活動目錄組策略

1、8.1 組策略概述8.2 組策略對象 8.3 管理模板策略的設(shè)置8.4 賬戶策略的設(shè)置8.5 本地策略的設(shè)置8.6 登錄/注銷、啟動/關(guān)閉腳本 8.7 部署應(yīng)用程序組策略就是修改注冊表修改注冊表中的配置。組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強(qiáng)大。組策略可以針對站點、域和組織單位設(shè)置。這些組策略的數(shù)據(jù)存儲在活動目錄存儲在活動目錄內(nèi)（域控制器“%systemroot%SYSVOLsysvol域名Policies”目錄下）。計算機(jī)配置：當(dāng)計算機(jī)啟動時，就會根據(jù)“計算機(jī)配置”的內(nèi)容來設(shè)置計算機(jī)的環(huán)境。針對站點、域或組織單位設(shè)

2、置組策略，則此組策略會被應(yīng)用到站點、域或組織單位內(nèi)的所有計算機(jī)。用戶配置：當(dāng)用戶登錄時，就會根據(jù)“用戶配置”的內(nèi)容來設(shè)置用戶的工作環(huán)境。針對站點、域或組織單位設(shè)置組策略，則此組策略會被應(yīng)用到站點、域或組織單位內(nèi)的所有用戶。本地組策略:它是針對每一臺Windows 2000 Serve所進(jìn)行的設(shè)置。本地組策略數(shù)據(jù)存儲在本地計算機(jī)的“%systemroot%system32GroupPolicy” 目錄內(nèi)，只針對本地計算機(jī)和本地用戶。8.1.2 組策略的應(yīng)用順序與規(guī)則 如果在本地計算機(jī)、站點、域和組織單位內(nèi)分別設(shè)置了組策略，則這些組策略的應(yīng)用順序為：1. 本地組策略（即本地安全策略，存儲在本地計算

3、機(jī)內(nèi)）；2. 站點的組策略；3. 域的組策略；4. 組織單位的組策略（后3項的數(shù)據(jù)存儲在活動目錄內(nèi)）。 具體的應(yīng)用規(guī)則說明如下:（1）如果在父容器內(nèi)建立了一個組策略，但是并未在子容器建立組策略，則子容器會繼承繼承在父容器內(nèi)所建立的組策略。（2）如果另外在子容器內(nèi)建立了組策略，在默認(rèn)情況下子容器的組策略則要取代取代父容器的組策略。（3）如果父容器未被設(shè)置組策略，則子容器不會不會繼承繼承父容器的組策略。（4）如果父容器設(shè)置了組策略，但是子容器內(nèi)的組策略并未設(shè)置，則子容器會繼承繼承父容器的組策略。 存在這樣一些機(jī)制：用戶可以強(qiáng)制強(qiáng)制繼承或阻止阻止組策略對象影響用戶組和計算機(jī)組，這可以通過“禁止替代禁

4、止替代”和“阻止策略繼承阻止策略繼承”的設(shè)置來實現(xiàn)。 特別要指出的是，組策略不影響不影響安全組。但是可以使用安全組來過濾過濾組策略，也就是改變它的范圍。組策略的特性組策略的特性8.1.3 組策略的繼承一、阻止組策略繼承在子容器組策略內(nèi)，可以通過“阻止策略繼承”復(fù)選框來設(shè)置不要繼承不要繼承由父容器傳遞的組策略設(shè)置，也就是直接以子容器的組策略為其設(shè)置。二、強(qiáng)迫繼承策略在父容器的組策略內(nèi)，可以通過“禁止替代禁止替代”復(fù)選框來強(qiáng)迫強(qiáng)迫子容器必須繼承繼承由父容器傳送的組策略設(shè)置，而不管不管子容器的組策略內(nèi)是否設(shè)置了“阻止策略繼承”，即“強(qiáng)迫繼承”策略的優(yōu)先級要高高于“阻止策略的繼承”。GPO是一種與域、

5、地址或組織單元相聯(lián)系的物理策略物理策略，GPO包括文件和AD對象，要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持支持，利用AD可以定義一個集中的策略，所有的Windows Server 2003服務(wù)器和工作站都可以采用它。訪問本地GPO的方法: 1. MS-DOS命令窗口：gpedit.msc 2. MMC控制臺中選擇GPO插件一、根據(jù)不同的計算機(jī)，設(shè)置不同的組策略1域控制器開始程序管理工具域控制器安全策略 2成員服務(wù)器、獨立服務(wù)器控制面板管理工具本地安全策略 3Windows XP/2000 Professional控制面板管理工具本地安全策略二、利用二、利用“Active Director

