第5章 Windows server 2003管理组策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第五章 管理组策略
学习要求及能力目的
组策略用来在用户或计算机集合上强制设置一些配 置,这在多台计算机需要统一的工作界面时很有实用意 义。组策略为管理员提供了进一步控制和集中管理用户 工作环境、实现软件部署以及安全性管理。 工作环境、实现软件部署以及安全性管理。 掌握组策略的管理与配置方法 掌握利用组策略管理资源与对象 掌握域安全策略及域控制器安全策略的配置 管理方法
(4)管理模板 包括基于注册表的组策略,可以利用它来强制注册表设置, 包括基于注册表的组策略 ,可以利用它来强制注册表设置 , 控制桌面的外观和状态,包括操作系统组件和应用程序。 控制桌面的外观和状态,包括操作系统组件和应用程序。 远程安装服务(RIS) (5)远程安装服务(RIS) 当运行用户安装向导时,控制显示给用户的RIS安装选项。 RIS安装选项 当运行用户安装向导时,控制显示给用户的RIS安装选项。 (6)文件夹重定向 可以重定向Windows 2003指定的文件夹从用户配置文 可以重定向Windows Server 2003指定的文件夹从用户配置文 件缺省位置到另一个网络位置,从而对这些文件夹集中管理。 件缺省位置到另一个网络位置,从而对这些文件夹集中管理。
(2)用户的组策略配置 在用户的组策略配置中可以指定操作系统行为、 在用户的组策略配置中可以指定操作系统行为、 桌面行 安全性设置、赋予的和公布的应用程序选项、 为、安全性设置、赋予的和公布的应用程序选项、应用程 序设置、 序设置、 文件夹的重定向选项以及用户登录和退出登录的 命令等。 命令等。 当用户登录计算机时会应用与该用户相关的组策 略设置。 略设置。 注意: 注意:当同一个组策略的计算机配置和用户配置发生冲突 时,计算机的组策略配置优先。 计算机的组策略配置优先。
④删除:断掉组策略对象的链接或删除一个组策略对象 删除: 。 ⑤向上、向下:修改组策略对象应用在同一活动目录对 向上、向下: 象上的优先级。 象上的优先级。 ⑥属性:对选中的组策略对象进行有关属性参数的设置 属性: 。 图5-2中【阻止策略继承】单选项是用于防止父容器定义 阻止策略继承】 的策略在自身传递。 的策略在自身传递。 【案例2】验证组策略的继承性。 案例2 验证组策略的继承性。
(2)脚本 组策略管理员可以设定脚本和批处理文件在指定时间运行, 组策略管理员可以设定脚本和批处理文件在指定时间运行, 如在系统启动、关闭、用户登录或注销时。 如在系统启动、关闭、用户登录或注销时。脚本可以自动执行 重复性任务,如映射网络驱动器。 重复性任务,如映射网络驱动器。 (3)安全设置 组策略管理员可以限制用户访问文件和文件夹, 组策略管理员可以限制用户访问文件和文件夹,配置账户限 如在Windows 2003锁定用户账户之前允许用户输 制(如在Windows Server 2003锁定用户账户之前允许用户输 入多少次错误的口令),设置本地策略(如用户权力和审计) 入多少次错误的口令),设置本地策略(如用户权力和审计) ),设置本地策略 控制服务操作,限制注册表和事件日志文件的访问, ,控制服务操作,限制注册表和事件日志文件的访问,设置公 钥访问和配置IPSec策略。 钥访问和配置IPSec策略。 IPSec策略
2) 组策略的配置类型 每个组策略的配置类型都包括两部分内容: 每个组策略的配置类型都包括两部分内容:计算机配置 和用户配置
图5-1 组策略编辑器窗口
2) 组策略的配置类型 (1)计算机的组策略配置 在计算机的组策略配置中可以指定操作系统的行为、 在计算机的组策略配置中可以指定操作系统的行为、 桌面行为、 安全性设置 、 计算机的启动和关机命令 、 计 桌面行为 、 安全性设置、 计算机的启动和关机命令、 算机赋予的应用程序选项以及应用程序设置。 算机赋予的应用程序选项以及应用程序设置 。 在计算机 启动时会应用计算机的组策略设置。 启动时会应用计算机的组策略设置。
