《域管理组策略及其应用ppt课件.ppt》由会员分享,可在线阅读,更多相关《域管理组策略及其应用ppt课件.ppt(76页珍藏版)》请在三一办公上搜索。
1、主讲教师:谭鸣钟,Windows Server 2003服务器操作系统,第10章 组策略及其应用,主要知识点:一、活动目录结构和组策略 (了解)二、配置安全策略 (掌握)三、管理用户环境 (掌握)四、文件夹重定向 (掌握),一组策略概述,组策略是Windows Server 2003操作系统中提供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活,它包括如下的一些选项:基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销,文件重定向等。Windows Server 2003包括几百种可以配置的组策略设置。组策略
2、设置允许企业管理员通过增强和控制用户桌面来减少总的开销。,组策略只允许用户一次性地规定自己的环境,在这之后,依赖操作系统来强制实施。 组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的,它允许用户进行更改,如:桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的,系统管理员使用(MMC,Microsoft Manage Controller)工具来对用户组和计算机组设置策略。,默认情况下,组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象(把它们链接到它们的目标上)的顺序和
3、级别决定了用户或计算机实际能收到的组策略设置。另外,组策略能够在站点、域、组织单元这些级别上被阻塞;组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上,然后将链接设置为非覆盖方式来实现。 默认情况下,组策略影响站点、域、或组织单元中所有用户和计算机,而不影响站点、域、或组织单元中的其他对象。,组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中,也可以从属于任何非本地(即基于活动目录)的组策略对象。使用组策略指定的策略设置是Windows Server 2003中启用中心化的更新和配置管理的首选方式
4、。,组策略设置能够:,与站点、域、组织单元相关联在站点、域、组织单元中影响用户和计算机被安全组中的用户或计算机成员进一步控制是安全的,仅仅系统管理员能更改设置在策略改变时被删除和重写用于很好地调整桌面控制,增强用户的计算环境,二 活动目录结构和组策略,组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是组策略对象(Group Policy Object)。组策略对象是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的,它不是仅能作用到部分组策略对象上。 有两种类型的组策略对象:
5、本地组策略对象和非本地组策略对象。,组策略对象存储在Windows Server 2003的域中,其作用由它们所链接的站点、域或组织单元启用。,链接到一个站点(使用活动目录站点和服务)的组策略对象能够应用于站点上的所有域。一个域的组策略对象直接应用于域中的所有计算机和用户,从而被组织单元(通常为活动目录容器)中的所有用户和计算机继承。应用到组织单元的组策略对象直接应用到组织单元中所有用户和计算机,从而被组织单元(通常为活动目录容器)中所有用户和计算机继承。,不可能将一组策略对象链接到通常的活动目录容器中。(通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个组织单
6、元中的图标是类似的,除了有一本小书的图形叠放在文件夹上)然而,通常的活动目录容器中的用户和计算机接收这些类型的策略,这些策略继承于链接到较高层次的活动目录的组策略对象。例如,在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们,但是它们可以通过继承接收链接到域的组策略对象。,本地组策略对象首先被应用,然后是链接到站点的组策略对象,再然后是链接到域的组策略对象以特定顺序被应用,最后是链接到组织单元的组策略对象,其顺序是开始于最高层(在活动目录层次)的组织单元(它包含用户或计算机帐户),终止于最低层(最接近用户和计算机)的组织单元(它包含用户和计算机)。在
