第5章 Windows server 2003管理组策略

如果你曾使用过Windows 2000，或初涉Windows Server 2003还是已经完成过一次系统配置，你至少会对组策略稍微有所了解，知道它可以被用来大大简化对系统构架的管理。

不幸的是，同其他所有技术一样，在意外发生时我们仍然需要对组策略进行排障。

这里给出了六个你可能会在Windows Server 2003组策略中遇到的问题及其解决方法。

1.对特定用户和计算机应用策略时出现意外结果假设你已经创建了一个新的设置组策略对象。

然而，设置还没有被应用到目标对象上。

类似于这样的组策略问题比较难捕捉。

然而，微软采用了新的组策略管理控制台（Group Policy Management Console），你可以免费下载。

该工具包括了一个向导程序，你可以迅速的查看同策略相关的组策略结果集（Resultant Set of Policy即RSoP）信息。

图A显示了特定计算机上的特定用户的RsoP信息。

图A：在名为RAS服务器上的管理员RSoP正如你所见，默认的域策略被Windows管理体系结构（WMI，Windows Management Instrumentation）过滤器所拒绝，原因是WMI出错。

这给出了确定组策略问题出在何处的重要的第一步。

在这种情况下，策略并没有被应用，因为WMI过滤器认为在用户登录Windows XP Professional时策略仅仅会被应用到该用户上。

而该特定用户现在正登录到一台Windows Server 2003计算机，由此造成了过滤失效。

图B显示了WMI过滤器所引发的GPO应用程序在Windows Server 2003上的失效。

图B：WMI过滤器指示Windows XP Pro作为一种选择，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具来查看RsoP 操作的详细情况。

因为GPMC功能如此强大且易于使用，我将不会在本文中讨论gpresult.exe。

了解组策略功能集分步指南本分步指南简要介绍―组策略‖，并说明如何使用―组策略‖管理单元来指定用户和计算机组的策略设置。

本页内容简介概述组策略和Microsoft 管理控制台附录其他资源简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最终将此工作站添加到域中。

后续分步指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

在配置通用网络结构后，可以使用任何其他分步指南。

注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署分步指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

Windows server 2003安全策略
1.纵深防御的概念
2.什么是安全策略：打补丁+配置
3.安全策略
在开始—管理工具---本地安全策略打开。

4.如何使用安全模板
运行内敲命令---mmc---文件—添加删除管理单元，找到安全模板，添加。

然后在控制台内单机安全模板。

可以将某个模板另存，然后在另存的内改动。

也可新建模板。

在域模型里，可将安全模板导入到GPO里。

在工作组模型下，可将安全模板导入到本地安全策略里。

域模型下：打开AD用户计算机，右击域—属性—组策略标签----新建组策略----编辑（就打开了组策略）----右击安全设置----导入策略----选择要导入的策略，在工作组模型下基本相同。

如果只需要将安安全模板配置应用到有限的服务器上，需要用到安全配置和分析。

具体操作：还是先在mms内添加安全配置和分析。

右击安全配置和分析----打开数据库----创建数据库----导入需要的安全模板。

首先分析一下模板。

右击安全配置和分析----立即分析计算机（分析当前模板设置和计算机设置是否一样，一样则为对勾，不一样则为错叉）
右击。

立即配置计算机，则把计算机的安全设置应用为导入的数据库中的安全模板。

这个操作在哪个计算机上操作，就在哪个计算机上得以应用了。

win2003server组策略设计方案-回复Win2003Server组策略设计方案引言组策略是Windows操作系统中一种非常强大的管理工具，它可以通过统一的方式集中管理网络中的计算机和用户。

在Win2003Server中，组策略可以应用于域中所有计算机和用户，通过定义和配置适当的组策略对象（GPO），管理员可以实现对不同用户、计算机和组织单元（OU）的灵活控制。