3. 组策略的应用
1)指派应用程序 可以将一个软件通过组策略指派给用户或者计算机,这样当 可以将一个软件通过组策略指派给用户或者计算机,这样当 用户登录时,软件会被通告给用户, 用户登录时,软件会被通告给用户,但是软件并没有真正安装 在该计算机上,而只是安装了与软件有关的部分信息,当用户 在该计算机上,而只是安装了与软件有关的部分信息, 运行软件的快捷方式或者双击该软件的文档时, 运行软件的快捷方式或者双击该软件的文档时,该软件才会被 自动安装。软件指派应用程序既可以用于计算机配置, 自动安装。软件指派应用程序既可以用于计算机配置,也可用 于用户配置。 于用户配置。
组策略
开始有的一个新特点。 组策略是从Windows 2000开始有的一个新特点 组策略是从Windows 2000开始有的一个新特点。组 策略用来在用户或计算机集合上强制设置一些配置, 策略用来在用户或计算机集合上强制设置一些配置,这 在多台计算机需要统一的工作界面时很有实用意义。 在多台计算机需要统一的工作界面时很有实用意义。例 如用户的桌面环境、计算机启动/关机所执行的脚本文件、 如用户的桌面环境、计算机启动/关机所执行的脚本文件、 用户登录/注销所执行的脚本文件等。 用户登录/注销所执行的脚本文件等。Windows Server 2003系统赋予组策略更新的功能和特性, 2003系统赋予组策略更新的功能和特性,通过组策略可 系统赋予组策略更新的功能和特性 以更容易管理网络上的资源。 以更容易管理网络上的资源。
3) 组策略的功能类型
(1)软件设置 影响用户可以访问的应用程序, 影响用户可以访问的应用程序,应用程序自动安装的策略有两 种方法实现:指派应用程序, 种方法实现:指派应用程序,组策略直接在用户计算机上安装或 升级应用程序,或为用户提供应用程序的连接, 升级应用程序,或为用户提供应用程序的连接,指派的应用程序 用户无法删除;发布应用程序,组策略管理员通过活动目录服务 用户无法删除;发布应用程序, 发布应用程序。应用程序出现在用户的控制面板的【添加/ 发布应用程序 。 应用程序出现在用户的控制面板的 【 添加 / 删除 程序】的安装组件列表中,用户可以卸载这些应用程序。 程序】的安装组件列表中,用户可以卸载这些应用程序。
(3)组策略模板 组策略模板(GPT, Template) 组策略模板(GPT,Group Policy Template)存储在域控 制器上的SYSVOL共享文件夹中 制器上的SYSVOL共享文件夹中,用来提供所有的组策略设置和 SYSVOL共享文件夹 信息,包括管理模板、安全性、软件安装、脚本、文件夹重定 信息,包括管理模板、安全性、软件安装、脚本、 向设置等。当创建一个GPO时 2003创建相应 向设置等。当创建一个GPO时,Windows Server 2003创建相应 GPO GPT。客户端计算机能够接受组策略的配置就是因为它们和DC 的GPT。客户端计算机能够接受组策略的配置就是因为它们和DC SYSVOL文件夹链接 获得并应用这些设置。 文件夹链接, 的SYSVOL文件夹链接,获得并应用这些设置。
1. 组策略简介 组策略是一组配置设置, 组策略是一组配置设置,是组策略管理员应用于活 一组配置设置 动目录存储中的一个或多个对象。 动目录存储中的一个或多个对象。利用它组策略管理员 可以为用户提供一个完全总装的桌面环境。 可以为用户提供一个完全总装的桌面环境。这个环境包 括定制的【开始】菜单,自动安装的应用程序和对文件、 括定制的【开始】菜单,自动安装的应用程序和对文件、 文件夹和Windows 2003系统设置的限制访问 系统设置的限制访问。 文件夹和Windows Server 2003系统设置的限制访问。
2. 组策略对象的管理