7、每个组织单元中,任何链接到它的组策略对象以指定的管理顺序被应用。,应用的顺序(本地、站点、域和组织单元)对于活动目录体系结构非常有意义。因为缺省情况下,对每种设置而言,后来被应用的策略覆盖前面应用的策略,而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西(任何早期被应用的设置),“打开”或“关闭”允许保留。 组策略编辑器是如下图所示的MMC插件,它分为两个节点:【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一。,组策略编辑器,3、配置安全策略 安全策略用于Windows Server 2003网络的
8、安全设置。安全配置包含有应用到一个或多个Windows Server 2003支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。能为计算机配置安全领域的包括:(1) 帐户策略 它们是Windows Server 2003域中关于密码策略、帐户锁定策略的计算机安全设置。,(2) 本地策略 包括有关审核策略(试图登录时审计成功或失败)、用户权限分配(他们连接到网上)、以及安全选项(以匿名连接到计算机的能力)。(3) 事件日志 它控制如应用的大小和保持方法、安全、系统事件日志等设置。可以通过事件浏览器来访问这些日志。,
9、(4) 受限组 允许用来控制是否需要属于安全敏感组,以及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略,这种敏感组的例子有企业管理员、薪水册等。例如,有可能决定仅仅有两个用户成为企业管理员组,这样就定义企业行政组为一个受限组,它仅包含两个成员。如果第三个人添加到这个组(例如,在紧急情况下处理某个事情),下一次策略实施时该用户被自动的从企业管理员组删除。这种策略也可以强制用于域中工作站上的组成员(即,强制使一些系统管理员从域中移到工作站上本地管理员组)。,(5) 系统服务 它控制启动模式及系统服务的访问权限,如哪些用户能关闭和启动传真服务。(6) 注册表 用来为注册
10、表表项配置注册表设置,包括访问控制、审计、所有者。(7) 文件系统 它用来为文件系统对象配置安全设置,包括访问控制、审计、所有者。,1、帐户策略 装入组策略的MMC管理单元后,出现本地计算机策略选项。要访问帐户策略文件夹,需展开【本地计算机策略】、【计算机配置】、【Windows设置】、【安全设置】和【帐户策略】。如下图所示。,设置帐户策略,(1) 密码策略 密码策略(Password policies)可以强制在计算机上执行安全要求。一定要注意,密码策略在各个计算机上设置,而不能对特定用户配置。,密码策略选项使用如下(如下图所示):强制密码历史:用户不能用相同的密码。用户在旧密码到期或改变时
11、要创建新密码。密码最长使用期限:到达最大密码寿命期后强迫用户改变密码。密码最短使用期限:不允许用户连续多次改变密码以破坏强制密码历史策略。,密码长度最小值:保证用户创建密码并指定其符合长度要求。如果不设置这个选项,则用户不需要创建密码。密码必须符合复杂性要求:防止用户将常用字典中的项目当作密码。用可还原的加密来存储密码:提供用户密码的高级安全性。,密码策略,(2) 帐户锁定策略 帐户锁定策略用于指定无效登录企图的最大次数。它通常被配置成在y分钟内进行x次登录失败时帐户将在指定的时间段内锁定,直到管理员打开这个帐户锁,如下图所示。 帐户锁定策略类似于银行处理ATM访问码安全性的方法。用户有几次机
12、会输入访问码。这样,如果别人企图盗用,那么他无法一直猜访问码。通常,几次访问失败后,ATM机会吃掉这个卡,然后需要从银行申请办理新卡。,帐户锁定策略,2、本地策略 帐户策略可控制登录过程。要控制用户登录之后的操作,需使用本地策略(local policies),如下图所示。利用本地策略可以实现审核、指定用户权限和设置安全选项。,设置本地策略,(1) 审核策略 可以通过审计策略审核与用户管理有关的事件。通过跟踪某个事件,可以创建特定任务的历史,其界面如下图所示。,审核策略,定义审计策略时,可以选择采用审核访问也可以选择特定事件故障。事件成功表示任务顺利完成,事件失败表示任务没有顺利完成。 缺省情
