課件說(shuō)明案例

WindowsServer2003組策略的管理與安全設(shè)置學(xué)習(xí)指南內(nèi)容提要：組策略對(duì)于網(wǎng)絡(luò)管理員非常有用，通過(guò)它，可以方便地對(duì)計(jì)算機(jī)資源進(jìn)行管理。本文主要介紹了組策略控制臺(tái)的啟動(dòng)、組策略中的管理模板、如何通過(guò)組策略管理系統(tǒng)以及組策略的安全設(shè)置等方面的內(nèi)容。引言：利用組策略，可以將系統(tǒng)重要的配置功能匯集成各種配置模塊，供網(wǎng)絡(luò)管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)資源的目的。通過(guò)組策略編輯器，網(wǎng)絡(luò)管理員可以輕松地為系統(tǒng)進(jìn)行安全策略的設(shè)置，從而起到安全保障的作用。啟動(dòng)WindowsServer2003的組策略控制對(duì)于WindowsServer2003本地計(jì)算機(jī)組策略的啟啟動(dòng)組策略的步驟如下：“gpedit.msc”，單擊“確定”按鈕，如圖1所示。個(gè)子鍵組成，如圖2所示。域范圍組策略的啟動(dòng)打開(kāi)“控制面板”窗口，選擇“管理工具”→“域安全策略”，如圖3如果想對(duì)域控制器上的組策略對(duì)象進(jìn)行編輯，也可以在“控制面板”中選擇“管理工具”→“域控4所示的“默認(rèn)域控制器安全設(shè)置”窗口，就可以加載默認(rèn)的域組對(duì)象的屬性或域控制器組策略對(duì)象的屬性。創(chuàng)建組策略控制臺(tái)可以通過(guò)將組策略作為獨(dú)立的控制臺(tái)管理程序來(lái)打開(kāi)，對(duì)其他的計(jì)算機(jī)組策略對(duì)象進(jìn)行配置。創(chuàng)建組策略控制臺(tái)的步驟如下：?jiǎn)螕簟按_定”按鈕，如圖5系統(tǒng)打開(kāi)“控制臺(tái)”窗口，如圖6在“控制臺(tái)”窗口中，選擇“文件”→“添加刪除管理單元”選項(xiàng)，打開(kāi)“添加刪除管理單元”框，如圖7所示。單擊“添加”按鈕，打開(kāi)“添加獨(dú)立管理單元”框，如圖8所示在如圖8所示框中的“可用的獨(dú)立管理單元”列表框中，選擇“組策略對(duì)象編輯器”，如圖9所示。圖 圖單擊“添加”按鈕，系統(tǒng)彈出“選擇組策略對(duì)象”框，如圖10所示在“選擇組策略對(duì)象”框中，默認(rèn)的組策略設(shè)置對(duì)象為“本地計(jì)算機(jī)”，可以通過(guò)單擊“瀏覽”按鈕來(lái)選擇網(wǎng)絡(luò)中的其他計(jì)算機(jī)來(lái)進(jìn)行組策略的配置。單擊“瀏覽”按鈕后系統(tǒng)會(huì)彈出如圖11所示的框。到“添加/刪除管理單元”框，這時(shí)還可進(jìn)行其他的設(shè)置。在“添加刪除管理單元”框中選擇“擴(kuò)展”選項(xiàng)卡，如圖12所示。在該選項(xiàng)卡中，可以對(duì)要出現(xiàn)在此“組策略”內(nèi)的擴(kuò)展性管理單元進(jìn)行設(shè)置，系統(tǒng)會(huì)將該組策略對(duì)象內(nèi)所有可以使用的擴(kuò)展性管理單元都加入到“組策略”編輯器中。最后，可以單擊“確定”按鈕返回。這時(shí)，在控制臺(tái)內(nèi)就是自定義格式的組策略編輯器了，如圖13所示。可以將此操作環(huán)境起來(lái)，以便在日后設(shè)置組策略對(duì)象時(shí)使用。組策略的管理組策略中的管理模板在WindowsServer2003系 中包含了幾個(gè)被稱為“管理模板”的.adm文件。這些文件組策略管理模板項(xiàng)目提供策略信息。在WindowsServer2003的系統(tǒng)文件夾的inf文件夾中，包含了System.adm：用于系統(tǒng)設(shè)置，默認(rèn)情況下安裝在“組策略”中。Inetres.adm：用于InternetExplorerWmplayer.adm：用于WindowsMediaPlayerConf.adm：用于NetMeetingWuau.adm：用于配置組策略來(lái)控 AU與Windows9X只允許當(dāng)前打開(kāi)一個(gè)策略模板不同的是，在WindowsServer2003操作系統(tǒng)的組策略控制臺(tái)中，可以多次添加“策略模板”，添加的步驟如下：展開(kāi)“組策略編輯器”窗口左側(cè)的“計(jì)算機(jī)配置”或“用戶配置”，右擊其中的“管理模板”，在彈出的子菜單中選擇“添加刪除模板”命令，如圖14所示。