新建) 1)创建组策略 (新建) 【案例1】创建域的组策略。 案例1 创建域的组策略。 2)在图5-2中除【新建】 在图5 中除【新建】 域属性【组策略】 图5-2 域属性【组策略】选项卡 按钮以外的其他各按钮作用如下: 按钮以外的其他各按钮作用如下: 添加:把已经存在的一个组策略对象链接到站点、 ① 添加 : 把已经存在的一个组策略对象链接到站点 、 域 或者组织单位上。 或者组织单位上。 编辑: ② 编辑 : 打开组策略对象编辑器来对组策略对象进行编 辑。 选项:进行组策略对象的替代控制。 ③选项:进行组策略对象的替代控制。
【案例3】实现委托,使某用户对组策略有访问权限。 案例3 实现委托,使某用户对组策略有访问权限。
4)设置组策略
在创建了组策略对象以后,还需要对组策略对象进行配置。 在创建了组策略对象以后 , 还需要对组策略对象进行配置 。 配置组策略对象的步骤如下: 配置组策略对象的步骤如下: (1)打开活动目录,右击域名,单击【属性】,选择【组策 打开活动目录,右击域名,单击【属性】 选择【 标签。 略】标签。 选择组策略,单击【编辑】按钮,打开组策略编辑器。 (2)选择组策略,单击【编辑】按钮,打开组策略编辑器。
3)委托GPO管理控制 委托GPO管理控制 GPO 在创建GPO 以后, 要确定哪些用户和组对GPO GPO以后 GPO拥有访 在创建 GPO 以后 , 要确定哪些用户和组对 GPO 拥有访 问权限。默认的GPO权限如下所示。 GPO权限如下所示 问权限。默认的GPO权限如下所示。
OWNER组 拥有特别的权限。 CREATOR OWNER组:拥有特别的权限。 Authrnticated Users组 :拥有读、拥应用组策略和特 Users组 拥有读、 别的权限。 别的权限。 Admins组 拥有读、 创建所有子对象、 Domain Admins 组 : 拥有读 、 写 、 创建所有子对象 、 删 除所有子对象、特别的权限。 除所有子对象、特别的权限。 SYSTEM组 拥有读、 创建所有子对象、 SYSTEM组:拥有读、写、创建所有子对象、删除所有子 对象、特别的权限。 对象、特别的权限。
(2)组策略容器 组策略容器( GPC, Container) 组策略容器 ( GPC,Group Policy Container) 是包含 GPO状态和版本信息的活动目录对象,存储在活动目录中。 GPO状态和版本信息的活动目录对象,存储在活动目录中。 状态和版本信息的活动目录对象 计算机使用GPC来定位组策略模板 计算机使用GPC来定位组策略模板,而且域控制器可以通过 GPC来定位组策略模板, 访问GPC来获得GPO的版本信息。如果一台域控制器没有最新 访问GPC来获得GPO的版本信息。 GPC来获得GPO的版本信息 的GPO版本信息,那么就会引发为了获得最新GPO版本信息的 GPO版本信息,那么就会引发为了获得最新GPO版本信息的 版本信息 GPO 活动目录复制。 活动目录复制。
ห้องสมุดไป่ตู้
1) 组策略的组件
(1)组策略对象 组策略对象( GPO, Object) 组策略对象 ( GPO,Group Policy Object) 是组策略的载体 要想实现组策略管埋,必须创建组策略对象。 ,要想实现组策略管埋,必须创建组策略对象。在活动目录中可 OU以实现组策 以把组策略对象应用于特定的目标, 站点、域和OU 以把组策略对象应用于特定的目标,如站点、域和OU以实现组策 略管理的目的。组策略对象的内容存储在GPC GPT中 GPC和 略管理的目的。组策略对象的内容存储在GPC和GPT中。 在对这些对象设置组策略时有以下特点: 在对这些对象设置组策略时有以下特点: • 一个GPO可以与多个站点、域和OU相链接,这样当需要对不同 一个GPO可以与多个站点、域和OU相链接, GPO可以与多个站点 OU相链接 的对象执行相同策略管理时可以减轻管理员的工作负担。 的对象执行相同策略管理时可以减轻管理员的工作负担。 • 每个站点、域和OU也可以应用多个GPO。 每个站点、域和OU也可以应用多个GPO OU也可以应用多个GPO。
