酝ㄟ^事件瀏覽器來訪問統(tǒng)事件日志等設(shè)置?？梢酝ㄟ^事件瀏覽器來訪問這些

16、日志。這些日志。編輯ppt（4） 受限組受限組 允許用來控制是否需要屬于安全敏感組，以允許用來控制是否需要屬于安全敏感組，以及哪些其他組需要屬于安全敏感組。這就允許系及哪些其他組需要屬于安全敏感組。這就允許系統(tǒng)管理員強(qiáng)制有關(guān)敏感組的成員關(guān)系策略，這種統(tǒng)管理員強(qiáng)制有關(guān)敏感組的成員關(guān)系策略，這種敏感組的例子有企業(yè)管理員、薪水冊(cè)等。例如，敏感組的例子有企業(yè)管理員、薪水冊(cè)等。例如，有可能決定僅僅有兩個(gè)用戶成為企業(yè)管理員組，有可能決定僅僅有兩個(gè)用戶成為企業(yè)管理員組，這樣就定義企業(yè)行政組為一個(gè)受限組，它僅包含這樣就定義企業(yè)行政組為一個(gè)受限組，它僅包含兩個(gè)成員。如果第三個(gè)人添加到這個(gè)組（例如，兩個(gè)成員。如果

17、第三個(gè)人添加到這個(gè)組（例如，在緊急情況下處理某個(gè)事情），下一次策略實(shí)施在緊急情況下處理某個(gè)事情），下一次策略實(shí)施時(shí)該用戶被自動(dòng)的從企業(yè)管理員組刪除。這種策時(shí)該用戶被自動(dòng)的從企業(yè)管理員組刪除。這種策略也可以強(qiáng)制用于域中工作站上的組成員（即，略也可以強(qiáng)制用于域中工作站上的組成員（即，強(qiáng)制使一些系統(tǒng)管理員從域中移到工作站上本地強(qiáng)制使一些系統(tǒng)管理員從域中移到工作站上本地管理員組）。管理員組）。編輯ppt（5） 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 它控制啟動(dòng)模式及系統(tǒng)服務(wù)的訪問權(quán)限，如它控制啟動(dòng)模式及系統(tǒng)服務(wù)的訪問權(quán)限，如哪些用戶能關(guān)閉和啟動(dòng)傳真服務(wù)。哪些用戶能關(guān)閉和啟動(dòng)傳真服務(wù)。（6） 注冊(cè)表注冊(cè)表 用來為注冊(cè)表表項(xiàng)配

18、置注冊(cè)表設(shè)置，包括訪用來為注冊(cè)表表項(xiàng)配置注冊(cè)表設(shè)置，包括訪問控制、審計(jì)、所有者。問控制、審計(jì)、所有者。（7） 文件系統(tǒng)文件系統(tǒng) 它用來為文件系統(tǒng)對(duì)象配置安全設(shè)置，包括它用來為文件系統(tǒng)對(duì)象配置安全設(shè)置，包括訪問控制、審計(jì)、所有者。訪問控制、審計(jì)、所有者。編輯ppt1、帳戶策略、帳戶策略 裝入組策略的裝入組策略的MMC管理單元后，出現(xiàn)本地管理單元后，出現(xiàn)本地計(jì)算機(jī)策略選項(xiàng)。要訪問帳戶策略文件夾，需展計(jì)算機(jī)策略選項(xiàng)。要訪問帳戶策略文件夾，需展開【本地計(jì)算機(jī)策略】、【計(jì)算機(jī)配置】、開【本地計(jì)算機(jī)策略】、【計(jì)算機(jī)配置】、【W(wǎng)indows設(shè)置】、【安全設(shè)置】和【帳戶策設(shè)置】、【安全設(shè)置】和【帳戶策略】。如

