基于新信息技術的Windows Server 2019服務器配置與管理項目教程 課件 項目4 組策略的配置與管理

任務1配置本地安全策略

任務2創(chuàng)建域環(huán)境中的安全策略項目背景某公司決定實施組策略來管理賬戶策略，配置服務器組策略，提高計算機的安全性。在項目3中，公司已經進行了OU設置，管理員需要創(chuàng)建組策略對象(grouppolicyobject，GPO)來部署計劃，使一些策略可應用于所有域對象，一些策略應用于武漢分公司，一些策略應用于廣州分公司，并且使計算機和用戶設置不同的策略，所以必須將GPO管理委派給公司每個地點的管理員。網(wǎng)絡管理員小高通過查詢資料，獲知在域環(huán)境下建立組策略的基本步驟如下：(1)創(chuàng)建好相應的組織單位。(2)創(chuàng)建組織單位的組策略對象。(3)編輯組織單位的組策略對象。任務1配置本地安全策略某公司新購置了一臺服務器，已經安裝了WindowsServer2019。公司管理員小高需要在該服務器上配置本地安全策略，完成對用戶賬戶和計算機賬戶的集中化管理和配置。一、組策略組策略是微軟WindowsNT家族操作系統(tǒng)的一個特性，它可以控制用戶賬戶和計算機賬戶的工作環(huán)境。組策略提供了操作系統(tǒng)、應用程序和活動目錄中用戶設置的集中化管理和配置。組策略的一個版本名為本地組策略，它可以在獨立且非域的計算機上管理組策略對象。(一)組策略概述組策略在部分意義上用于控制用戶可以或不能在計算機上做什么(例如，施行密碼復雜性策略，以避免用戶選擇過于簡單的密碼，允許或阻止身份不明的用戶從遠程計算機連接到網(wǎng)絡共享，阻止訪問Windows任務管理器或限制訪問特定文件夾)，為特定用戶或用戶組定制可用的程序、桌面上的內容及“開始”菜單等，在整個計算機范圍內創(chuàng)建特殊的桌面配置等。簡言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。(二)組策略的執(zhí)行順序要完成一組計算機的中央管理目標，計算機應該接收和執(zhí)行組策略對象。駐留在單臺計算機上的組策略對象僅適用于該臺計算機。要應用一個組策略對象到一個計算機組，組策略依賴活動目錄進行分發(fā)。活動目錄可以分發(fā)組策略對象到一個Windows域中的計算機。在默認情況下，MicrosoftWindows每90分鐘刷新一次組策略，隨機偏移30分鐘。在域控制器上，MicrosoftWindows每隔5分鐘刷新一次。在刷新時，它會發(fā)現(xiàn)、獲取和應用所有使用這臺計算機和已登錄用戶的組策略對象。某些設置(如自動化軟件安裝、驅動器映射、腳本啟動或登錄)只在啟動或用戶登錄時應用。從WindowsXP開始，用戶可以使用“gpupdate”命令手動啟動組策略刷新功能。組策略對象會按照以下順序(從上到下)處理：(1)本地：任何在本地計算機設置的組策略。在WindowsVista之前，每臺計算機只能有一份本地組策略。在WindowsVista和之后的Windows版本中，允許每個用戶賬戶分別擁有組策略。(2)站點：任何與計算機所在的活動目錄站點關聯(lián)的組策略。活動目錄站點是旨在管理促進物理上接近的計算機的一種邏輯分組。如果多個策略已鏈接到一個站點，則將按照管理員設置的順序進行處理。(3)域：任何與計算機所在Windows域關聯(lián)的組策略。如果多個策略已鏈接到一個域，則將按照管理員設置的順序進行處理。(4)組織單元：任何與計算機或用戶所在的活動目錄組織單元(OU)關聯(lián)的組策略。OU是幫助組織和管理一組用戶、計算機或其他活動目錄對象的邏輯單元。如果多個策略已鏈接到一個OU，則將按照管理員設置的順序進行處理。(三)組策略與注冊表注冊表是Windows中保存系統(tǒng)、應用軟件配置的數(shù)據(jù)庫。