学习要求及能力目的
组策略用来在用户或计算机集合上强制设置一些配 置,这在多台计算机需要统一的工作界面时很有实用意 义。组策略为管理员提供了进一步控制和集中管理用户 工作环境、实现软件部署以及安全性管理。 工作环境、实现软件部署以及安全性管理。 掌握组策略的管理与配置方法 掌握利用组策略管理资源与对象 掌握域安全策略及域控制器安全策略的配置 管理方法
(4)管理模板 包括基于注册表的组策略,可以利用它来强制注册表设置, 包括基于注册表的组策略 ,可以利用它来强制注册表设置 , 控制桌面的外观和状态,包括操作系统组件和应用程序。 控制桌面的外观和状态,包括操作系统组件和应用程序。 远程安装服务(RIS) (5)远程安装服务(RIS) 当运行用户安装向导时,控制显示给用户的RIS安装选项。 RIS安装选项 当运行用户安装向导时,控制显示给用户的RIS安装选项。 (6)文件夹重定向 可以重定向Windows 2003指定的文件夹从用户配置文 可以重定向Windows Server 2003指定的文件夹从用户配置文 件缺省位置到另一个网络位置,从而对这些文件夹集中管理。 件缺省位置到另一个网络位置,从而对这些文件夹集中管理。
(2)用户的组策略配置 在用户的组策略配置中可以指定操作系统行为、 在用户的组策略配置中可以指定操作系统行为、 桌面行 安全性设置、赋予的和公布的应用程序选项、 为、安全性设置、赋予的和公布的应用程序选项、应用程 序设置、 序设置、 文件夹的重定向选项以及用户登录和退出登录的 命令等。 命令等。 当用户登录计算机时会应用与该用户相关的组策 略设置。 略设置。 注意: 注意:当同一个组策略的计算机配置和用户配置发生冲突 时,计算机的组策略配置优先。 计算机的组策略配置优先。
④删除:断掉组策略对象的链接或删除一个组策略对象 删除: 。 ⑤向上、向下:修改组策略对象应用在同一活动目录对 向上、向下: 象上的优先级。 象上的优先级。 ⑥属性:对选中的组策略对象进行有关属性参数的设置 属性: 。 图5-2中【阻止策略继承】单选项是用于防止父容器定义 阻止策略继承】 的策略在自身传递。 的策略在自身传递。 【案例2】验证组策略的继承性。 案例2 验证组策略的继承性。
(2)脚本 组策略管理员可以设定脚本和批处理文件在指定时间运行, 组策略管理员可以设定脚本和批处理文件在指定时间运行, 如在系统启动、关闭、用户登录或注销时。 如在系统启动、关闭、用户登录或注销时。脚本可以自动执行 重复性任务,如映射网络驱动器。 重复性任务,如映射网络驱动器。 (3)安全设置 组策略管理员可以限制用户访问文件和文件夹, 组策略管理员可以限制用户访问文件和文件夹,配置账户限 如在Windows 2003锁定用户账户之前允许用户输 制(如在Windows Server 2003锁定用户账户之前允许用户输 入多少次错误的口令),设置本地策略(如用户权力和审计) 入多少次错误的口令),设置本地策略(如用户权力和审计) ),设置本地策略 控制服务操作,限制注册表和事件日志文件的访问, ,控制服务操作,限制注册表和事件日志文件的访问,设置公 钥访问和配置IPSec策略。 钥访问和配置IPSec策略。 IPSec策略
2) 组策略的配置类型 每个组策略的配置类型都包括两部分内容: 每个组策略的配置类型都包括两部分内容:计算机配置 和用户配置
图5-1 组策略编辑器窗口
2) 组策略的配置类型 (1)计算机的组策略配置 在计算机的组策略配置中可以指定操作系统的行为、 在计算机的组策略配置中可以指定操作系统的行为、 桌面行为、 安全性设置 、 计算机的启动和关机命令 、 计 桌面行为 、 安全性设置、 计算机的启动和关机命令、 算机赋予的应用程序选项以及应用程序设置。 算机赋予的应用程序选项以及应用程序设置 。 在计算机 启动时会应用计算机的组策略设置。 启动时会应用计算机的组策略设置。