19、下圖所示。略】。如下圖所示。 編輯ppt設(shè)置帳戶策略 編輯ppt（1） 密碼策略密碼策略 密碼策略（密碼策略（Password policies）可以強(qiáng)制在計(jì)）可以強(qiáng)制在計(jì)算機(jī)上執(zhí)行安全要求。一定要注意，密碼策略在算機(jī)上執(zhí)行安全要求。一定要注意，密碼策略在各個(gè)計(jì)算機(jī)上設(shè)置，而不能對(duì)特定用戶配置。各個(gè)計(jì)算機(jī)上設(shè)置，而不能對(duì)特定用戶配置。n密碼策略選項(xiàng)使用如下（如下圖所示）：密碼策略選項(xiàng)使用如下（如下圖所示）：n強(qiáng)制密碼歷史：用戶不能用相同的密碼。用戶強(qiáng)制密碼歷史：用戶不能用相同的密碼。用戶在舊密碼到期或改變時(shí)要?jiǎng)?chuàng)建新密碼。在舊密碼到期或改變時(shí)要?jiǎng)?chuàng)建新密碼。n密碼最長使用期限：到達(dá)最大密碼壽命期后

20、強(qiáng)密碼最長使用期限：到達(dá)最大密碼壽命期后強(qiáng)迫用戶改變密碼。迫用戶改變密碼。n密碼最短使用期限：不允許用戶連續(xù)多次改變密碼最短使用期限：不允許用戶連續(xù)多次改變密碼以破壞強(qiáng)制密碼歷史策略。密碼以破壞強(qiáng)制密碼歷史策略。編輯pptn密碼長度最小值：保證用戶創(chuàng)建密碼并指定其密碼長度最小值：保證用戶創(chuàng)建密碼并指定其符合長度要求。如果不設(shè)置這個(gè)選項(xiàng)，則用戶符合長度要求。如果不設(shè)置這個(gè)選項(xiàng)，則用戶不需要?jiǎng)?chuàng)建密碼。不需要?jiǎng)?chuàng)建密碼。n密碼必須符合復(fù)雜性要求：防止用戶將常用字密碼必須符合復(fù)雜性要求：防止用戶將常用字典中的項(xiàng)目當(dāng)作密碼。典中的項(xiàng)目當(dāng)作密碼。n用可還原的加密來存儲(chǔ)密碼：提供用戶密碼的用可還原的加密來存儲(chǔ)

21、密碼：提供用戶密碼的高級(jí)安全性。高級(jí)安全性。編輯ppt密碼策略 編輯ppt（2） 帳戶鎖定策略帳戶鎖定策略 帳戶鎖定策略用于指定無效登錄企圖的最大帳戶鎖定策略用于指定無效登錄企圖的最大次數(shù)。它通常被配置成在次數(shù)。它通常被配置成在y分鐘內(nèi)進(jìn)行分鐘內(nèi)進(jìn)行x次登錄失次登錄失敗時(shí)帳戶將在指定的時(shí)間段內(nèi)鎖定，直到管理員敗時(shí)帳戶將在指定的時(shí)間段內(nèi)鎖定，直到管理員打開這個(gè)帳戶鎖，如下圖所示。打開這個(gè)帳戶鎖，如下圖所示。 帳戶鎖定策略類似于銀行處理帳戶鎖定策略類似于銀行處理ATM訪問碼安訪問碼安全性的方法。用戶有幾次機(jī)會(huì)輸入訪問碼。這樣，全性的方法。用戶有幾次機(jī)會(huì)輸入訪問碼。這樣，如果別人企圖盜用，那么他無法

22、一直猜訪問碼。如果別人企圖盜用，那么他無法一直猜訪問碼。通常，幾次訪問失敗后，通常，幾次訪問失敗后，ATM機(jī)會(huì)吃掉這個(gè)卡，機(jī)會(huì)吃掉這個(gè)卡，然后需要從銀行申請(qǐng)辦理新卡。然后需要從銀行申請(qǐng)辦理新卡。編輯ppt帳戶鎖定策略 編輯ppt2、本地策略、本地策略 帳戶策略可控制登錄過程。要控制用戶登錄帳戶策略可控制登錄過程。要控制用戶登錄之后的操作，需使用本地策略（之后的操作，需使用本地策略（local policies），），如下圖所示。利用本地策略可以實(shí)現(xiàn)審核、指定如下圖所示。利用本地策略可以實(shí)現(xiàn)審核、指定用戶權(quán)限和設(shè)置安全選項(xiàng)。用戶權(quán)限和設(shè)置安全選項(xiàng)。設(shè)置本地策略 編輯ppt（1） 審核策略審核策略