本文将详细介绍Win2003Server组策略设计方案，并提供一步一步的指导。

一、环境设计在开始组策略设计之前，我们需要考虑和了解现有的环境和需求。

以下是一些需要考虑的方面：1.1 网络拓扑了解网络拓扑对组策略设计非常重要。

网络拓扑可以包括域林的结构、域的数量和位置、域之间的信任关系等。

1.2 用户需求根据不同用户的角色和需求，我们可以对他们应用不同的组策略。

例如，可以设置某些用户只能使用特定的应用程序，而其他用户则可以使用更多的应用程序。

1.3 安全需求了解安全需求可以让我们根据实际需要设计合适的组策略。

例如，对于具有更高权限的管理员账户，可以设置更严格的安全策略，如密码复杂度要求和账户锁定策略。

二、设计和配置组策略在了解环境和需求之后，我们可以开始设计和配置组策略。

以下是一些重要的步骤和注意事项。

2.1 基于角色和需求的策略设计根据用户角色和需求，我们可以将用户分组，并为每个组应用适当的组策略。

例如，可以创建一个"销售"组，为该组用户应用一组与销售相关的策略，如设置销售软件的访问权限和设置销售人员的桌面背景。

2.2 配置组策略可以通过组策略管理工具（GPMC）来配置组策略。

打开GPMC，展开"域"节点，右键单击"组策略对象"，并选择"新建"。

根据需要，可以创建多个组策略对象，并将它们链接到相应的域、OU或站点。

2.3 设置组策略设置对于每个组策略对象，可以设置多个组策略设置。

WindowsServer2003中组策略应用作为一个网络治理员，我们期望有一种方便的、灵活的方法能够操纵整个公司的职员的用户桌面环境，能够给用户安装他们所需要的软件而不用您亲自一台一台地去安装。

在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。

专门是在域模式的情形下，应用组策略能够提供更加方便灵活的功能。

18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统治理员需要治理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上显现的程序以及〝开始〞菜单项选择项。

要为特定用户组创建专门的桌面配置，请使用组策略对象编辑器。

您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的Active Directory 对象〔即站点、域或组织单位〕相关联。

组策略不仅应用于用户和客户端运算机，还应用于成员服务器、域操纵器以及治理范畴内的任何其他Microsoft Windows 2003 运算机。

默认情形下，应用于域的组策略会阻碍域中的所有运算机和用户。

〝Active Directory 用户和运算机〞还提供内置的〝Domain Controllers〞组织单位。

假如将域操纵器帐户储存在那儿，那么能够使用组策略对象〝Default Domain Controllers Policy〞将域操纵器与其他运算机分开治理。

组策略包括阻碍用户的〝用户配置〞策略设置和阻碍运算机的〝运算机配置〞策略设置。

使用组策略可执行以下任务：●通过〝治理模板〞治理基于注册表的策略。

组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的〝User〞或〝Local Machine〞部分。

登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的HKEY_CURRENT_USER (HKCU) 下，而运算机特定设置写在HKEY_LOCAL_MACHINE (HKLM) 下。

一、Windows Server2003的安装1、安装系统最少两需要个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS 组件(禁用不需要的如FTP 和SMTP 服务)。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。

WEB+FTP+Email 服务器安全配置手册目录第一章：硬件环境第二章：软件环境第三章：系统端口安全配置第四章：系统帐户及安全策略配置第五章：IIS 和WEB 站点文件夹权限配置第六章：FTP 服务器安全权限配置第七章：E m a il服务器安全权限配置第八章：远程管理软件配置第九章：其它安全配置建议第十章：篇后语一、硬件环境服务器采用1U 规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。

二、软件环境操作系统：Windows Server 2003 Enterprise Edition sp1WEB 系统：Win 操作系统自带IIS6，支持.N ET邮件系统：MDaemon 8.02 英文版FTP 服务器系统：Serv-U 6.0.2 汉化版防火墙: BlackICE Server Protection，中文名：黑冰杀毒软件：NOD32 2.5远程管理控件：Symantec pcAnywhere11.5+Win 系统自带的MSTSC数据库：MSSQL2000 企业版相关支持组件：JMail 4.4 专业版，带POP3 接口；ASPJPEG 图片组件相关软件：X-SCAN 安全检测扫描软件；ACCESS；EditPlus[相关说明]*考虑服务器数据安全，把160G*2 硬盘做成了阵列，实际可用容易也就只有一百多G 了。

*硬盘分区均为NTFS 分区；NTFS 比FAT 分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。

操作系统安装完后，第一时间安装NOD32 杀毒软件，装完后在线更新病毒库，接着在线Update 操作系统安全补丁。

*安装完系统更新后，运行X-SCAN 进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。

*出于安全考虑把MSTSC 远程桌面的默认端口进行更改。

当前域环境：在单域中有一些用户、组、计算机帐户，还有三个组织单位（OU），其中财务部还有一个子组织单位“资产管理”，每一个组织单位都有一个委派管理员，左侧有一些要实现的组策略对象（GPO）,本例中域控制器名：jame，域中另一台计算机名：Glasgow。