隨著Windows功能的不斷豐富，注冊表里的配置項也越來越多。很多配置項是可以自定義設置的，但這些配置項被發(fā)布在注冊表的各個角落，用戶進行手動配置是非常困難和煩瑣的，而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。簡單來說，組策略用于修改注冊表中的配置項。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比用戶手動修改注冊表更方便、靈活，功能也更加強大。按“Windows?+?R”組合鍵，打開“運行”對話框，在“打開”文本框中輸入“regedit”，按回車鍵后打開“注冊表編輯器”窗口，如圖4-1所示。二、本地組策略(一)本地組策略概述本地組策略(localgrouppolicy，LGP或Local(GPO))是組策略的基礎版本，它面向獨立且非域的計算機，會影響本地計算機的安全設置，可以應用到域計算機。本地組策略的打開方法是在“運行”對話框中輸入“gpedit.msc”，打開“本地組策略編輯器”窗口，如圖4-2所示。(二)本地組策略的分類本地組策略主要包含計算機配置和用戶配置。無論是計算機配置還是用戶配置，都包括軟件設置、Windows設置和管理模板三部分內容。其中比較常見的是“計算機配置”→“Windows設置”→“安全設置”中的各種配置，這部分安全設置對應“本地安全策略”。注：選擇“服務器管理器”→“工具”→“本地安全策略”選項，即可打開“本地安全策略”窗口，如圖4-3所示。本地安全策略影響本地計算機的安全設置，當用戶登錄安裝WindowsServer2019操作系統(tǒng)的計算機時，就會受到此臺計算機的本地安全策略的影響。在學習設置本地安全策略時，建議在未加入域的計算機上配置，以免受到域組策略的影響，因為域組策略的優(yōu)先級較高，可能會造成本地安全策略的設置無效或無法設置。本地安全策略主要包括賬戶策略和本地策略，下面進行詳細介紹。1.賬戶策略1)密碼策略(1)密碼必須符合復雜性要求：英文字母大小寫、數(shù)字、特殊符號四者取其三。(2)密碼長度最小值：設置范圍為0～14，設置為0表示不需要密碼。(3)密碼最長使用期限：默認為42天，設置為0表示密碼永不過期，設置范圍為0～9909。(4)密碼最短使用期限：設置為0表示隨時可以更改密碼。(5)強制密碼歷史：最近使用過的密碼不允許再使用，設置范圍為0～24，默認為0，表示可以隨意使用過去使用過的密碼。2)賬戶鎖定策略(1)賬戶鎖定閾值：輸入幾次錯誤密碼后，將鎖定用戶賬戶，設置范圍為0～999，默認為0，表示不鎖定用戶賬戶。(2)賬戶鎖定時間：賬戶鎖定多長時間后自動解鎖，單位為分鐘，設置范圍為0～99?999，其中0表示必須由管理員手動解鎖。(3)重置賬戶鎖定計數(shù)器時間：用戶輸入的密碼錯誤后開始計時，當該時間過后，計數(shù)器重置為0。此時間必須小于或等于賬戶鎖定時間。需要注意的是，賬戶鎖定策略對本地管理員賬戶無效。2.本地策略1)審核策略(1)審核策略更改。(2)審核登錄事件。(3)審核對象訪問。(4)審核進程跟蹤。(5)審核目錄服務訪問。(6)審核特權使用。(7)審核系統(tǒng)事件。(8)審核賬戶登錄事件。(9)審核賬戶管理。2)用戶權限分配用戶權限分配，常用策略如下：(1)關閉系統(tǒng)。(2)更改系統(tǒng)時間。(3)拒絕本地登錄，允許本地登錄(作為服務器的計算機不能讓普通用戶交互登錄)。3)安全選項(1)安全選項常用策略。(2)用戶試圖登錄時的消息標題、消息文本。(3)訪問本地賬戶的共享和安全模式。(4)使用空白密碼的本地賬戶只允許登錄到控制臺。注意：可以執(zhí)行“gpupdate”命令使本地安全策略生效或重啟計算機，執(zhí)行“gpupdate/force”命名強制刷新策略。服務器作為域控制器之前，需要完成如下本地安全策略的設置。(1)配置密碼策略。①

