實(shí)驗(yàn)八組策略

1、Unit 8配置組策略 實(shí)驗(yàn)?zāi)康牧私獠⒄莆战M策略的配置。實(shí)驗(yàn)內(nèi)容通過(guò)使用組策略來(lái)實(shí)現(xiàn)計(jì)算機(jī)及用戶(hù)安全 1組策略 可以使用“組策略”為用戶(hù)和計(jì)算機(jī)組定義用戶(hù)和計(jì)算機(jī)的配置 “組策略”配置包含在一個(gè)“組策略對(duì)象”(GPO) 中，該對(duì)象又與選定的Active Directory服務(wù)容器如站點(diǎn)、域或組織單位(OU) 等相關(guān)聯(lián) 組策略對(duì)象包括兩種對(duì)象本地的組策略對(duì)象 非本地的組策略對(duì)象2組策略結(jié)構(gòu) 組策略對(duì)象(Group Policy Object)實(shí)現(xiàn)組策略設(shè)置的機(jī)制是組策略對(duì)象，它包含了設(shè)定好的設(shè)置組策略對(duì)象（GPO） 由GPC和GPT兩部分構(gòu)成GPT(Group Policy Template )

2、，包含所有的組策略的設(shè)置和信息（systemroot/SYSVOL/sysvol）GPC(Group Policy Container)，包含GPO屬性和版本信息的活動(dòng)目錄對(duì)象（活動(dòng)目錄用戶(hù)和計(jì)算機(jī) 系統(tǒng) 策略）3組策略結(jié)構(gòu) 計(jì)算機(jī)和用戶(hù)的組策略設(shè)置通過(guò)使用組策略中各自的計(jì)算機(jī)配置和用戶(hù)配置節(jié)點(diǎn)來(lái)推行網(wǎng)絡(luò)中計(jì)算機(jī)當(dāng)計(jì)算機(jī)策略和用戶(hù)策略發(fā)生沖突時(shí)，計(jì)算機(jī)策略覆蓋用戶(hù)策略組策略對(duì)象和活動(dòng)目錄容器GPO和站點(diǎn)、域以及組織單位相連接或關(guān)聯(lián)。在將GPO和站點(diǎn)、域或組織單位鏈接后， GPO的設(shè)置將應(yīng)用在站點(diǎn)、域或組織單位的用戶(hù)和計(jì)算機(jī)上4組策略 存儲(chǔ)在域控制器中的非本地組策略對(duì)象只能在Active Dir

3、ectory環(huán)境下使用。它們適用于組策略對(duì)象所關(guān)聯(lián)的站點(diǎn)、域或組織單位中的用戶(hù)和計(jì)算機(jī)。 本地組策略對(duì)象存儲(chǔ)在各個(gè)本地計(jì)算機(jī)上。一臺(tái)計(jì)算機(jī)上只存儲(chǔ)一個(gè)本地組策略對(duì)象，而且它有一個(gè)在非本地組策略對(duì)象中可用的設(shè)置子集。 使用組策略，我們可以對(duì)用戶(hù)工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實(shí)施管理員定義的策略，對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行管理 5實(shí)現(xiàn)組策略的前提 運(yùn)行在活動(dòng)目錄上，組策略是在活動(dòng)目錄的最大應(yīng)用 組策略依賴(lài)于Windows操作系統(tǒng) 6組策略應(yīng)用順序 唯一的本地組策略對(duì)象。站點(diǎn)組策略對(duì)象，按照行政管理指定的順序。域組策略對(duì)象，按照行政管理指定的順序。對(duì)于組織單位組策略對(duì)象，按照從大組織單位到小的組織單位順