6、yActive Directory用戶和計算機(jī)用戶和計算機(jī)”設(shè)置組策略設(shè)置組策略圖8-1 組策略8.2.1 更改組策略 在默認(rèn)情況下，只有某些組內(nèi)的用戶賬戶（如administrators組內(nèi)的賬戶）才可以在域控制器上登錄，而一般用戶無法在域控制器上登錄。 圖8-2 更改組策略8.2.2 測試“在本地登錄”策略是否正常 策略設(shè)置好后，并不是立即生效不是立即生效，因為針對域所設(shè)置的策略，此域內(nèi)的計算機(jī)（包括域控制器）往往并不會立即讀取到此策略。為了使設(shè)置的組策略能夠在某臺計算機(jī)上生效，必須利用以下3種方式之一來達(dá)到目的。一、使組策略生效1. 運(yùn)行命令： Secedit/Refreshpolicy

7、 machine_police Secedit/Refreshpolicy user_police2. 重新啟動/注銷計算機(jī)3. 等待此策略應(yīng)用到計算機(jī)圖圖8-3 8-3 打開組策略打開組策略利用administrator賬號登錄“開始” “程序” “管理工具”“Active Directory用戶和計算機(jī)”在User組織單位上右鍵“新建”普通用戶賬戶使策略應(yīng)用到計算機(jī)用新建賬號重新登錄管理模板策略的設(shè)置：（1）隱藏用戶桌面的“網(wǎng)上鄰居”和“我的文檔”圖標(biāo)。（2）將“開始”菜單中的“運(yùn)行”、“文檔”等命令刪除。（3）在“開始”菜單中添加“注銷”的功能。管理工具Active Directory用

8、戶和計算機(jī) 新建組織單元（Beijing)在新建和組織單元中新建用戶(john)。圖8-4 新建對象 設(shè)置與測試組策略的功能，可以先在“Beijing”組織單位內(nèi)建立建立一個GPO，然后利用“Beijing”組織內(nèi)的用戶賬戶“John”來驗證驗證GPO的設(shè)置是否有效，然后再利用“School”子組織單位中的用戶賬戶“Lili”登錄登錄，來驗證驗證“School”子組織單位是否會繼承是否會繼承“Beijing”組織單位的GPO設(shè)置。 然后再在“School”子組織單位中建立建立一個新的GPO，利用“Lili”登錄來驗證驗證在子容器中設(shè)置的組策略是否替代是否替代了父容器中的組策略。一、設(shè)置設(shè)置“B

9、eijing”組織單位的“GPO”二、測試測試組策略的應(yīng)用三、測試測試組策略在子組織單位中的應(yīng)用四、設(shè)置設(shè)置School的組策略五、測試測試School子組織單位組策略的應(yīng)用 8.3.3 拒絕繼承組策略在子組織單位的GPO內(nèi)，若有些策略被設(shè)置為“未被配置未被配置”，則子組織單位內(nèi)的這些設(shè)置將繼繼承承父組織單位內(nèi)的設(shè)置。但是卻可以在子組織單位的GPO內(nèi)，通過“阻止策略繼承阻止策略繼承”復(fù)選框，將子組織單位的GPO設(shè)置為不要繼承不要繼承父組織單位的設(shè)置。8.3.4 強(qiáng)迫繼承組策略 用戶可以在父組織單位內(nèi)，設(shè)置強(qiáng)迫設(shè)置強(qiáng)迫其所有的子組織單位必須繼承必須繼承父組織單位的GPO設(shè)置。那就是父組織單位的“

10、禁止替禁止替代代”功能。通過GPO的“選項”按鈕打開如圖8-5所示的對話框，進(jìn)行設(shè)置。圖8-5 繼承組策略一、賬戶策略設(shè)置的注意事項一、賬戶策略設(shè)置的注意事項（1）若針對域設(shè)置域設(shè)置的賬戶策略，則這個策略會應(yīng)用到域內(nèi)的所有計算機(jī)所有計算機(jī)。（2）若針對某個組織單位某個組織單位設(shè)置賬戶策略，則這個策略只會應(yīng)用到這個組織單位內(nèi)的計算機(jī)組織單位內(nèi)的計算機(jī)而已，不會影響到其他的計算機(jī)。二、設(shè)置賬戶策略的步驟二、設(shè)置賬戶策略的步驟 開始程序管理工具Active Directory用戶和計算機(jī)在域或組織單位右鍵屬性組策略選定GPO編輯圖8-6 賬戶策略8.4.1 密碼策略密碼策略包含多個與用戶賬戶的密碼有

