Download
1 / 71
710 likes | 818 Views
Unit 8. 配置组策略. 实验目的 了解并掌握组策略的配置。 实验内容 通过使用组策略来实现计算机及用户安全. 组策略. 可以使用“组策略”为用户和计算机组定义用户和计算机的配置 “组策略”配置包含在一个“组策略对象” (GPO) 中,该对象又与选定的 Active Directory 服务容器如站点、域或组织单位 (OU) 等相关联 组策略对象包括两种对象 本地的组策略对象 非本地的组策略对象. 组策略结构. 组策略对象 (Group Policy Object) 实现组策略设置的机制是组策略对象,它包含了设定好的设置
E N D
Unit 8 配置组策略 • 实验目的 • 了解并掌握组策略的配置。 • 实验内容 • 通过使用组策略来实现计算机及用户安全 上海师范大学数理信息学院
组策略 • 可以使用“组策略”为用户和计算机组定义用户和计算机的配置 • “组策略”配置包含在一个“组策略对象”(GPO) 中,该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联 • 组策略对象包括两种对象 • 本地的组策略对象 • 非本地的组策略对象 上海师范大学数理信息学院
组策略结构 • 组策略对象(Group Policy Object) • 实现组策略设置的机制是组策略对象,它包含了设定好的设置 • 组策略对象(GPO) 由GPC和GPT两部分构成 • GPT(Group Policy Template ),包含所有的组策略的设置和信息(systemroot/SYSVOL/sysvol) • GPC(Group Policy Container),包含GPO属性和版本信息的活动目录对象(活动目录用户和计算机 系统 策略) 上海师范大学数理信息学院
组策略结构 • 计算机和用户的组策略设置 • 通过使用组策略中各自的计算机配置和用户配置节点来推行网络中计算机 • 当计算机策略和用户策略发生冲突时,计算机策略覆盖用户策略 • 组策略对象和活动目录容器 • GPO和站点、域以及组织单位相连接或关联。在将GPO和站点、域或组织单位链接后, GPO的设置将应用在站点、域或组织单位的用户和计算机上 上海师范大学数理信息学院
组策略 • 存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。 • 本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。 • 使用组策略,我们可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略,对用户和计算机进行管理 上海师范大学数理信息学院
实现组策略的前提 • 运行在活动目录上,组策略是在活动目录的最大应用 • 组策略依赖于Windows操作系统 上海师范大学数理信息学院
组策略应用顺序 • 唯一的本地组策略对象。 • 站点组策略对象,按照行政管理指定的顺序。 • 域组策略对象,按照行政管理指定的顺序。 • 对于组织单位组策略对象,按照从大组织单位到小的组织单位顺序(从父组织单位到子组织单位),而在每个组织单位级别中,则按照行政管理指定的顺序。 • 默认情况下,这些策略不一致时,后应用的策略将覆盖以前应用的策略 上海师范大学数理信息学院
组策略 • 组策略包括应用于域或计算机组的大量安全权限配置文件 • 一个组策略对象可以应用到局域网内的所有计算机 • 组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点,这个组策略会应用到父等级以下所有站点,包括每个容器中的用户和计算机对象 • 策略设置是在域范围内进行的 • 组策略有100多个与安全有关的设置和450多个基于注册表的设置,为管理用户计算机环境提供了众多的选项,某一选项一旦被设置将会作用于登录到域上的所有用户和工作站 上海师范大学数理信息学院
实施组策略安全管理 • 分别从服务器和工作站两方面进行 • 应在服务器上安装活动目录服务 • 在域上实施组策略 • 将工作站置于服务器所管理的域中 上海师范大学数理信息学院
组策略中的管理模板 • .adm文本文件 • 为组策略管理模板项目提供策略信息 • 系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件 • System.adm:默认情况下安装在“组策略”中,用于系统设置 • Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置 • Wmplayer.adm:用于Windows Media Player 设置 • Conf.adm:用于NetMeeting 设置 上海师范大学数理信息学院
组策略控制台 • 组策略对象为当前的计算机 • 开始 运行 gpedit.msc 确定 上海师范大学数理信息学院
组策略控制台 • 组策略对象为其他的计算机 • 开始 运行 MMC 确定 • “控制台”菜单 添加/删除管理单元 • “独立”选项卡 添加 • “可用的独立管理单元”对话框 组策略 添加 • “选择组策略对象”对话框 “本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象 (对于不包含域的计算机系统 ,只有“计算机”标签,而没有其他标签项目 ) • 组策略管理单元即打开要编辑的组策略对象 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
组策略控制台 上海师范大学数理信息学院