4、序（從父組織單位到子組織單位），而在每個(gè)組織單位級(jí)別中，則按照行政管理指定的順序。默認(rèn)情況下，這些策略不一致時(shí)，后應(yīng)用的策略將覆蓋以前應(yīng)用的策略7組策略 組策略包括應(yīng)用于域或計(jì)算機(jī)組的大量安全權(quán)限配置文件 一個(gè)組策略對(duì)象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計(jì)算機(jī) 組策略可由父站點(diǎn)傳遞到子站點(diǎn)和局域網(wǎng)。如果將一個(gè)特定組策略指派給高級(jí)的父站點(diǎn)，這個(gè)組策略會(huì)應(yīng)用到父等級(jí)以下所有站點(diǎn)，包括每個(gè)容器中的用戶(hù)和計(jì)算機(jī)對(duì)象策略設(shè)置是在域范圍內(nèi)進(jìn)行的 組策略有100多個(gè)與安全有關(guān)的設(shè)置和450多個(gè)基于注冊(cè)表的設(shè)置，為管理用戶(hù)計(jì)算機(jī)環(huán)境提供了眾多的選項(xiàng)，某一選項(xiàng)一旦被設(shè)置將會(huì)作用于登錄到域上的所有用戶(hù)和工作站 8實(shí)施組策略

5、安全管理 分別從服務(wù)器和工作站兩方面進(jìn)行 應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù) 在域上實(shí)施組策略 將工作站置于服務(wù)器所管理的域中9組策略中的管理模板 .adm文本文件 為組策略管理模板項(xiàng)目提供策略信息 系統(tǒng)文件夾的inf文件夾中，包含了默認(rèn)安裝下的4個(gè)模板文件 System.adm：默認(rèn)情況下安裝在“組策略”中，用于系統(tǒng)設(shè)置Inetres.adm：默認(rèn)情況下安裝在“組策略”中；用于Internet Explorer策略設(shè)置Wmplayer.adm：用于Windows Media Player 設(shè)置Conf.adm：用于NetMeeting 設(shè)置10組策略控制臺(tái) 組策略對(duì)象為當(dāng)前的計(jì)算機(jī) 開(kāi)始 運(yùn)行 g

6、pedit.msc 確定11組策略控制臺(tái) 組策略對(duì)象為其他的計(jì)算機(jī) 開(kāi)始 運(yùn)行 MMC 確定“控制臺(tái)”菜單 添加/刪除管理單元 “獨(dú)立”選項(xiàng)卡 添加“可用的獨(dú)立管理單元”對(duì)話框 組策略 添加“選擇組策略對(duì)象”對(duì)話框 “本地計(jì)算機(jī)”編輯本地計(jì)算機(jī)對(duì)象，或通過(guò)單擊“瀏覽”查找所需的組策略對(duì)象 （對(duì)于不包含域的計(jì)算機(jī)系統(tǒng) ，只有“計(jì)算機(jī)”標(biāo)簽，而沒(méi)有其他標(biāo)簽項(xiàng)目 ）組策略管理單元即打開(kāi)要編輯的組策略對(duì)象 12組策略控制臺(tái) 13組策略控制臺(tái) 14組策略控制臺(tái) 15組策略控制臺(tái) 16組策略控制臺(tái) 17組策略控制臺(tái) 18組策略控制臺(tái) 19在活動(dòng)目錄中應(yīng)用組策略設(shè)置 組策略是如何被處理的 當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，針

7、對(duì)計(jì)算機(jī)的設(shè)置生效，啟動(dòng)腳本運(yùn)行當(dāng)用戶(hù)登錄時(shí)，針對(duì)用戶(hù)的設(shè)置生效，登錄腳本運(yùn)行施加的順序?yàn)椋罕緳C(jī) 站點(diǎn) 域 OU解決組策略之間的沖突 如果組策略設(shè)置間存在沖突，將采用最新設(shè)置而忽略其他設(shè)置，除非用戶(hù)設(shè)置和計(jì)算機(jī)設(shè)置沖突。而在大多數(shù)場(chǎng)合，計(jì)算機(jī)設(shè)置高于用戶(hù)設(shè)置母容器的GPO設(shè)置和子容器的GPO設(shè)置沖突。當(dāng)這種情況發(fā)生時(shí)，子容器的設(shè)置后執(zhí)行并發(fā)揮作用連接到同一容器上的不同GPO的設(shè)置發(fā)生沖突。當(dāng)這種情況發(fā)生時(shí)，在容器屬性對(duì)話框中GPO列表中最高位置的GPO的設(shè)置后執(zhí)行并發(fā)揮作用20實(shí)現(xiàn)組策略問(wèn)題：在OU中用戶(hù)對(duì)象最終組策略是什么，為什么？ GPO1:確定“Favorites”出現(xiàn)在“Start”菜

