課件說明案例

WindowsServer2003組策略的管理與安全設(shè)置學(xué)習(xí)指南內(nèi)容提要：組策略對于網(wǎng)絡(luò)管理員非常有用，通過它，可以方便地對計算機(jī)資源進(jìn)行管理。本文主要介紹了組策略控制臺的啟動、組策略中的管理模板、如何通過組策略管理系統(tǒng)以及組策略的安全設(shè)置等方面的內(nèi)容。引言：利用組策略，可以將系統(tǒng)重要的配置功能匯集成各種配置模塊，供網(wǎng)絡(luò)管理人員直接使用，從而達(dá)到方便管理計算機(jī)資源的目的。通過組策略編輯器，網(wǎng)絡(luò)管理員可以輕松地為系統(tǒng)進(jìn)行安全策略的設(shè)置，從而起到安全保障的作用。啟動WindowsServer2003的組策略控制對于WindowsServer2003本地計算機(jī)組策略的啟啟動組策略的步驟如下：“gpedit.msc”，單擊“確定”按鈕，如圖1所示。個子鍵組成，如圖2所示。域范圍組策略的啟動打開“控制面板”窗口，選擇“管理工具”→“域安全策略”，如圖3如果想對域控制器上的組策略對象進(jìn)行編輯，也可以在“控制面板”中選擇“管理工具”→“域控4所示的“默認(rèn)域控制器安全設(shè)置”窗口，就可以加載默認(rèn)的域組對象的屬性或域控制器組策略對象的屬性。創(chuàng)建組策略控制臺可以通過將組策略作為獨立的控制臺管理程序來打開，對其他的計算機(jī)組策略對象進(jìn)行配置。創(chuàng)建組策略控制臺的步驟如下：單擊“確定”按鈕，如圖5系統(tǒng)打開“控制臺”窗口，如圖6在“控制臺”窗口中，選擇“文件”→“添加刪除管理單元”選項，打開“添加刪除管理單元”框，如圖7所示。單擊“添加”按鈕，打開“添加獨立管理單元”框，如圖8所示在如圖8所示框中的“可用的獨立管理單元”列表框中，選擇“組策略對象編輯器”，如圖9所示。圖 圖單擊“添加”按鈕，系統(tǒng)彈出“選擇組策略對象”框，如圖10所示在“選擇組策略對象”框中，默認(rèn)的組策略設(shè)置對象為“本地計算機(jī)”，可以通過單擊“瀏覽”按鈕來選擇網(wǎng)絡(luò)中的其他計算機(jī)來進(jìn)行組策略的配置。單擊“瀏覽”按鈕后系統(tǒng)會彈出如圖11所示的框。到“添加/刪除管理單元”框，這時還可進(jìn)行其他的設(shè)置。在“添加刪除管理單元”框中選擇“擴(kuò)展”選項卡，如圖12所示。在該選項卡中，可以對要出現(xiàn)在此“組策略”內(nèi)的擴(kuò)展性管理單元進(jìn)行設(shè)置，系統(tǒng)會將該組策略對象內(nèi)所有可以使用的擴(kuò)展性管理單元都加入到“組策略”編輯器中。最后，可以單擊“確定”按鈕返回。這時，在控制臺內(nèi)就是自定義格式的組策略編輯器了，如圖13所示。可以將此操作環(huán)境起來，以便在日后設(shè)置組策略對象時使用。組策略的管理組策略中的管理模板在WindowsServer2003系 中包含了幾個被稱為“管理模板”的.adm文件。這些文件組策略管理模板項目提供策略信息。在WindowsServer2003的系統(tǒng)文件夾的inf文件夾中，包含了System.adm：用于系統(tǒng)設(shè)置，默認(rèn)情況下安裝在“組策略”中。Inetres.adm：用于InternetExplorerWmplayer.adm：用于WindowsMediaPlayerConf.adm：用于NetMeetingWuau.adm：用于配置組策略來控 AU與Windows9X只允許當(dāng)前打開一個策略模板不同的是，在WindowsServer2003操作系統(tǒng)的組策略控制臺中，可以多次添加“策略模板”，添加的步驟如下：展開“組策略編輯器”窗口左側(cè)的“計算機(jī)配置”或“用戶配置”，右擊其中的“管理模板”，在彈出的子菜單中選擇“添加刪除模板”命令，如圖14所示。