23、 可以通過審計(jì)策略審核與用戶管理有關(guān)的事件。可以通過審計(jì)策略審核與用戶管理有關(guān)的事件。通過跟蹤某個(gè)事件，可以創(chuàng)建特定任務(wù)的歷史，通過跟蹤某個(gè)事件，可以創(chuàng)建特定任務(wù)的歷史，其界面如下圖所示。其界面如下圖所示。審核策略 編輯ppt 定義審計(jì)策略時(shí)，可以選擇采用審核訪問也定義審計(jì)策略時(shí)，可以選擇采用審核訪問也可以選擇特定事件故障。事件成功表示任務(wù)順利可以選擇特定事件故障。事件成功表示任務(wù)順利完成，事件失敗表示任務(wù)沒有順利完成。完成，事件失敗表示任務(wù)沒有順利完成。 缺省情況下，審核過程并不啟用，需要手工缺省情況下，審核過程并不啟用，需要手工配置。配置審核過程之后，可以通過事件查看器、配置。配置審核過程

24、之后，可以通過事件查看器、安全日志瀏覽審核結(jié)果。安全日志瀏覽審核結(jié)果。 審核太多事件會(huì)因?yàn)樵龃筇幚硪蠖档拖祵徍颂嗍录?huì)因?yàn)樵龃筇幚硪蠖档拖到y(tǒng)性能。審核還需要大量磁盤空間來存放審核日統(tǒng)性能。審核還需要大量磁盤空間來存放審核日志，因此事件查看實(shí)用程序要慎用。志，因此事件查看實(shí)用程序要慎用。編輯ppt（2） 用戶權(quán)限分配用戶權(quán)限分配 用戶權(quán)限分配確定了用戶和組對(duì)計(jì)算機(jī)的權(quán)用戶權(quán)限分配確定了用戶和組對(duì)計(jì)算機(jī)的權(quán)利。用戶權(quán)利的一個(gè)例子是備份文件和目錄權(quán)利。利。用戶權(quán)利的一個(gè)例子是備份文件和目錄權(quán)利。這個(gè)權(quán)利使用戶可以備份文件與文件夾，如下圖這個(gè)權(quán)利使用戶可以備份文件與文件夾，如下圖所示。所示。

25、用戶權(quán)限分配 編輯ppt（3） 安全選項(xiàng)安全選項(xiàng) 啟用或禁用計(jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的啟用或禁用計(jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號(hào)、數(shù)字信號(hào)、Administrator和和Guest的帳戶名、軟盤的帳戶名、軟盤驅(qū)動(dòng)器和光盤的訪問、驅(qū)動(dòng)程序的安裝以及登錄驅(qū)動(dòng)器和光盤的訪問、驅(qū)動(dòng)程序的安裝以及登錄提示，如下圖所示。提示，如下圖所示。安全選項(xiàng) 編輯ppt四管理用戶環(huán)境四管理用戶環(huán)境 管理用戶環(huán)境意味著控制用戶在登錄網(wǎng)絡(luò)時(shí)有管理用戶環(huán)境意味著控制用戶在登錄網(wǎng)絡(luò)時(shí)有哪些權(quán)利，以及用戶桌面上會(huì)出現(xiàn)哪些內(nèi)容。集哪些權(quán)利，以及用戶桌面上會(huì)出現(xiàn)哪些內(nèi)容。集中配置和管理用戶環(huán)境，可以執(zhí)行下列任務(wù)：中配置和管理