8、單中的組策略設(shè)置上GPO2:要求輸入至少一個(gè)含有11個(gè)字符的密碼的組策略設(shè)置GPO3:從開(kāi)始菜單中移動(dòng)Windows更新圖標(biāo)中的“Start”菜單設(shè)置GPO4:確保Windows更新圖標(biāo)在“Start”菜單中并從“Start”菜單中刪除“Favorites”的“Start”菜單設(shè)置GPO1SiteDomainOUGPO2GPO3GPO421實(shí)現(xiàn)組策略最終策略設(shè)置是 用戶(hù)密碼至少為11個(gè)字符Windows更新圖標(biāo)在“Start”菜單中出現(xiàn)“Favorites”不出現(xiàn)在“Start”菜單中從“Start”菜單里移去“Favorites”的組策略設(shè)置必須在確保它已在“Start”菜單中出現(xiàn)后執(zhí)行22

9、修改組策略的繼承性允許阻止繼承阻止繼承將不允許子容器從母容器那里繼承GPO的組策略設(shè)置。允許在一子容器阻止繼承將阻止容器所有的組策略設(shè)置而不是單個(gè)設(shè)置。當(dāng)活動(dòng)目錄的容器需要唯一的組策略設(shè)置和需要確保設(shè)置不被繼承時(shí)這一功能很有用允許不重寫(xiě)Windows不受阻止繼承性設(shè)置和通常的沖突解決方式的影響而沿著活動(dòng)目錄樹(shù)執(zhí)行GPO。防止其它的組策略對(duì)象替代這個(gè)組對(duì)象的策略集篩選組策略設(shè)置用來(lái)修改組策略繼承性的另一種方式。篩選將允許讀者阻止一個(gè)GPO和它的設(shè)置應(yīng)用于一容器內(nèi)部的特定的計(jì)算機(jī)、用戶(hù)以及安全組23組策略的類(lèi)型用戶(hù)配置 計(jì)算機(jī)配置在“用戶(hù)配置”和“計(jì)算機(jī)配置”中均包含三個(gè)方面的內(nèi)容軟件設(shè)置Wind

10、ows設(shè)置管理模板 24添加“策略模板” 25添加“策略模板”26隱藏桌面的系統(tǒng)圖標(biāo) 27隱藏桌面的系統(tǒng)圖標(biāo) 28個(gè)性化“任務(wù)欄”和“開(kāi)始”菜單 個(gè)性化“任務(wù)欄”和“開(kāi)始”菜單29個(gè)性化“任務(wù)欄”和“開(kāi)始”菜單 個(gè)性化“任務(wù)欄”和“開(kāi)始”菜單30IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )31IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )32IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )33IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )34IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )35IE設(shè)置 IE設(shè)置(需添加inet

11、res.adm模板文件 )36IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )37IE設(shè)置 IE設(shè)置(需添加inetres.adm模板文件 )38Windows Media Player Windows Media Player設(shè)置(ADM文件為wmplayer.adm )39Windows Media Player Windows Media Player設(shè)置(ADM文件為wmplayer.adm )40Windows Media Player Windows Media Player設(shè)置(ADM文件為wmplayer.adm )41屏蔽使用所有 Windows Update 功

12、能的訪問(wèn) 屏蔽使用所有 Windows Update 功能的訪問(wèn)42在Windows XP/2003中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)在Windows XP/2003中，新增了一條命令行工具“shutdown”，它可以關(guān)閉或重新啟動(dòng)本地或遠(yuǎn)程計(jì)算機(jī)該命令具體的使用參數(shù)和技巧請(qǐng)參考Windows的幫助系統(tǒng)，幫助系統(tǒng)里面有全面的資料注銷(xiāo)當(dāng)前用戶(hù): shutdown - l (該命令只能注銷(xiāo)本機(jī)用戶(hù)，對(duì)遠(yuǎn)程計(jì)算機(jī)不適用)關(guān)閉本地計(jì)算機(jī) : shutdown - s重啟本地計(jì)算機(jī) : shutdown - r定時(shí)關(guān)機(jī) : shutdown - s -t 30 (指定在30秒之后自動(dòng)關(guān)閉計(jì)算機(jī) )43在Windows XP