11、關(guān)的選項，如圖8-7所示：圖8-7 密碼策略8.4.2 賬戶鎖定策略單擊圖8-7窗口中的“賬戶鎖定策略”，顯示如圖8-8所示的窗口：圖8-8 賬戶鎖定策略8.5.1 用戶權(quán)利指派策略開始程序管理工具Active Directory用戶和計算機(jī)域或組織單位上單擊鼠標(biāo)右鍵屬性組策略選定GPO編輯計算機(jī)配置Windows設(shè)置安全設(shè)置本地策略用戶權(quán)利指派用戶權(quán)利指派。圖8-9 安全選項 常用的用戶權(quán)力指派中包括以下選項：（1）在本地登錄在本地登錄：允許用戶在本臺計算機(jī)上按CTRL+ALT+DEL鍵登錄。（2）域中增加工作站域中增加工作站：允許用戶將Windows NT/Windows 2000計算機(jī)加

12、入到域內(nèi)。（3）關(guān)閉系統(tǒng)關(guān)閉系統(tǒng)：允許用戶關(guān)閉此計算機(jī)。（4）從網(wǎng)絡(luò)訪問訪問此計算機(jī)。（5）從遠(yuǎn)端計算機(jī)來關(guān)閉關(guān)閉此計算機(jī)。（6）備份備份文件和目錄。（7）還原還原文件和目錄。（8）管理管理審核和安全日志。（9）更改更改系統(tǒng)的時間。（10）裝載和卸載裝載和卸載設(shè)備驅(qū)動程序。（11）取得取得文件或其他對象的所有權(quán)所有權(quán)。8.5.2 安全選項策略 設(shè)置步驟：1.1. 打開打開“Active Directory用戶和計算機(jī)”對話框2. 在域或組織單位上單擊鼠標(biāo)右鍵右鍵3. 在彈出的快捷菜單中選擇“屬性屬性”在對話框中選擇“組策略”4. 選定GPOGPO5. 單擊“編輯編輯”按鈕6. 在打開的窗口中單

13、擊“計算機(jī)配置計算機(jī)配置”7. “WindowsWindows設(shè)置設(shè)置”8. “安全安全設(shè)置”9. “本地本地策略”10.“安全安全選項”圖8-10 安全選項 常用的安全策略包括以下選項：（1）登錄屏幕上不要顯示不要顯示上次登錄的用戶名。（2）允許允許在未登錄前關(guān)機(jī)。（3）在密碼到期前提示提示用戶更改用戶密碼。（4）禁用禁用按Ctrl+Alt+Del進(jìn)行登錄的設(shè)置。（5）只有在本地登錄的用戶才能訪問訪問CD-ROM。8.6.1 登錄/注銷腳本的設(shè)置 登錄/注銷腳本用于指定指定用戶登錄或注銷計算機(jī)時運(yùn)行的腳本。登錄/注銷腳本是可選可選的。8.6.2 啟動/關(guān)閉腳本的設(shè)置 啟動/關(guān)閉腳本是針對計算

14、機(jī)進(jìn)行的設(shè)置，當(dāng)所有使用此計算機(jī)的用戶啟動和關(guān)閉計算機(jī)時，預(yù)先設(shè)置好的啟動或關(guān)閉腳本就可以執(zhí)行。啟動/關(guān)閉腳本的設(shè)置與登錄/注銷腳本的設(shè)置步驟十分相似。啟動腳本文件名稱為：startup.vbs文件內(nèi)容為：wscript.echo“Welcome to Windows Server 2000”。關(guān)閉腳本文件名稱為：shutdown.vbs 文件內(nèi)容為：wscript.echo“Windows 2000 will be shut down, goodbye”。部署應(yīng)用程序包括如下內(nèi)容：（1）將應(yīng)用程序發(fā)布發(fā)布（發(fā)行）給用戶（2）將應(yīng)用程序指派指派給用戶或計算機(jī)（3）自動修復(fù)自動修復(fù)應(yīng)用程序（4）