密碼必須符合復雜性要求。②

密碼長度最小值為7。③

密碼最短使用期限為3天。④

密碼最長使用期限為42天。⑤

強制密碼歷史為3個記住的密碼。⑥

賬戶鎖定時間為30分鐘。⑦

賬戶鎖定閾值為3次無效登錄。⑧

重置賬戶鎖定計數(shù)器時間為30分鐘。(2)只允許Administrators組的用戶通過網(wǎng)絡遠程登錄到服務器上。(3)賦予zhangsan用戶修改系統(tǒng)時間的權限。操作步驟如下：(1)“本地安全策略”窗口中，啟用“密碼必須符合復雜性要求”策略，如圖4-4所示。(2)在“本地安全策略”窗口中，啟用“密碼長度最小值”策略，將其值設置為“7”，如圖4-5所示。(3)在“本地安全策略”窗口中，啟用“密碼最短使用期限”策略，將其值設置為“3”，如圖4-6所示。(4)在“本地安全策略”窗口中，啟用“密碼最長使用期限”策略，將其值設置為“42”，如圖4-7所示。(5)在“本地安全策略”窗口中，啟用“強制密碼歷史”策略，將其值設置為“3”，如圖4-8所示。(6)在“本地安全策略”窗口中，啟用“賬戶鎖定時間”策略，將其值設置為“30”，如圖4-9所示。(7)在“本地安全策略”窗口中，啟用“賬戶鎖定閾值”策略，將其值設置為“3”，如圖4-10所示。(8)在“本地安全策略”窗口中，啟用“重置賬戶鎖定計數(shù)器”策略，將其值設置為“30”，如圖4-11所示。(9)在“本地安全策略”窗口中，將默認的“BackupOperators”“Everyone”和“Users”組刪除，僅保留“Administrators”組，設置只允許Administrators組的用戶通過網(wǎng)絡遠程登錄到服務器上，如圖4-12所示。(10)在“本地安全策略”窗口中，將默認的可修改系統(tǒng)時間的用戶刪除，并添加zhangsan用戶，然后賦予zhangsan用戶修改系統(tǒng)時間的權限，如圖4-13所示。用戶可以使用命令提示符窗口或Microsoft管理控制臺(MMC)打開“本地安全策略”窗口。要完成本地組策略的編輯，用戶必須具有GPO的編輯設置權限。在默認情況下，DomainAdministrators組、EnterpriseAdministrators組或GroupPolicyCreatorOwners組的成員具有GPO的編輯設置權限。(1)本地組策略對象(LGPO)在域控制器上不可用。(2)本地組策略對象按以下順序進行處理：本地組策略(也被稱為“本地計算機策略”)→管理員或非管理員本地組策略→特定用戶本地組策略。最后一個LGPO優(yōu)先于所有其他的LGPO。任務2創(chuàng)建域環(huán)境中的安全策略某公司的網(wǎng)絡管理員小高已經在公司的服務器上安裝域控制器，現(xiàn)在需要按照公司的信息安全規(guī)定對域或者OU內的賬戶和計算機賬戶進行集中管理和配置。一、域環(huán)境中的組策略概述組策略是ActiveDirectory域服務中一個非常有價值的管理工具。通過使用組策略，管理員可以按照管理要求定義相應的策略，有選擇地應用到ActiveDirectory中的用戶和計算機上。組策略的設置存儲在域控制器的GPO中。管理員可以在站點、域中為整個公司設置組策略，從而集中地管理組策略，也可以在組織單位層次為每個部門設置組策略來實現(xiàn)組策略的分散管理。組策略包括針對用戶的組策略和針對計算機的組策略，可以使網(wǎng)絡管理員實現(xiàn)用戶和計算機的一對多管理的自動化。管理員使用組策略可以完成如下操作：(1)應用標準配置。(2)部署軟件。(3)強制實施安全設置。(4)強制實施相同的桌面環(huán)境。需要注意的是，當不同的策略出現(xiàn)矛盾時，后應用的策略會覆蓋先前設置的策略，即子容器的組策略的優(yōu)先級更高。多個組策略對象可鏈接到同一個容器上，它們的優(yōu)先級可在控制臺中被定義。二、域環(huán)境中默認的組策略在域環(huán)境中有默認的組策略，如表4-1所示。默認域策略和默認域控制器策略對于域的正常運行非常關鍵。作為最佳操作，管理員不應該編輯默認域控制器策略或默認域策略，下列情況除外。(1)需要在默認域策略中配置賬戶策略。(2)如果在域控制器上安裝的應用程序需要修改用戶權限或審核策略設置，則必須在默認域控制器策略中修改策略的設置。三、創(chuàng)建和編輯組策略對象管理員可以使用組策略管理控制臺(GPMC)來創(chuàng)建和編輯GPO。需要注意的事項如下：(1)在創(chuàng)建GPO時，只有將其鏈接到站點、域或組織單位時才會生效。(2)在默認情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者組的成員才能創(chuàng)建和編輯GPO。(3)若要在GPO中編輯IPSec策略，則IPSec賬戶必須是域Administrators組的成員。管理員還可以通過以下方法編輯GPO，在鏈接GPO的容器中右擊該GPO的名稱，然后在彈出的快捷菜單中選擇“編輯”命令。四、控制組策略對象的作用域1.鏈接組策略對象若要將現(xiàn)有GPO鏈接到站點、域或組織單位，則管理員必須在該站點、域或組織單位上有鏈接GPO的權限。在默認情況下，只有域管理員和企業(yè)管理員對域和組織單位有此權限，林根域的企業(yè)管理員和域管理員對站點有此權限。若要創(chuàng)建和鏈接GPO，則管理員必須對所需域或組織單位有鏈接GPO的權限，并且必須有權在域中創(chuàng)建GPO。在默認情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者組的成員有創(chuàng)建GPO的權限。對于站點，“在這個域中創(chuàng)建GPO并在此處鏈接”選項不可用。管理員可以在林中的任何域內創(chuàng)建GPO，然后使用“鏈接現(xiàn)有GPO”選項將其鏈接到站點。2.阻止繼承組策略對象在設置組策略時，域管理員、企業(yè)管理員和組策略創(chuàng)建者可以阻止組策略對域或組織單位的繼承。如果阻止繼承組策略對象，則會阻止子層自動繼承鏈接到更高層站點、域或組織單位的組策略對象，步驟如下：(1)打開組策略管理控制臺，在林中找到包含要阻止繼承GPO鏈接的域或組織單位，單擊鼠標右鍵，在彈出的快捷菜單中選擇“阻止繼承”命令，如圖4-14和圖4-15所示。如果設置為阻止繼承，則在控制臺樹中會顯示一個感嘆號。(2)當需要取消繼承時，只需把“阻止繼承”命令前面的對鉤取消就可以了，如圖4-16所示。某公司決定實施不同的組策略來管理賬戶策略，配置服務器組策略，提高計算機的安全性。組策略的配置信息如下：(1)設置默認的組策略，完成密碼策略的設置。①