系統(tǒng)會(huì)彈出如圖15所示的“添加/刪除模板”框圖 圖單擊“添加”按鈕，彈出如圖16所示的“策略模板”框，可以選擇相應(yīng)的.adm文單擊“打開(kāi)”按鈕，就會(huì)在“添加/刪除模板”框中看到新添加的管理模板所產(chǎn)生配置項(xiàng)目了，如圖17圖 圖通過(guò)組策略管理系統(tǒng)修改注冊(cè)表編輯器通過(guò)禁用表編輯器，可以防止他人在使用電腦時(shí)對(duì)表文件進(jìn)行修改。下面介紹禁用注冊(cè)表編輯器的操作步驟：彈出“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“系統(tǒng)”，如圖18所示。話框，如圖19所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。最后，可以進(jìn)試。選擇“開(kāi)始”→“運(yùn)行”命令，在“運(yùn)行”框中輸入“regedit”，單擊“確定”按鈕，系統(tǒng)將彈出警告框，提示表編輯已經(jīng)被管理員禁用了。如圖20所示。圖 圖使用命令提示符在使用WindowsServer2003時(shí)，可以通過(guò)運(yùn)行“cmd.exe”命令進(jìn)入DOS命令提示符狀態(tài)，在該狀態(tài)中所執(zhí)行的一些命令會(huì)到網(wǎng)絡(luò)運(yùn)行的安全，作為網(wǎng)絡(luò)管理員，出于的考慮，可以使用命令提示符。打開(kāi)“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“系統(tǒng)”，然后雙擊窗口右側(cè)的“命令提示符”，如圖21所示。系統(tǒng)彈出“命令提示符屬性”框，如圖22所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。在如圖22所示的框中，系統(tǒng)提示是否也停用命令提示符處理，這個(gè)設(shè)置決定了批處理文件.cmd和.bat是否可以在該計(jì)算機(jī)中運(yùn)行。最后，用戶可以嘗試在“運(yùn)行”框中輸入cmd命令，系統(tǒng)將會(huì)提示命令提示符已經(jīng)被系統(tǒng)管理員停用了，如圖23所示。圖 圖隱藏“我的電腦”中指定的驅(qū)動(dòng)器作為管理員，可以從“我的電腦”以及“Wnows資源管理器”中刪除硬盤(pán)驅(qū)動(dòng)器的圖標(biāo)，并且隱藏驅(qū)動(dòng)器號(hào)，以限制用戶驅(qū)動(dòng)器中的數(shù)據(jù)?！癢ndws資源管理器”，然后雙擊窗口右側(cè)的“隱藏‘我的電腦’中的這些指定的驅(qū)動(dòng)器”，如圖24所示。系統(tǒng)彈出“隱藏‘我的電腦’中的這些指定的驅(qū)動(dòng)器屬性”框，如圖25所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇?；氐阶烂?，打開(kāi)“我的電腦”窗口，發(fā)現(xiàn)所有的驅(qū)動(dòng)器都被管理員隱藏了，如圖26制面板”

→“控制面板”，然后雙擊窗口右側(cè)的“控制面板”，如圖27所示系統(tǒng)彈出“ 控制面板屬性”框，選擇“已啟用”單選按鈕，再單擊“確定”28更改顯示屬性顯示屬性來(lái)實(shí)現(xiàn)這些限制。圖29所示。使用“添加/刪除程序”

若想用戶對(duì)操作系統(tǒng)中的程序隨意地進(jìn)行添加或刪除，可以利用組策略來(lái)實(shí)現(xiàn)面板”→“添加刪除程序”，在窗口右側(cè)列出了關(guān)于添加刪除程序的選項(xiàng)，可以根據(jù)具體的需求來(lái)進(jìn)行不同的限制，如圖30所示。限制使用應(yīng)用程序→“系統(tǒng)”，然后雙擊窗口右側(cè)的“只運(yùn)行的Windows應(yīng)用程序”，如圖31所示系統(tǒng)彈出“只運(yùn)行的Windows應(yīng)用程序?qū)傩浴笨?，如圖32所示，選擇“已啟用”同時(shí)，在“只運(yùn)行的Windows應(yīng)用程序?qū)傩浴笨蛑羞€可以選擇允許運(yùn)行的應(yīng)用程序。單擊“顯示”按鈕，系統(tǒng)會(huì)彈出“顯示內(nèi)容”框，如圖33所示。圖 圖單擊“添加”按鈕，便可以添加允許運(yùn)行的應(yīng)用程序了，如圖34隱藏桌面的系統(tǒng)圖標(biāo)打開(kāi)“組策略編輯器”窗口，在該編輯窗口的左側(cè)依次選擇“用戶配置”→“管理模板”→“桌35所示。建立新的連接