3. 组策略的应用
1)指派应用程序 可以将一个软件通过组策略指派给用户或者计算机,这样当 可以将一个软件通过组策略指派给用户或者计算机,这样当 用户登录时,软件会被通告给用户, 用户登录时,软件会被通告给用户,但是软件并没有真正安装 在该计算机上,而只是安装了与软件有关的部分信息,当用户 在该计算机上,而只是安装了与软件有关的部分信息, 运行软件的快捷方式或者双击该软件的文档时, 运行软件的快捷方式或者双击该软件的文档时,该软件才会被 自动安装。软件指派应用程序既可以用于计算机配置, 自动安装。软件指派应用程序既可以用于计算机配置,也可用 于用户配置。 于用户配置。
组策略
开始有的一个新特点。 组策略是从Windows 2000开始有的一个新特点 组策略是从Windows 2000开始有的一个新特点。组 策略用来在用户或计算机集合上强制设置一些配置, 策略用来在用户或计算机集合上强制设置一些配置,这 在多台计算机需要统一的工作界面时很有实用意义。 在多台计算机需要统一的工作界面时很有实用意义。例 如用户的桌面环境、计算机启动/关机所执行的脚本文件、 如用户的桌面环境、计算机启动/关机所执行的脚本文件、 用户登录/注销所执行的脚本文件等。 用户登录/注销所执行的脚本文件等。Windows Server 2003系统赋予组策略更新的功能和特性, 2003系统赋予组策略更新的功能和特性,通过组策略可 系统赋予组策略更新的功能和特性 以更容易管理网络上的资源。 以更容易管理网络上的资源。
3) 组策略的功能类型
(1)软件设置 影响用户可以访问的应用程序, 影响用户可以访问的应用程序,应用程序自动安装的策略有两 种方法实现:指派应用程序, 种方法实现:指派应用程序,组策略直接在用户计算机上安装或 升级应用程序,或为用户提供应用程序的连接, 升级应用程序,或为用户提供应用程序的连接,指派的应用程序 用户无法删除;发布应用程序,组策略管理员通过活动目录服务 用户无法删除;发布应用程序, 发布应用程序。应用程序出现在用户的控制面板的【添加/ 发布应用程序 。 应用程序出现在用户的控制面板的 【 添加 / 删除 程序】的安装组件列表中,用户可以卸载这些应用程序。 程序】的安装组件列表中,用户可以卸载这些应用程序。
(3)组策略模板 组策略模板(GPT, Template) 组策略模板(GPT,Group Policy Template)存储在域控 制器上的SYSVOL共享文件夹中 制器上的SYSVOL共享文件夹中,用来提供所有的组策略设置和 SYSVOL共享文件夹 信息,包括管理模板、安全性、软件安装、脚本、文件夹重定 信息,包括管理模板、安全性、软件安装、脚本、 向设置等。当创建一个GPO时 2003创建相应 向设置等。当创建一个GPO时,Windows Server 2003创建相应 GPO GPT。客户端计算机能够接受组策略的配置就是因为它们和DC 的GPT。客户端计算机能够接受组策略的配置就是因为它们和DC SYSVOL文件夹链接 获得并应用这些设置。 文件夹链接, 的SYSVOL文件夹链接,获得并应用这些设置。
1. 组策略简介 组策略是一组配置设置, 组策略是一组配置设置,是组策略管理员应用于活 一组配置设置 动目录存储中的一个或多个对象。 动目录存储中的一个或多个对象。利用它组策略管理员 可以为用户提供一个完全总装的桌面环境。 可以为用户提供一个完全总装的桌面环境。这个环境包 括定制的【开始】菜单,自动安装的应用程序和对文件、 括定制的【开始】菜单,自动安装的应用程序和对文件、 文件夹和Windows 2003系统设置的限制访问 系统设置的限制访问。 文件夹和Windows Server 2003系统设置的限制访问。
2. 组策略对象的管理
