wnow实验手册 组策略
windows实训报告4--active+directory域用户和组管理
Active Directory域用户和组管理
一、实训要求
1、创建域用户账户;
勾勾去掉
右键该用户-属性
右键该用户出来选项
禁用用户,就是不使用该用户,冻结它
重新设置密码
此勾勾要是勾上则下次登录强制修改密码
移动用户至其它OU
删除用户
重命名
4、用户配置文件(默认,本地,漫游,强制,临时);默认为本地
漫游
在服务器上C盘根目录建立共享文件夹
删除其它权限添加张三,并给张三所有权限
添加NTFS权限
添加用户主文件夹并配置路径
登录客户机XP1
强制
将此文件后缀名改为man就可以了
临时
取消共享主文件夹
客户机登录管理员账户
删除此文件夹
注销客户机登录张三
5、用户主目录;
6、组的创建;
7、组的规划:
新建用户李四
将张三加入销售部
设置销售部文件夹权限为只允许销售部的组访问
由于张三加入了销售组,所以打开了
而李四没有加入销售组,所以无法访问
1)AGDLP原则;
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
2)AGGDLP原则;
3) AGUDLP原则;
4) AGGUDLP原则;
三、总结。
组策略完全使用手册【可编辑范本】
组策略完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1。
什么是组策略ﻫ注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
这是以前“系统策略编辑器"工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
《Windows原理》实验指导书
《Windows原理与应用》实验指导书武汉大学计算机学院2013年3月实验一、Windows2000Server的安装与配置一、实验目的:要求学生掌握Windows2000Server的安装与配置方法。
二、实验要求:1、学习Windows2000Server的安装环境。
2、学习Windows2000Server的安装过程,包括安装环境准备、安装方式、硬件配置以及网络参数的设置。
3、学习使用Windows2000安装程序对硬盘进行FAT32或NTFS分区。
4、学习在Windows2000模式下安装网络协议,配置TCP/IP协议参数。
三、实验内容1、参照理论课第二章所述方式,安装Windows2000Server服务器。
2、启动网络系统安装程序。
3、为服务器、工作组或者域模式取名字。
4、装入磁盘硬盘系统的驱动程序。
5、给网络系统分配硬盘分区,Windows2000Server要求建立FAT32或NTFS分区。
(至少建一个NTFS分区。
)6、安装网络系统软件。
7、安装网卡驱动程序和配置网卡参数。
8、安装和绑定网络协议。
9、安装和配置网络服务。
10、做此实验前,请准备好相关软件,参考这些软件的技术手册,写好实验方案。
11、实验过程中,注意记录实验步骤。
12、写出实验报告。
实验二、Windows2000Server服务器DNS的安装与配置一、实验目的:要求学生学会用Windows2000Server建立DNS服务器。
二、实验要求:1、了解DNS服务组件的构成。
2、了解如何使用工具软件测试DNS服务。
3、掌握DNS服务配置文件的存储位置和内容。
4、掌握DNS服务器配置中的主要参数及其作用。
5、掌握DNS服务器的安装、配置和管理过程。
三、实验内容1、Windows2000Server服务器DNS服务的安装、配置和管理。
在Windows2000Server服务器上安装DNS服务器组件,如设置Windows2000Server服务器的完整计算机名为,指定静态IP地址为192.168.0.xx,子网掩码为255.255.255.0。
windows服务器AD域控安装与组策略设置攻略
安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。
2、实验环境多台装有Windows 2000 Server的计算机。
3、相关理论活动目录是一种目录服务,它存储有关网络对象的信息,例如,用户、组和计算机账户、共享资源和打印机等,并使管理员和用户可以方便地查找和使用网络信息。
活动目录的应用起源于Windows NT 4.0,在Windows 2000 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点:(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容(1)在安装Active Directory前首先确定DNS服务正常工作,下面来安装在根域为的第一台域控制器。
(2)运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。
5、实验步骤安装活动目录的具体操作步骤如下:(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令,打开“Windows 2000配置服务器”对话框,如下图所示。
注释:安装完Windows 2000 Server后,每次启动计算机,系统都会自动打开“Windows 2000配置服务器”对话框。
(2) 在左边的列表中单击Active Directory(活动目录)选项,并将右边的滚动条拖动到底部,使对话框如下图所示。
(3) 单击“开始Active Directory向导”选项,打开“欢迎使用Active Directory 安装向导”对话框。