系統(tǒng)彈出“ ‘新建連接向?qū)А瘜傩浴笨?，如圖37所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。雙擊“組策略編輯器”窗口右側(cè)的“為管理員啟用Windows2000彈出“為管理員啟用Windows2000網(wǎng)絡(luò)連接設(shè)置屬性”框，如圖38所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。圖 圖啟用這兩個(gè)策略后，“新建連接”圖標(biāo)就不會(huì)出現(xiàn)在“開(kāi)始”菜單或“網(wǎng)絡(luò)連接”文件夾中，那么用戶將無(wú)法啟動(dòng)“網(wǎng)絡(luò)連接”向?qū)?。組策略的安全設(shè)置組策略安全概述Wndowsevr2003操作系統(tǒng)存在著許多安全方面的，雖然可以通過(guò)打補(bǔ)丁的方法來(lái)減少大部分的，但還是不能完全杜絕由一些小導(dǎo)致的系統(tǒng)被或。在WndowsSrvr203中自帶的“組策略編輯器”就是一個(gè)非常不錯(cuò)的系統(tǒng)安全管理工具。通過(guò)“組策略”編輯器網(wǎng)絡(luò)管理員可以輕松地為系統(tǒng)進(jìn)行安全策略的設(shè)置從而起到安全保障的作用。組策略包括應(yīng)用于域或計(jì)算機(jī)組的大量安全權(quán)限配置文件。一個(gè)組策略對(duì)象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計(jì)算機(jī)。單個(gè)計(jì)算機(jī)啟動(dòng)時(shí)，組策略得以應(yīng)用，如果做出改動(dòng)時(shí)沒(méi)有重新啟動(dòng)計(jì)算機(jī)，組策略會(huì)得到定期刷新。組策略的繼承性組策略的繼承性包括了WindowsServer2003在活動(dòng)中處理組策略的順序，以及在連接到母容器的組策略的繼承性。繼承流程是：默認(rèn)組策略被繼承。子容器從父容器那里繼承組策略，就是說(shuō)子容器可能擁有多個(gè)用于用戶和計(jì)算機(jī)的組策略設(shè)置。不止一個(gè)組策略與它連接，比如說(shuō)，一個(gè)站點(diǎn)包含一個(gè)域以上的計(jì)算機(jī)，連接到該站點(diǎn)的組策略中定義的組策略設(shè)置將應(yīng)用到所有登錄到該站點(diǎn)的計(jì)算機(jī)設(shè)置用戶上，不管計(jì)算機(jī)和用戶賬號(hào)是否在域中。組策略的安全設(shè)置組策略對(duì)象“安全設(shè)置”節(jié)點(diǎn)的容器包括：賬戶策略、本地策略、公鑰策略、P安全策略等。有些策略只應(yīng)用于域的范圍，也就是說(shuō)，策略設(shè)置是在域范圍內(nèi)進(jìn)行的。例如賬戶策略一律應(yīng)用于域內(nèi)的所有用戶賬戶。不能為同一域內(nèi)的不同部門(mén)定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其他策略范圍都可在部門(mén)等級(jí)設(shè)定。安全模板WindowsServer2003系統(tǒng)為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板?！鞍踩０濉笔荳indowsServer2003域控制器、服務(wù)器或客戶計(jì)算機(jī)上適合某一特定安全等級(jí)的安全設(shè)置配置文實(shí)施組策略安全管理通常，網(wǎng)絡(luò)管理員可以分別從服務(wù)器和工作站局域網(wǎng)中對(duì)WindowsServer2003系統(tǒng)實(shí)施安全管理。在服務(wù)器上安裝活動(dòng) 服務(wù)的基礎(chǔ)上，在域中實(shí)施組策略；最后應(yīng)將工作站置于服務(wù)器所管理的打開(kāi)組策略控制臺(tái)選擇“開(kāi)始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，啟動(dòng)“ActiveDirectory用戶和計(jì)算機(jī)”，在右面對(duì)象容器樹(shù)中的根上單擊右鍵，然后單擊“屬性”項(xiàng)，在新打開(kāi)的窗口中單擊“組策略”選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。設(shè)置組