26、用戶環(huán)境，可以執(zhí)行下列任務(wù)：n把用戶訪問限制在所選擇的操作系統(tǒng)的某些部把用戶訪問限制在所選擇的操作系統(tǒng)的某些部分?？梢苑乐褂脩舸蜷_控制面板和關(guān)閉計(jì)算機(jī)。分。可以防止用戶打開控制面板和關(guān)閉計(jì)算機(jī)。通過防止用戶訪問一些關(guān)鍵的操作系統(tǒng)組件和通過防止用戶訪問一些關(guān)鍵的操作系統(tǒng)組件和配置選項(xiàng)，可以減少用戶破壞系統(tǒng)的可能性。配置選項(xiàng)，可以減少用戶破壞系統(tǒng)的可能性。編輯ppt 要有效地配置和管理用戶環(huán)境，應(yīng)確保用戶要有效地配置和管理用戶環(huán)境，應(yīng)確保用戶只可以訪問他們工作需要的資源。利用管理模板只可以訪問他們工作需要的資源。利用管理模板可以簡化用戶環(huán)境并防止用戶破壞工作環(huán)境或把可以簡化用戶環(huán)境并防止用戶破壞工

27、作環(huán)境或把時(shí)間花在不必要的應(yīng)用程序、軟件和文件上。時(shí)間花在不必要的應(yīng)用程序、軟件和文件上。n限制使用限制使用Windows Server 2003中的工具和組中的工具和組件。這些工具和組件包括件。這些工具和組件包括Internet Explorer、資源管理器和資源管理器和MMC?？梢圆蛔層脩艨吹竭@些?？梢圆蛔層脩艨吹竭@些工具，除非他們確實(shí)需要使用。工具，除非他們確實(shí)需要使用。n組裝用戶桌面?？梢源_保用戶有他們所需要的組裝用戶桌面?？梢源_保用戶有他們所需要的文件、快捷方式和網(wǎng)絡(luò)連接。文件、快捷方式和網(wǎng)絡(luò)連接。n使用管理模板可以配置和管理用戶環(huán)境。使用管理模板可以配置和管理用戶環(huán)境。編輯ppt

28、如下圖所示，【本地計(jì)算機(jī)】策略有兩個(gè)部分：如下圖所示，【本地計(jì)算機(jī)】策略有兩個(gè)部分：計(jì)算機(jī)的配置主要集中于計(jì)算機(jī)的配置主要集中于Windows Server 2003的的管理，而用戶的配置主要集中于控制用戶如何能管理，而用戶的配置主要集中于控制用戶如何能夠影響桌面環(huán)境。夠影響桌面環(huán)境。使用管理模板管理用戶環(huán)境 編輯ppt 管理模板設(shè)置分成七種類型，下表列出了管理管理模板設(shè)置分成七種類型，下表列出了管理模板擴(kuò)展中不同類型的設(shè)置。模板擴(kuò)展中不同類型的設(shè)置。設(shè)置類型控 制可使用者Windows組件組件 用戶可以訪問的用戶可以訪問的Windows Server 2003及及其工具和組件部分，例如用戶對(duì)

29、其工具和組件部分，例如用戶對(duì)MMC的訪問。的訪問。計(jì)算機(jī)和用計(jì)算機(jī)和用戶戶系統(tǒng)系統(tǒng) 登錄、退出過程。利用系統(tǒng)設(shè)置，可以管理登錄、退出過程。利用系統(tǒng)設(shè)置，可以管理組策略、更新間隔、磁盤配額等。組策略、更新間隔、磁盤配額等。計(jì)算機(jī)和用計(jì)算機(jī)和用戶戶網(wǎng)絡(luò)網(wǎng)絡(luò) 網(wǎng)絡(luò)連接和撥號(hào)連接的屬性，包括共用網(wǎng)絡(luò)網(wǎng)絡(luò)連接和撥號(hào)連接的屬性，包括共用網(wǎng)絡(luò)訪問。訪問。計(jì)算機(jī)和用計(jì)算機(jī)和用戶戶任務(wù)欄和開始任務(wù)欄和開始菜單菜單 用戶可以從開始菜單中訪問的功能部件。例用戶可以從開始菜單中訪問的功能部件。例如，如果刪除如，如果刪除“運(yùn)行運(yùn)行”菜單，用戶將不能運(yùn)行菜單，用戶將不能運(yùn)行沒有圖標(biāo)或快捷方式的應(yīng)用程序。可以把開始沒有圖標(biāo)