15、刪除刪除用戶應(yīng)用程序8.7.1 發(fā)布應(yīng)用程序一、發(fā)布發(fā)布應(yīng)用程序二、安裝安裝被發(fā)布的應(yīng)用程序三、測試測試自動修復(fù)應(yīng)用程序功能8.7.2 給用戶指派應(yīng)用程序 給用戶指派應(yīng)用程序與給用戶發(fā)布應(yīng)用程序的方法基本一致:1.首先建立包含Windows安裝程序包的文件夾文件夾2.接下來設(shè)置默認(rèn)程序包位置位置3.最后給用戶指派指派應(yīng)用程序只需要將給用戶發(fā)布應(yīng)用程序中的步驟部署軟件的類型由“已發(fā)行已發(fā)行”改為“已指派已指派”即可。圖圖8-11 指派應(yīng)用程序指派應(yīng)用程序 8.7.3 給計算機(jī)指派應(yīng)用程序圖8-12 新建程序包 8.7.4 更改部署應(yīng)用程序的設(shè)置圖8-13 刪除任務(wù) 8.7.5 文件夾重定向 可以

16、利用組策略將一些Windows Server 2003內(nèi)的特殊文件夾的存儲位置，重定向到網(wǎng)絡(luò)上的其他位置。特殊文件夾，是指如“我的文檔”、“my pictures”等數(shù)據(jù)的存儲位置。一般情況下，這些文件夾是在本地計算機(jī)內(nèi)本地計算機(jī)內(nèi)，如可以單擊“我的文檔”屬性“目標(biāo)文件夾”將此文件夾的存儲位置指定到網(wǎng)絡(luò)上的其他計算機(jī)內(nèi)。 通過以下兩種方式來重定向文件夾： （1）針對每個用戶用戶設(shè)置，也就是將每個用戶的文件夾重定向。 （2）針對某個組組設(shè)置，組內(nèi)所有用戶的文件夾都將被重定向。事件查看器允許用戶監(jiān)視監(jiān)視用戶系統(tǒng)事件。它保存保存用戶計算機(jī)上的程序、安全和系統(tǒng)事件的日志。Windows Server

17、2003操作系統(tǒng)的事件日志文件主要分類：一、系統(tǒng)日志 二、應(yīng)用程序日志 三、安全日志 四、目錄服務(wù)日志 一、打開事件查看器方式 開始程序管理工具事件查看器 圖8 -14 事件查看器（1）日期與時間：事件被記錄的日期與時間。（2）來源：記錄此事件的程序名稱。（3）類型：事件所屬的類型，包括信息、警告或錯誤等。（4）分類：產(chǎn)生事件的程序會將事件信息分類。（5）事件：每個事件都被賦予一個惟一的標(biāo)號，即事件ID。（6）用戶：事件發(fā)生時，哪個用戶正在使用此計算機(jī)，或事件由哪個用戶制造出來的。（7）計算機(jī)：事件發(fā)生所在的計算機(jī)名稱。 （1）錯誤：記錄Windows Server 2003操作系統(tǒng)所產(chǎn)生的錯

18、誤，記錄的是重要重要的問題，例如數(shù)據(jù)丟失或功能喪失。（2）警告：并不是非常嚴(yán)重，但有可能說明將來的潛在問題潛在問題的事件。（3）信息：描述了應(yīng)用程序、驅(qū)動程序或服務(wù)的成功操作的事件事件。（4）成功審核：成功成功的審核安全訪問嘗試。（5）失敗審核：失敗失敗的審核安全登錄嘗試。圖圖8-14 一、事件搜索 1.1.所有所有事件搜索2.2.特定特定事件搜索 選擇需要查找的事件類型、事件來源、類別、事件ID、用戶和計算機(jī)等相匹配的事件。二、事件篩選可以針對事件的類型、事件來源、產(chǎn)生事件的計算機(jī)、事件ID、產(chǎn)生事件的用戶、事件的起始/結(jié)束時間來設(shè)置要顯示的事件。三、顯示事件信息 根據(jù)用戶需求需求顯示事件不同的信息。存儲事件日志的文件格式：（1）日志文件格式（*.evt）（2）純文本文件格式（*.txt） （3）逗號分隔的文本文件格式（*.csv） 要審核用戶訪問資源的步驟：（1）設(shè)置審核策略必須是具備Administrator權(quán)限的用戶才有權(quán)利設(shè)置審核策略。（2）設(shè)置要審核的資源：必須具備“管理審核及安全