13、况下,审核过程并不启用,需要手工配置。配置审核过程之后,可以通过事件查看器、安全日志浏览审核结果。 审核太多事件会因为增大处理要求而降低系统性能。审核还需要大量磁盘空间来存放审核日志,因此事件查看实用程序要慎用。,(2) 用户权限分配 用户权限分配确定了用户和组对计算机的权利。用户权利的一个例子是备份文件和目录权利。这个权利使用户可以备份文件与文件夹,如下图所示。,用户权限分配,(3) 安全选项 启用或禁用计算机的安全设置,例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示,如下图所示。,安全选项,四管理用户环境,管理用户环境
14、意味着控制用户在登录网络时有哪些权利,以及用户桌面上会出现哪些内容。集中配置和管理用户环境,可以执行下列任务:,把用户访问限制在所选择的操作系统的某些部分。可以防止用户打开控制面板和关闭计算机。通过防止用户访问一些关键的操作系统组件和配置选项,可以减少用户破坏系统的可能性。,要有效地配置和管理用户环境,应确保用户只可以访问他们工作需要的资源。利用管理模板可以简化用户环境并防止用户破坏工作环境或把时间花在不必要的应用程序、软件和文件上。,限制使用Windows Server 2003中的工具和组件。这些工具和组件包括Internet Explorer、资源管理器和MMC。可以不让用户看到这些工具
15、,除非他们确实需要使用。组装用户桌面。可以确保用户有他们所需要的文件、快捷方式和网络连接。使用管理模板可以配置和管理用户环境。,如下图所示,【本地计算机】策略有两个部分:计算机的配置主要集中于Windows Server 2003的管理,而用户的配置主要集中于控制用户如何能够影响桌面环境。,使用管理模板管理用户环境,管理模板设置分成七种类型,下表列出了管理模板扩展中不同类型的设置。,五文件夹重定向,在用户配置文件中,可以使用文件夹重定向扩展来重定向下面的任何文件夹到可选的位置(如网络共享):,Application DataDesktopMy DocumentsMy Pictures开始菜单,
16、可以重定向一名用户的My Documents文件夹到server_nameshare_name%username%,并且提供如下的好处:,可以确保用户从一台计算机漫游到另一台计算机,并且无论在有或没有漫游用户配置文件的情况下用户的文档都是可用的。可以把用户的数据存储在网络上而不是本地计算机上,这就为用户提供了管理和保护数据的另一种方式。当用户从企业网上断开时,可以通过离线文件夹技术使用户的基于网络的文件夹可用。,类似的好处适用任何重定向文件夹,而不仅仅是My Documents文件夹。重定向到一个DFS共享在服务器失败时增加了安全性。设置文件夹重定向的步骤如下:第1步 打开组策略编辑器。第2步
17、 展开【用户配置】,展开【Windows设 置】,然后展开【文件夹重定向】。第3步 右键单击需要重定向的文件夹名称,单击 【属性】,然后提供目标路径和位置。后表 是【目标】标签上的选项说明。,目标标签选项,【设置】标签上的选项控制文件夹重定向的方式。应该注意这些设置的预设值,这可能和服务器磁盘空间与安全性相关。下表是文件夹重定向设置的解释。,1.组策略概论: 是一个管理用户工作环境的技术,通过他可以确保用户拥有所需要的工作环境,也可以用他来限制用户,减轻管理员的负担。1.1 组策略的功能: 1、账户策略:如设定用户密码长度,使用期限,账户锁定 2、本地策略:如审核策略、用户权限的指派,安全性
18、3、脚本(scripts):如登录/注销,启动/关机。 4、用户工作环境:如隐藏桌面图标,删除开始菜单中的“运行/搜索/关机”等功能。,5、软件的安装与删除:启动计算机时,自动为用户安装应用软件,自动修复应用软件或删除。 6、限制软件的运行:限制域用户只能运行某些软件。 7、文件夹转移:改变文件夹的存储位置 8、其他系统设定:让所有计算机自动信任指定CA 组策略包含“计算机配置”和“用户配置”两部分: 一、计算机配置:当启动计算机时,系统就会根据“计算机配置”的内容来配置计算机的环境。如针对域配置了组策略,那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机。,二、用户配置:当用户登录