30、或快捷方式的應(yīng)用程序?？梢园验_始菜單設(shè)置為只讀方式，這樣可以防止用戶修改。菜單設(shè)置為只讀方式，這樣可以防止用戶修改。用戶用戶桌面桌面 活動(dòng)桌面。通過隱藏某些桌面圖標(biāo)并控制用活動(dòng)桌面。通過隱藏某些桌面圖標(biāo)并控制用戶對(duì)戶對(duì)My Documents文件夾使用，可以控制用文件夾使用，可以控制用戶對(duì)網(wǎng)絡(luò)的訪問。戶對(duì)網(wǎng)絡(luò)的訪問。用戶用戶控制面板控制面板 控制面板上的一些應(yīng)用程序。包括限制對(duì)添控制面板上的一些應(yīng)用程序。包括限制對(duì)添加加/刪除程序，顯示和打印機(jī)的使用。刪除程序，顯示和打印機(jī)的使用。用戶用戶共享文件夾共享文件夾 控制用戶是否允許發(fā)布共享文件夾或控制用戶是否允許發(fā)布共享文件夾或DFS根。根。用戶用

31、戶編輯ppt五文件夾重定向五文件夾重定向 在用戶配置文件中，可以使用文件夾重定向在用戶配置文件中，可以使用文件夾重定向擴(kuò)展來重定向下面的任何文件夾到可選的位置擴(kuò)展來重定向下面的任何文件夾到可選的位置（如網(wǎng)絡(luò)共享）：（如網(wǎng)絡(luò)共享）：nApplication DatanDesktopnMy DocumentsnMy Picturesn開始菜單開始菜單編輯ppt 可以重定向一名用戶的可以重定向一名用戶的My Documents文件夾文件夾到到server_nameshare_name%username%，并且，并且提供如下的好處：提供如下的好處：n可以確保用戶從一臺(tái)計(jì)算機(jī)漫游到另一臺(tái)計(jì)算可以確保用戶

32、從一臺(tái)計(jì)算機(jī)漫游到另一臺(tái)計(jì)算機(jī)，并且無論在有或沒有漫游用戶配置文件的機(jī)，并且無論在有或沒有漫游用戶配置文件的情況下用戶的文檔都是可用的。情況下用戶的文檔都是可用的。n可以把用戶的數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)上而不是本地計(jì)可以把用戶的數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)上而不是本地計(jì)算機(jī)上，這就為用戶提供了管理和保護(hù)數(shù)據(jù)的算機(jī)上，這就為用戶提供了管理和保護(hù)數(shù)據(jù)的另一種方式。另一種方式。n當(dāng)用戶從企業(yè)網(wǎng)上斷開時(shí)，可以通過離線文件當(dāng)用戶從企業(yè)網(wǎng)上斷開時(shí)，可以通過離線文件夾技術(shù)使用戶的基于網(wǎng)絡(luò)的文件夾可用。夾技術(shù)使用戶的基于網(wǎng)絡(luò)的文件夾可用。編輯ppt 類似的好處適用任何重定向文件夾，而不僅類似的好處適用任何重定向文件夾，而不僅僅是僅是My Documents文件夾。重定向到一個(gè)文件夾。重定向到一個(gè)DFS共共享在服務(wù)器失敗時(shí)增加了安全性。享在服務(wù)器失敗時(shí)增加了安全性。設(shè)置文件夾重定向的步驟如下：設(shè)置文件夾重定向的步驟如下：第第1步步 打開組策略編輯器。打開組策略編輯器。第第2步步 展開【用戶配置】，展開【展開【用戶配置】，展開【W(wǎng)indows設(shè)設(shè) 置】，然后展開【文件夾重定向】。置】，然后展開【文件夾重定向】。第第3步步 右鍵單擊需要重定向的文件夾名稱，單擊右鍵單擊需要重定向的文件夾名稱，單擊 【屬性】，然