《计算机网络管理.ppt》由会员分享,可在线阅读,更多相关《计算机网络管理.ppt(49页珍藏版)》请在三一办公上搜索。
1、第6章 组策略的管理,6.1组策略6.2组策略的设置,6.1组策略,组策略概述引入模板策略,在 Windows 2000 操作系统中,系统管理员使用【组策略】为用户和计算机组定义用户和计算机配置。通过使用【组策略】Microsoft 管理控制台(MMC)管理单元为特定用户和计算机组创建具体的桌面配置。所创建的【组策略】配置包含在一个【组策略对象】(Group Policy Object,组策略对象)中,该对象转而又与选定的 Active Directory 服务容器如站点、域或组织单位(Organized Unit,OU)等关联。组策略允许管理员对用户工作环境状态只定义一次,然后靠系统实施所定
2、义的策略。为达到这一状态,管理员需要首先在规划 Active Directory 域结构的同时仔细地创建、组织和规划组策略对象。,组策略概述1.组策略概念组策略是管理员为计算机和用户定义的,用来控制应用程序和管理模板的一种机制。(1)组策略的应用顺序与规则:本地组策略、站点组策略、域组策略、组织单位的组策略,新设置的策略应用将覆盖以前的应用策略。(2)阻止策略的继承可以在子容器组策略内,通过【阻止策略继承】复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容器的组策略为其设置。(3)强迫继承策略可以在父容器的组策略内,通过:【禁止替代】复选框来强迫子容器必须继承由父容器传送的组策略设
3、置。,2.组策略的作用简单地说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。3.组策略的版本大部分Windows 9X/NT用户可能听过【系统策略】的概念,而现在大部分使用的则是【组策略】这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的【系统策略】发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。,4.使用“组策略”管理单元可进行的策略设置(1)基于注册表的策略。包括 Windows
4、 2000 操作系统及其组件以及应用程序的组策略。要管理这些设置,可以使用“组策略”管理单元的【管理模板】节点。(2)安全性选项。包括针对本地计算机、域和网络安全设置的选项。(3)软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。(4)脚本选项。包括用于计算机启动和关闭,以及用户登录和注销的脚本。(5)文件夹重定向选项。允许将用户的特殊文件夹重定向到网络。,5.定义组策略要求(1)要确定所需策略设置的类型。(2)确定目录中哪些类型的对象(用户,计算机)将应用这些设置。(3)产生的组策略对象列表,表6-1 组策略要求示例,6.确定设置的作用域(1)各目标对象(如计算机、用户或域)的设置
5、对组织中的所有对象是否通用的?或者说,这些对象中不同的分组是否需要应用不同的设置?(2)组策略作用域另一个需考虑的方面是,某一特定的设置组是否需要对所有从属容器强制实施,或者相反,是否需要阻止某些设置的继承。在后面的【管理组策略】一节讨论这一问题。,7.验证活动目录(Active Directory)域/组织单位(Organization Unit,OU)设计(1)需要考虑下面几个问题:域设计能否支持组策略的有效使用和管理?如不能,需做何更改?【Active Directory 网络和委派】要求与【组策略】要求之间有何冲突?为消除目录结构与组策略对象要求之间的冲突,往往需要用安全组来筛选组策略
6、对象。,组策略不能跨域继承,也不能从一个域复制到另一个域。一个域中的 组策略对象 可以从另一个域中链接 拟设计的 OU 结构可能不能与组策略对象的作用域很好地对应。(2)组策略对象的更改除了所有组策略对象都必须在各域中复制外,对组策略对象的结构未做更改。对域/OU 结构的更改包括在现有用户 OU 之上添加一个【用户账户 OU】在此应用通用的用户策略。(3)组策略对象筛选安全组以下列举了两个一般类型的组策略对象筛选安全组:每部门用户/应用程序组策略对象组 服务器类型组策略对象组,8.管理组策略(1)管理结构影响组策略对象结构。(2)应用到【组策略】对象的访问控制列表(ACL)应反映出应由谁来管理