密碼必須符合復雜性要求。②

密碼長度最小值為8。(2)在“武漢分公司”的OU中設置組策略，完成如下信息項的設置：①

為所有用戶設置統(tǒng)一的桌面。②

禁用所有的移動設備。(3)在“武漢分公司”的“銷售部1”的OU中設置組策略，完成如下信息項的設置：①

禁止用戶使用遠程桌面連接客戶端來保存密碼。②

用戶每次登錄不顯示上次登錄的名字。一、設置默認的組策略(1)在“運行”對話框的“打開”文本框中輸入“mmc”，如圖4-17所示，打開控制臺?？刂婆_1的初始界面如圖4-18所示。(2)在控制臺的“文件”下拉菜單中選擇“添加/刪除管理單元”命令，如圖4-19所示，打開“添加或刪除管理單元”對話框。在該對話框中添加“組策略管理”管理單元，如圖4-20所示。(3)在“控制臺根節(jié)點”列表下進行域的組策略設置，有兩個入口，如圖4-21和圖4-22所示。選擇右鍵快捷菜單中的“編輯”命令后調出“組策略管理編輯器”窗口，如圖4-23所示。(4)編輯默認的組策略，完成密碼策略的設置，啟用“密碼必須符合復雜性要求”策略，如圖4-24所示；啟用“密碼長度最小值”選項，將其值設置為“8”，如圖4-25所示。二、設置“武漢分公司”O(jiān)U的組策略(1)在“控制臺根節(jié)點”列表下找到“武漢分公司”選項，單擊鼠標右鍵，在彈出的快捷菜單中選擇“在這個域中創(chuàng)建GPO并在此處鏈接”命令，如圖4-26所示。在打開的“新建GPO”對話框的“名稱”文本框中輸入要創(chuàng)建的GPO的名字“武漢分公司”，如圖4-27所示，然后編輯“武漢分公司”的GPO入口，如圖4-28所示。(2)在圖4-28中右擊“武漢分公司”選項，在彈出的快捷菜單中選擇“編輯”命令，打開“武漢分公司”的“組策略管理編輯器”窗口，如圖4-29所示。(3)編輯“武漢分公司”的組策略，為所有用戶設置統(tǒng)一的桌面，如圖4-30所示。禁用所有的移動設備，如圖4-31所示。三、在“武漢分公司”的“銷售部1”的OU中設置組策略(1)在“控制臺根節(jié)點”列表下，找到“武漢分公司”的“銷售部1”的OU，單擊鼠標右鍵，在彈出的快捷菜單中選擇“在這個域中創(chuàng)建GPO并在此處鏈接”命令，如圖4-32所示。在打開的“新建GPO”對話框的“名稱”文本框中輸入要創(chuàng)建的GPO的名字“銷售部1”，如圖4-33所示，然后編輯“銷售部1”的GPO，入口如圖4-34所示。(2)在圖4-34中，點擊“銷售部1