在活动目录中应用组策略设置 • 组策略是如何被处理的 • 当计算机启动时,针对计算机的设置生效,启动脚本运行 • 当用户登录时,针对用户的设置生效,登录脚本运行 • 施加的顺序为:本机 站点 域 OU • 解决组策略之间的冲突 • 如果组策略设置间存在冲突,将采用最新设置而忽略其他设置,除非用户设置和计算机设置冲突。而在大多数场合,计算机设置高于用户设置 • 母容器的GPO设置和子容器的GPO设置冲突。当这种情况发生时,子容器的设置后执行并发挥作用 • 连接到同一容器上的不同GPO的设置发生冲突。当这种情况发生时,在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用 上海师范大学数理信息学院
Site GPO2 GPO1 GPO3 GPO4 Domain OU 实现组策略 • 问题:在OU中用户对象最终组策略是什么,为什么? • GPO1:确定“Favorites”出现在“Start”菜单中的组策略设置上 • GPO2:要求输入至少一个含有11个字符的密码的组策略设置 • GPO3:从开始菜单中移动Windows更新图标中的“Start”菜单设置 • GPO4:确保Windows更新图标在“Start”菜单中并从“Start”菜单中删除“Favorites”的“Start”菜单设置 上海师范大学数理信息学院
实现组策略 • 最终策略设置是 • 用户密码至少为11个字符 • Windows更新图标在“Start”菜单中出现 • “Favorites”不出现在“Start”菜单中 • 从“Start”菜单里移去“Favorites”的组策略设置必须在确保它已在“Start”菜单中出现后执行 上海师范大学数理信息学院
修改组策略的继承性 • 允许阻止继承 • 阻止继承将不允许子容器从母容器那里继承GPO的组策略设置。允许在一子容器阻止继承将阻止容器所有的组策略设置而不是单个设置。当活动目录的容器需要唯一的组策略设置和需要确保设置不被继承时这一功能很有用 • 允许不重写 • Windows不受阻止继承性设置和通常的冲突解决方式的影响而沿着活动目录树执行GPO。防止其它的组策略对象替代这个组对象的策略集 • 筛选组策略设置 • 用来修改组策略继承性的另一种方式。筛选将允许读者阻止一个GPO和它的设置应用于一容器内部的特定的计算机、用户以及安全组 上海师范大学数理信息学院
组策略的类型 • 用户配置 • 计算机配置 • 在“用户配置”和“计算机配置”中均包含三个方面的内容 • 软件设置 • Windows设置 • 管理模板 上海师范大学数理信息学院
添加“策略模板” 上海师范大学数理信息学院
添加“策略模板” 上海师范大学数理信息学院
隐藏桌面的系统图标 上海师范大学数理信息学院
隐藏桌面的系统图标 上海师范大学数理信息学院
个性化“任务栏”和“开始”菜单 个性化“任务栏”和“开始”菜单 上海师范大学数理信息学院
个性化“任务栏”和“开始”菜单 个性化“任务栏”和“开始”菜单 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
IE设置 IE设置(需添加inetres.adm模板文件 ) 上海师范大学数理信息学院
Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm ) 上海师范大学数理信息学院
Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm ) 上海师范大学数理信息学院
Windows Media Player Windows Media Player设置(ADM文件为wmplayer.adm ) 上海师范大学数理信息学院
屏蔽使用所有 Windows Update 功能的访问 屏蔽使用所有 Windows Update 功能的访问 上海师范大学数理信息学院
在Windows XP/2003中实现远程关机 • 在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机 • 该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料 • 注销当前用户: shutdown - l (该命令只能注销本机用户,对远程计算机不适用) • 关闭本地计算机 : shutdown - s • 重启本地计算机 : shutdown - r • 定时关机 : shutdown - s -t 30 (指定在30秒之后自动关闭计算机 ) 上海师范大学数理信息学院
在Windows XP/2003中实现远程关机 • 中止计算机的关闭 : shutdown – a • 使用命令:shutdown -s -m \\Asolon -t 30 (在30秒内关闭Asolon名为Asolon的计算机) • 该命令执行后,计算机Asolon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问) • 出现这种情况是因为只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以执行上述命令时,便会出现“拒绝访问”的情况。 • 我们利用组策略即可赋予guest用户远程关机的权限 上海师范大学数理信息学院
在Windows XP/2003中实现远程关机 上海师范大学数理信息学院
在Windows XP/2003中实现远程关机 • 使用命令:shutdown -s -m \\Anyes-solon -t 60 (在60秒内关闭Anyes-solon名为Asolon的计算机) 上海师范大学数理信息学院
关闭缩略图的缓存 关闭缩略图的缓存 上海师范大学数理信息学院
关闭系统还原功能 上海师范大学数理信息学院
禁止Windows Messenger自动运行 上海师范大学数理信息学院
隐藏“我的电脑”中指定的驱动器 隐藏“我的电脑”中指定的驱动器 上海师范大学数理信息学院