7、这些对象。(3)包含必须应用到子 OU 中所有对象的设置的组策略对象可能需要强制实施,以防这些设置被在 OU 层次结构中较低层次应用的组策略对象所覆盖。(4)委派对一个组策略对象中部分设置的控制权这一需要,可能要求拆分组策略对象并让适当的 ACL 应用到各个新的组策略对象。,(5)委派对组策略对象设置的控制权和在 OU 上创建/删除组策略链接的能力。(6)将需要创建【自定义组策略编辑器】控制台。(这可能包括在策略中指定谁可以加载哪些【组策略】管理单元)。表6-2 显示了对一个组策略对象结构的更改示例。,表6-2 对组策略对象结构的可能更改,9.测试和优化组策略(1)如果用户在不断换用计算机,那
8、么组策略的组合在所有不同的排列中是否表现出预期的行为?(2)如果移动电脑不断变换站点,那么站点和域/OU 策略设置的组合是否表现出预期的行为?10.维护组策略 随着单位需要改变,如何排除组策略的问题和维护组策略,引入模板策略1.基本模板 Basicwk.inf:适用于Windows 2000 Professional,是系统安装后的Windows 2000 Professional默认模板。Basicsw.inf:适用于Windows 2000 Server,是系统安装后的Windows 2000 Server默认模板。Basicdc.inf:适用于Windows 2000的域控制器,是系统W
9、indows 2000 的域控制器安装后的默认模板。,2.增量模板 Securedc.inf 和Hisecdc.inf:适用于域控制器,使用此模板提供Windows 2000的完全的安全特征,施加此模板后系统不能和非Windows 2000的计算机通信。Securews.inf 和Hisecws.inf:适用于成员服务器和工作站,施加此模板后系统不能和非Windows 2000的计算机通信。这些增量模板,必须先应用基本模板后才能使用。可以有选择地打开它,以便提供所需的功能,而且同时保持非常重要的安全性。3.访问组策略有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;
10、二是打开控制台,将组策略添加进去。(1)输入gpedit.msc命令访问选择【开始】【运行】,在运行窗口中输入【gpedit.msc】,回车后进入组策略窗口,如图6-2所示。,图6-2 组策略窗口,(2)通过控制台访问组策略,图6-3【控制台】窗口 图6-4【添加/删除管理单元】对话框,图6-5【添加独立管理单元】对话框 图6-6【选择组策略对象】对话框,4.创建需要的组策略模板,图6-7【Active Directory用户和计算机】窗口,图 6-8【域控制器属性】对话框 图6-9【组策略】选项卡,图6-10【组策略】窗口 图6-11【选择导入策略】对话框,图6-12【策略导入来源】对话框,
11、6.2组策略的设置1.“桌面”设置(1)隐藏桌面的系统图标,图6-13【组策略桌面操作】窗口,(2)退出时不保存桌面设置在图6-13中的右侧窗格中将【退出时不保存设置】这个策略选项启用即可。(3)启用/禁用“活动桌面”(Windows 2000/XP/2003),图6-14【启用/禁用活动桌面】窗口,2.个性化【任务栏】和【开始】菜单(1)给【开始】菜单减肥,图6-15【任务栏和开始菜单】窗口,(2)保护好【任务栏】和【开始】菜单如果不想随意让他人更改【任务栏】和【开始】菜单的设置,只要在图6-15中将右侧窗格中的【禁止更改“任务栏和开始菜单”设置】和【禁用任务栏的上下文菜单】两个策略项启用即
12、可。(3)禁止【注销】和【关机】(Windows 2000/XP/2003)当计算机启动以后,如果不希望这个用户再进行【关机】和【注销】操作,那么可将图6-15中组策略控制台右侧窗格中的【禁用开始菜单上的注销】和【禁用和删除关机命令】两个策略启用。,(4)利用组策略保护个人文档隐私Windows有个高级智能功能,即可以记录用户曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在图6-15的右侧窗格中将【不要保留最近打开文档的记录】和【退出时清除最近打开的文档的记录】两个策略
13、启用即可。,3.IE设置(1)禁用【在新窗口中打开】菜单项,图6-16 组策略浏览器菜单窗口,(2)限制IE浏览器的保存功能在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用【另存为】功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。在图6-16中,将右侧窗格中的【“文件”菜单:禁用“另存为”菜单项】、【“文件”菜单:禁用另存“Web页,全部”格式】、【“查看”菜单:禁用“源文件”菜单项】和【禁用上下文菜单】等策略项目全部启用即可。,(3)禁用“Internet 选项”控制面板,图6-17组策略Internet 控制面板窗口,4.