系統(tǒng)會彈出如圖15所示的“添加/刪除模板”框圖 圖單擊“添加”按鈕，彈出如圖16所示的“策略模板”框，可以選擇相應(yīng)的.adm文單擊“打開”按鈕，就會在“添加/刪除模板”框中看到新添加的管理模板所產(chǎn)生配置項目了，如圖17圖 圖通過組策略管理系統(tǒng)修改注冊表編輯器通過禁用表編輯器，可以防止他人在使用電腦時對表文件進(jìn)行修改。下面介紹禁用注冊表編輯器的操作步驟：彈出“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“系統(tǒng)”，如圖18所示。話框，如圖19所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。最后，可以進(jìn)試。選擇“開始”→“運行”命令，在“運行”框中輸入“regedit”，單擊“確定”按鈕，系統(tǒng)將彈出警告框，提示表編輯已經(jīng)被管理員禁用了。如圖20所示。圖 圖使用命令提示符在使用WindowsServer2003時，可以通過運行“cmd.exe”命令進(jìn)入DOS命令提示符狀態(tài)，在該狀態(tài)中所執(zhí)行的一些命令會到網(wǎng)絡(luò)運行的安全，作為網(wǎng)絡(luò)管理員，出于的考慮，可以使用命令提示符。打開“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“系統(tǒng)”，然后雙擊窗口右側(cè)的“命令提示符”，如圖21所示。系統(tǒng)彈出“命令提示符屬性”框，如圖22所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。在如圖22所示的框中，系統(tǒng)提示是否也停用命令提示符處理，這個設(shè)置決定了批處理文件.cmd和.bat是否可以在該計算機(jī)中運行。最后，用戶可以嘗試在“運行”框中輸入cmd命令，系統(tǒng)將會提示命令提示符已經(jīng)被系統(tǒng)管理員停用了，如圖23所示。圖 圖隱藏“我的電腦”中指定的驅(qū)動器作為管理員，可以從“我的電腦”以及“Wnows資源管理器”中刪除硬盤驅(qū)動器的圖標(biāo)，并且隱藏驅(qū)動器號，以限制用戶驅(qū)動器中的數(shù)據(jù)?！癢ndws資源管理器”，然后雙擊窗口右側(cè)的“隱藏‘我的電腦’中的這些指定的驅(qū)動器”，如圖24所示。系統(tǒng)彈出“隱藏‘我的電腦’中的這些指定的驅(qū)動器屬性”框，如圖25所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。回到桌面，打開“我的電腦”窗口，發(fā)現(xiàn)所有的驅(qū)動器都被管理員隱藏了，如圖26制面板”

→“控制面板”，然后雙擊窗口右側(cè)的“控制面板”，如圖27所示系統(tǒng)彈出“ 控制面板屬性”框，選擇“已啟用”單選按鈕，再單擊“確定”28更改顯示屬性顯示屬性來實現(xiàn)這些限制。圖29所示。使用“添加/刪除程序”

若想用戶對操作系統(tǒng)中的程序隨意地進(jìn)行添加或刪除，可以利用組策略來實現(xiàn)面板”→“添加刪除程序”，在窗口右側(cè)列出了關(guān)于添加刪除程序的選項，可以根據(jù)具體的需求來進(jìn)行不同的限制，如圖30所示。限制使用應(yīng)用程序→“系統(tǒng)”，然后雙擊窗口右側(cè)的“只運行的Windows應(yīng)用程序”，如圖31所示系統(tǒng)彈出“只運行的Windows應(yīng)用程序?qū)傩浴笨?，如圖32所示，選擇“已啟用”同時，在“只運行的Windows應(yīng)用程序?qū)傩浴笨蛑羞€可以選擇允許運行的應(yīng)用程序。單擊“顯示”按鈕，系統(tǒng)會彈出“顯示內(nèi)容”框，如圖33所示。圖 圖單擊“添加”按鈕，便可以添加允許運行的應(yīng)用程序了，如圖34隱藏桌面的系統(tǒng)圖標(biāo)打開“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“管理模板”→“桌35所示。建立新的連接