13、/2003中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)中止計(jì)算機(jī)的關(guān)閉 : shutdown a使用命令：shutdown -s -m Asolon -t 30（在30秒內(nèi)關(guān)閉Asolon名為Asolon的計(jì)算機(jī)）該命令執(zhí)行后，計(jì)算機(jī)Asolon一點(diǎn)反應(yīng)都沒(méi)有，屏幕上卻提示“Access is denied （拒絕訪問(wèn)）出現(xiàn)這種情況是因?yàn)橹挥泄芾韱T組的用戶(hù)才有權(quán)從遠(yuǎn)端關(guān)閉計(jì)算機(jī)，而一般情況下我們從局域網(wǎng)內(nèi)的其他電腦訪問(wèn)該計(jì)算機(jī)時(shí)，則只有g(shù)uest用戶(hù)權(quán)限，所以執(zhí)行上述命令時(shí)，便會(huì)出現(xiàn)“拒絕訪問(wèn)”的情況。我們利用組策略即可賦予guest用戶(hù)遠(yuǎn)程關(guān)機(jī)的權(quán)限 44在Windows XP/2003中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)45在Windows

14、 XP/2003中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)使用命令：shutdown -s -m Anyes-solon -t 60（在60秒內(nèi)關(guān)閉Anyes-solon名為Asolon的計(jì)算機(jī)）46關(guān)閉縮略圖的緩存 關(guān)閉縮略圖的緩存 47關(guān)閉系統(tǒng)還原功能 48禁止Windows Messenger自動(dòng)運(yùn)行 49隱藏“我的電腦”中指定的驅(qū)動(dòng)器 隱藏“我的電腦”中指定的驅(qū)動(dòng)器 50防止從“我的電腦”訪問(wèn)驅(qū)動(dòng)器 防止從“我的電腦”訪問(wèn)驅(qū)動(dòng)器 51禁止更改顯示屬性 52禁用注冊(cè)表編輯器 53徹底禁止訪問(wèn)“控制面板” 54禁用“添加/刪除程序” 55限制使用應(yīng)用程序 56限制使用應(yīng)用程序 57利用組策略管理58利用組策略管理59

15、利用組策略管理60利用組策略管理61利用組策略管理62利用組策略管理63利用組策略管理64利用組策略管理65利用組策略管理66 軟件分發(fā)介紹Windows的軟件分發(fā)是針對(duì)軟件生存周期而設(shè)置的，可以實(shí)現(xiàn)整個(gè)周期的全自動(dòng)。包括：自動(dòng)安裝軟件，自動(dòng)維護(hù)軟件，自動(dòng)刪除軟件。軟件分發(fā)最主要的作用就是對(duì)軟件生存周期實(shí)現(xiàn)了全自動(dòng)的過(guò)程利用組策略管理用戶(hù)環(huán)境67 軟件分發(fā)過(guò)程需要分發(fā)的軟件（必須是*.MSI格式的文件）把這個(gè)軟件放到軟件分發(fā)點(diǎn)（即為一共享文件夾）創(chuàng)建或修改GPO(組策略)配置GPO進(jìn)行軟件分發(fā)利用組策略管理用戶(hù)環(huán)境68 利用組策略重定向文件夾Windows允許用戶(hù)重定向文件夾(這些文件夾是用戶(hù)配置文件的一部份)，把這些文件夾從用戶(hù)的硬盤(pán)上重定向到服務(wù)器的中心位置通過(guò)重定向文件夾，可以確保用戶(hù)數(shù)據(jù)在中心位置，而且不管用戶(hù)從什么計(jì)算機(jī)上登錄，都可以訪問(wèn)這些數(shù)據(jù)。這使管理和備份集中的數(shù)據(jù)更為簡(jiǎn)便根據(jù)用戶(hù)和網(wǎng)絡(luò)的需要，可以重定向我的文檔、應(yīng)用程序數(shù)據(jù)、桌面和開(kāi)始菜單文件夾利用組策略管理用戶(hù)環(huán)境69 重定向文件夾創(chuàng)建的步驟創(chuàng)建一共享的公共文件夾；建立GPO或選擇現(xiàn)有的GPO，然后單擊“編輯”；展開(kāi)“用戶(hù)