19、时,系统就会根据“用户配置”的内容来配置用户的工作环境。如针对“业务部”OU设定了组策略内的“用户配置”就会被应用到此OU内的所有用户。 除了可以针对站点,域或OU设定策略外,还可以针对本地计算机设定组策略。1.2 组策略对象: 组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU,该GPO内的设定值就会影响到该对象的所有计算机或用户。,1.3 组策略的应用时机: 当修改了GPO的配置后,这些配置值并不是立即有效,而是必须等他们应用到用户或计算机后才有效。何时有效,要看是计算机配置,还是用户配置而定。 一、计算机配置的启用时间: 1、计算机开机时 2、即使计算机
20、不重启,系统也会自动启用: 域控制器:每5分钟 非域控制器:每90120分钟 不论策略配置是否改动,系统每16小时自动启用一次 3、手动(WIN2003):gpupdate /target:computer/force,二、用户配置的启用时间: 1、用户登录时: 2、每90120分钟 不论策略配置是否改动,系统每16小时自动启用一次 3、手动:gpupdate /target:user /force,2.组策略实例:2.1计算机配置: 由于系统默认只有某些组内的用户,才有权限在域控制器的计算机上登录,因此一般用户在利用域控制器的时候,会出现“此系统的本地策略不允许你交互登录”的字样。 那我们如
21、何让其他用户也可以来登录到域控制器上呢? Active Directory用户和计算机Domain Contorllers属性组策略,但不是我们对策略配置好了,就可以马上生效,而必须等待这个策略应用到域控制器上后,才可以使用。 2.2 用户配置: 我们利用组策略中的“用户配置”,让一个OU中的用户在登录域后,删除”开始“菜单中的“运行”选项。 业务部属性组策略按图操作,3.组策略的处理规则: 域控制器与域内的计算机在处理、应用组策略时,有一定的程序与规则,了解他们,才可以通过组策略来管理用户和计算机。3.1 一般的继承与处理规则: 1、如果父容器(high-level container)的某
22、个策略被配置,但其子容器(low-level container)的策略未被配置,则子将继承父的配置值。如:的GPO内的某策略已经配置了,但OU业务部的策略还是未配置,那么OU将继承a 的策略。,2、如果子容器内的某个策略被配置,则此配置值会覆盖由其父容器继承下来的配置。 3.组策略的配置是累加性的,如在业务部内建立了一个GPO,同时在域和站点也都有GPO,则域、站点和业务部的GPO将累加起来,作为业务部的最后的有效值。 但当他们出现冲突时,则以处理顺序在后的GPO优先。 系统处理顺序是;站点、域 、OU 所以其中OU的优先级别最高最优先。,4、系统是先处理“计算机配置”,再处理“用户配置”。
23、如果他们发生冲突时,虽然“用户配置”在后,但大部分情况下是以”计算机配置”为先。 5、如果将多个GPO连接到同一个OU ,那么所有的GPO将进行累加,但如果他们出现冲突,则以前面的GPO配置为优先。 注:“本地计算机的策略”优先级别最低。3.2例外的继承配置: 1、阻止策略继承: 通过选择子容器的“阻止策略继承(Block Inheritance)” 选项来设置不继承父容器传来的GPO配置。,2、强制策略继承:可以在父容器内通过GPO”禁止代替”选项强制子容器必须继承(不可覆盖)此GPO内的设定,且不论是否设置了“阻止策略继承”,2、强制策略继承:可以在父容器内通过GPO”禁止代替”选项强制子
24、容器必须继承(不可覆盖)此GPO内的设定,且不论是否设置了“阻止策略继承”,4.常见的利用组策略来管理用户环境:4.1 管理模板策略: 当客户端的计算机在处理“管理模板策略”时,会将这些策略存储到用户计算机的“登录”内,但不会原有的值覆盖,系统将同时运行“管理模板策略”和本地计算机默认的登录值,但出先冲突时,会以“管理模板策略”为主。如果用户的计算机脱离GPO约束时(如GPO被删除),用户将恢复原来的默认设置。,4.2 用户策略:,对他们一一设定,4.3 用户权限分配策略:,4.4 安全选项策略:,5. 组策略的委派管理: 我们将GPO的链接、添加与编辑等管理工作,分派给不同的用户负责,以分散GPO的管理负担。链接GPO到站点、域或OU的委派: 系统默认Domain Admins或Enterprise Admins组内的用户可以将GPO链接到站点、域或OU,其他没有,我们可以委派给他们。,六 作业,1、练习配置本地安全策略2、练习配置域安全策略3、配置文件夹重定向,