新建) 1)创建组策略 (新建) 【案例1】创建域的组策略。 案例1 创建域的组策略。 2)在图5-2中除【新建】 在图5 中除【新建】 域属性【组策略】 图5-2 域属性【组策略】选项卡 按钮以外的其他各按钮作用如下: 按钮以外的其他各按钮作用如下: 添加:把已经存在的一个组策略对象链接到站点、 ① 添加 : 把已经存在的一个组策略对象链接到站点 、 域 或者组织单位上。 或者组织单位上。 编辑: ② 编辑 : 打开组策略对象编辑器来对组策略对象进行编 辑。 选项:进行组策略对象的替代控制。 ③选项:进行组策略对象的替代控制。
【案例3】实现委托,使某用户对组策略有访问权限。 案例3 实现委托,使某用户对组策略有访问权限。
4)设置组策略
在创建了组策略对象以后,还需要对组策略对象进行配置。 在创建了组策略对象以后 , 还需要对组策略对象进行配置 。 配置组策略对象的步骤如下: 配置组策略对象的步骤如下: (1)打开活动目录,右击域名,单击【属性】,选择【组策 打开活动目录,右击域名,单击【属性】 选择【 标签。 略】标签。 选择组策略,单击【编辑】按钮,打开组策略编辑器。 (2)选择组策略,单击【编辑】按钮,打开组策略编辑器。
3)委托GPO管理控制 委托GPO管理控制 GPO 在创建GPO 以后, 要确定哪些用户和组对GPO GPO以后 GPO拥有访 在创建 GPO 以后 , 要确定哪些用户和组对 GPO 拥有访 问权限。默认的GPO权限如下所示。 GPO权限如下所示 问权限。默认的GPO权限如下所示。
OWNER组 拥有特别的权限。 CREATOR OWNER组:拥有特别的权限。 Authrnticated Users组 :拥有读、拥应用组策略和特 Users组 拥有读、 别的权限。 别的权限。 Admins组 拥有读、 创建所有子对象、 Domain Admins 组 : 拥有读 、 写 、 创建所有子对象 、 删 除所有子对象、特别的权限。 除所有子对象、特别的权限。 SYSTEM组 拥有读、 创建所有子对象、 SYSTEM组:拥有读、写、创建所有子对象、删除所有子 对象、特别的权限。 对象、特别的权限。
(2)组策略容器 组策略容器( GPC, Container) 组策略容器 ( GPC,Group Policy Container) 是包含 GPO状态和版本信息的活动目录对象,存储在活动目录中。 GPO状态和版本信息的活动目录对象,存储在活动目录中。 状态和版本信息的活动目录对象 计算机使用GPC来定位组策略模板 计算机使用GPC来定位组策略模板,而且域控制器可以通过 GPC来定位组策略模板, 访问GPC来获得GPO的版本信息。如果一台域控制器没有最新 访问GPC来获得GPO的版本信息。 GPC来获得GPO的版本信息 的GPO版本信息,那么就会引发为了获得最新GPO版本信息的 GPO版本信息,那么就会引发为了获得最新GPO版本信息的 版本信息 GPO 活动目录复制。 活动目录复制。
ห้องสมุดไป่ตู้
1) 组策略的组件
(1)组策略对象 组策略对象( GPO, Object) 组策略对象 ( GPO,Group Policy Object) 是组策略的载体 要想实现组策略管埋,必须创建组策略对象。 ,要想实现组策略管埋,必须创建组策略对象。在活动目录中可 OU以实现组策 以把组策略对象应用于特定的目标, 站点、域和OU 以把组策略对象应用于特定的目标,如站点、域和OU以实现组策 略管理的目的。组策略对象的内容存储在GPC GPT中 GPC和 略管理的目的。组策略对象的内容存储在GPC和GPT中。 在对这些对象设置组策略时有以下特点: 在对这些对象设置组策略时有以下特点: • 一个GPO可以与多个站点、域和OU相链接,这样当需要对不同 一个GPO可以与多个站点、域和OU相链接, GPO可以与多个站点 OU相链接 的对象执行相同策略管理时可以减轻管理员的工作负担。 的对象执行相同策略管理时可以减轻管理员的工作负担。 • 每个站点、域和OU也可以应用多个GPO。 每个站点、域和OU也可以应用多个GPO OU也可以应用多个GPO。