下面各例用于学习GPO对象的创建、链接、它的冲突解决，继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。

（以下各例都在组策略管理工具中完成，在上一课已经安装了GPMC.MSI这个组策略管理工具）一、强制实现域中所有用户使用统一桌面背景。

1. 实现这一策略如下图：先建立一个统一桌面背景的GPO，把它链接到域，并设置这个GPO 为强制。

2. 准备一张图片，放在一个只读共享文件夹中，并确认在网上邻居中可定位它的UNC路径。

图片的UNC路径是：\\Jame\公用共享\背景.jpg。

3. 打开：开始→管理工具→组策略管理，再展开林→域→Nwtraders.msft→组策略对象，在右侧“内容”中右击，选“新建”。

4. 取一个组策略名5. 对新建的GPO右击选“编辑”，进入组策略对象的编辑。

6. 展开用户配置→管理模板→桌面→Active Desktop，首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。

在右侧窗口，双击“Active Desktop墙纸”并如下设置。

（不要使用图片的本地路径，这样会使网络中其他计算机不能访问，而要使用UNC路径）7. 把“统一背景”这个GPO链接到域：对域右击，选“链接现有GPO”。

对统一背景GPO右击，设置“强制”，使此GPO的组策略继承是强制继承，不能被阻止继承。

8. 用域用户Kaka登陆域测试一下，背景已经有图片，表示部署成功。

二、除了域管理员和委派管理员外所有域用户禁用控制面板。

1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。

对“禁用控制面板”GPO进行编辑。

window2003实验手册—组策略教学时刻第五周2020-3-18教学课时3教案序号12-14教学目标1、把握如何建立和治理OU2、学会在win2003中应用组策略教学过程：一、OU〔组织单元〕的治理1、OU的概念域是最小的治理单位，在活动名目中，域一样对应公司，而OU那么对应于公司中的部门。

OU是活动名目中的容器，能够在OU中建立用户、组等其他对象，也能够在OU中建立OU。

2、建立OU及子对象〔1〕注意图标。

〔2〕建立步骤：在需要创建的空白处右击，选择〝新建〞——〝组织单元〞，在对话框内输入OU名称即可。

〔3〕在OU中能够放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的治理1、在test 下中新建〝教师〞和〝学生〞两个OU，再在〝教师〞OU下新建〝一般教师〞OU。

2、〝教师〞OU中包括t1，t2账户，〝学生〞OU中包括s1，s2账户，〝一般教师〞OU中包括c1，c2账户。

二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或运算机集合上强制使用一些配置的方法，使用组策略能够给同组的运算机或者用户强加一套统一的标准，包括治理模板设置、Windows设置、软件设置。

〔2〕组策略配置包含在一个组策略对象〔GPO〕中，该对象又与选定的活动名目服务容器〔如站点、域、组织单元OU等〕相关联，可不能阻碍没有加入域的运算机和用户。

〔3〕组策略配置类型有：运算机配置和用户配置。

〔4〕组策略分为：本地安全策略和活动名目的组策略。

本地安全策略适用于本地用户和组，我们所讲的是活动名目的组策略，活动名目安装好以后就自动建立了两个组策略〔域操纵器安全策略和域安全策略〕。

2、组策略的应用顺序〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过Active Directory用户和运算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。

组策略之软件限制策略——完全教程与规则示例（规则已发布）翻了一下HIPS区之前已有的组策略教程，发现存在几个问题：1.对于路径规则的优先级、通配符问题没有说清，甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别，不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限，甚至不能防网马所以，就有了此文在总结前人经验的基础上，重新解释组策略的软件限制策略第一课，理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

组策略.jpg (32.37 KB)2008-3-2 03:53一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘）%USERPROFILE% 表示 C:\Documents and Settings\当前用户名%HOMEPATH% 表示 C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:\WINDOWS%WINDIR% 表示 C:\WINDOWS%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示 C:\Program Files%CommonProgramFiles% 表示 C:\Program Files\CommonFiles关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个字符几个例子*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。