系統(tǒng)彈出“ ‘新建連接向?qū)А瘜傩浴笨颍鐖D37所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。雙擊“組策略編輯器”窗口右側(cè)的“為管理員啟用Windows2000彈出“為管理員啟用Windows2000網(wǎng)絡(luò)連接設(shè)置屬性”框，如圖38所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。圖 圖啟用這兩個策略后，“新建連接”圖標(biāo)就不會出現(xiàn)在“開始”菜單或“網(wǎng)絡(luò)連接”文件夾中，那么用戶將無法啟動“網(wǎng)絡(luò)連接”向?qū)А＝M策略的安全設(shè)置組策略安全概述Wndowsevr2003操作系統(tǒng)存在著許多安全方面的，雖然可以通過打補丁的方法來減少大部分的，但還是不能完全杜絕由一些小導(dǎo)致的系統(tǒng)被或。在WndowsSrvr203中自帶的“組策略編輯器”就是一個非常不錯的系統(tǒng)安全管理工具。通過“組策略”編輯器網(wǎng)絡(luò)管理員可以輕松地為系統(tǒng)進(jìn)行安全策略的設(shè)置從而起到安全保障的作用。組策略包括應(yīng)用于域或計算機(jī)組的大量安全權(quán)限配置文件。一個組策略對象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計算機(jī)。單個計算機(jī)啟動時，組策略得以應(yīng)用，如果做出改動時沒有重新啟動計算機(jī)，組策略會得到定期刷新。組策略的繼承性組策略的繼承性包括了WindowsServer2003在活動中處理組策略的順序，以及在連接到母容器的組策略的繼承性。繼承流程是：默認(rèn)組策略被繼承。子容器從父容器那里繼承組策略，就是說子容器可能擁有多個用于用戶和計算機(jī)的組策略設(shè)置。不止一個組策略與它連接，比如說，一個站點包含一個域以上的計算機(jī)，連接到該站點的組策略中定義的組策略設(shè)置將應(yīng)用到所有登錄到該站點的計算機(jī)設(shè)置用戶上，不管計算機(jī)和用戶賬號是否在域中。組策略的安全設(shè)置組策略對象“安全設(shè)置”節(jié)點的容器包括：賬戶策略、本地策略、公鑰策略、P安全策略等。有些策略只應(yīng)用于域的范圍，也就是說，策略設(shè)置是在域范圍內(nèi)進(jìn)行的。例如賬戶策略一律應(yīng)用于域內(nèi)的所有用戶賬戶。不能為同一域內(nèi)的不同部門定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其他策略范圍都可在部門等級設(shè)定。安全模板WindowsServer2003系統(tǒng)為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板?！鞍踩０濉笔荳indowsServer2003域控制器、服務(wù)器或客戶計算機(jī)上適合某一特定安全等級的安全設(shè)置配置文實施組策略安全管理通常，網(wǎng)絡(luò)管理員可以分別從服務(wù)器和工作站局域網(wǎng)中對WindowsServer2003系統(tǒng)實施安全管理。在服務(wù)器上安裝活動 服務(wù)的基礎(chǔ)上，在域中實施組策略；最后應(yīng)將工作站置于服務(wù)器所管理的打開組策略控制臺選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機(jī)”命令，啟動“ActiveDirectory用戶和計算機(jī)”，在右面對象容器樹中的根上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。設(shè)置組