14、组策略的安全设置(1)隐藏“我的电脑”中指定的驱动器(Windows XP/2003),图6-18 组策略Windows资源管理器窗口,(2)防止从“我的电脑”访问驱动器此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。在图6-18的右窗格内,选择【防止从“我的电脑”访问驱动器】并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。,(3)禁止使用命令提示符,图6-19 组策略系统窗口,(4)禁止更改显示属性,图6-20 组策略显示窗口,(5)禁用注册表编辑器为了防止他
15、人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。在图6-19中选择【禁用注册表编辑工具】并启用此策略。(6)彻底禁止访问“控制面板”如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。在图6-14中,依次选择【用户配置】【管理模板】【控制面板】,激活图6-21所示的窗口。在图6-21的右窗格内,选择【禁用控制面板】并启用此策略。,图6-21 组策略控制面板窗口,(7)禁止建立新的拨号连接,图6-22 组策略网络及拨号连接窗口,(8)禁用“添加/删除程序”,图6-23组策略添加/删除程序窗口,(9)限制使用应用程序,图6-24 只运行许可的Wind
16、ows应用程序属性窗口,5.计算机和用户的安全设置(1)计算机的安全设置,图6-25组策略安全设置窗口,(2)用户的安全策略,图6-26 组策略密码策略窗口,图6-27【本地安全策略设置】对话框,6.3软件设置1.计算机的软件设置如图6-26所示,【计算机配置】【软件设置】适用于登录该计算机的所有用户的软件设置。展开【软件设置】选项后,在类似于图6-26的窗口中可见【安装】项,它可以包含由独立软件供应商放置的其他子项。【用户配置】【软件设置】是无论用户登录哪台计算机都适用的软件设置。该文件夹中也包含【软件安装】子项,它可以包含其他由独立软件供应商放置的子项。2.软件安装软件安装帮助指定如何在组
17、织中安装和维护应用程序,并通过指定和发布两种模式之一,管理组策略对象中与特定活动目录容器相关联的应用程序,可以是站点、域或组织单位。,小结:组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。在Windows 2000中组策略可以为用户进行个性化设置和安全性设置。本章的开始部分介绍了组策略的基本概念,定义组策略的要求,设置、管理维护、测试、优化组策略的基础知识。本章的后部分主要以Windows 2000为网络操作系统介绍如何设置个性化桌面、任务栏、开始菜单,对IE的许多安全设置以及对计算机和用户的安全设置等实际操作过程。,习题61.什么是组策略?2.组策略应用顺序的规则是什么?3.
18、组策略的作用和定义组策略的要求各是什么?4.如何设置组策略?5.管理组策略的指导原则有哪些?6.测试、优化组策略时应检验哪些内容?7.Windows 2000的基本模板和增量模板各包括哪些程序?,8.实验项目在Windows 2000中引入模板、访问组策略。在Windows 2000中创建需要的组策略模板。设置个性化桌面,例如:隐藏桌面的系统图标、退出时不保存桌面设置、启用/禁用【活动桌面】等。设置个性化任务栏和开始菜单,例如:给【开始】菜单减肥、保护好【任务栏】和【开始】菜单、禁止【注销】和【关机】、利用组策略保护个人文档隐私等。IE设置,例如,禁用【在新窗口中打开】菜单项、限制IE浏览器的保存功能、禁用【Internet 选项】控制面板等,组策略的安全设置,例如,隐藏【我的电脑】中指定的驱动器、隐藏【我的电脑】中指定的驱动器、禁止使用命令提示符、禁用注册表编辑器、限制使用应用程序、禁用【添加/删除程序】、禁止建立新的拨号连接、禁止更改显示属性等。计算机和用户的安全设置,例如,【账户策略】、【本地策略】、活动目录中的【IP安全策略】和【公用密钥策略】计算机的安全策略以及用户的相关安全设置。,