该对话框显示了Active Directory安装向导的简单欢迎信息。
组策略应用
实验8 组策略应用一、实验目的:1、学会使用本地组策略对象。
2、在域上实现组策略对象。
3、管理组策略的部署。
4、熟练向客户端指派与发布软件。
二、实验环境两台windows server 2003计算机。
三、实验步骤:1.实现组策略对象A.首先创建组织单位(在域节点下创建名为“第六组”的组织单位并在其下创建名为“sales”marketing 的组织单位。
在“sales”下创建“company”组 .“wangwj”“yanlr”和“caozy”是“company”组的成员,在“marketing”下创建“group”组,“wangl”、“wangmj”和“dinghl”是“group”组的成员。
)2.在域中实现组策略对象A、打开“MMC”。
B、添加“组策略管理”管理单元,保存“MMC”。
C、在“组策略管理”的控制台树中,展开准备在其中创建组策略对象的域所在的林,再展开“域”,然后展开该域。
D、右击“组策略对象”,然后单击“新建”。
E、在“新建GPO”对话框中输入新组策略对象名称,然后单击“确定”。
如需创建组策略对象并使之链接到域,右键单击该域,然后单击“创建并链接GPO”。
如需创建组策略对象并使之链接到组织单位,展开包含组织单位的域,右键单击该组织单位,然后单击“创建并链接GPO”(如“managers”连接到“marketing”,“personnel”连接到“sales”)3.组策略部署管理A、在“组策略管理”控制台树中,定位到“组策略对象”。
右键单击一个组策略对象,然后单击“编辑”。
B 、在“组织策略对象编辑器”中,定位到需要编辑的组策略设置,然后双击该设置。
C、在“属性”对话框中,配置组策略设置,然后单击“确定”。
(如“managers”右键单击,指向“编辑”,展开其中的“用户配置”中的“管理模板”,点击“控制面扳”,在右侧的细节框里双击“禁止控制面扳”。
在随后出现的属性框中选中“已启用”。
《Windows网络系统管理综合实训》学生学习手册
计算机网络技术专业综合实训Windows网络系统管理综合实训—基于Windows系统的中型企业网络组建与管理学生学习手册班级学号姓名组别指导教师南京工业职业技术学院计算机与软件学院2012年9月课程简介《Windows网络系统管理综合实训》是计算机网络技术专业技术平台上的一门重要的综合性项目课程。
通过本课程的学习,培养学生深入认识和使用计算机网络,并利用计算机网络知识处理和解决实际问题的能力。
培养学生协作学习、团队协助精神的素质。
培养学生使用Windows Server网络操作系统组建企业部门级工作组网络和企业中型网络,使用TCP/IP协议进行计算机通信,使用Windows Server网络操作系统管理局域网、提供Internet服务。
通过本综合性项目课程的学习,让学生学习并培养自己完成一个本职业技术领域基于Windows Server网络操作系统的典型工作任务的完整工作过程所需要的方法能力与社会能力,养成良好自觉的职业习惯与素养。
一、项目任务名称基于Windows系统的中型企业网络组建与管理综合实训1.项目内容综合应用Windows Server 网络操作系统所提供的网络管理、网络服务功能,组建基于Windows系统的局域网,可以实现域网络管理、网络共享管理、网络IP地址管理、提供Internet服务、DNS管理、磁盘管理、数据备份、本地数据安全性管理,通过使用Windows系统所提供的网络管理功能,管理一个中型网络。
2.实训周期三周二、综合实训的目的“基于Windows系统的中型企业网络组建与管理”项目是网络技术专业学生完成第二学期《Windows网络操作系统》技术平台课程学习之后利用三周时间开展的一项综合实训项目。
通过本综合实训,培养学生系统、完整、具体地解决实际问题的职业综合能力,具备收集信息、制定计划、实施计划和自我评价的能力,锻炼团队工作的能力,学生经历综合实训完整的工作过程,掌握实际的Windows系统网络项目的“建网、管网”核心能力和关键能力。
wnowserver服务器建立域控详细过程
?Active Directory概述:?????????????使用Active?Directory(R) 域服务(AD?DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如Microsoft(R) Exchange?Server)的支持。
????AD?DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。
运行AD?DS 的服务器称为域控制器。
管理员可以使用AD?DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。
内嵌层次结构包括Active?Directory 林、林中的域以及每个域中的组织单位(OU)。
1、使用本地管理员登录。
2、修改计算机名为“DC”3、更改计算机名后,需要重新启动服务器。
4、设置服务器固定IP。
5、通过服务器管理器中添加角色,进行域服务角色安装。
(注windows server 2012中已不能使用dcpromo进入域安装向导)6、默认选择“下一步”。
7、选择“基于角色或基于功能的安装”。
下一步。
8、选择本地服务器“DC”。
下一步。
9、选择“Active Directory域服务。
10、默认选项。
下一步。
11、默认选项。
下一步。
12、选择“如果需要,自动重新启动目标服务器”。
按“安装”。
(备注:指定备用源路径,指向windows server 2012安装盘)13、安装完成。
按“关闭”。
14、选择服务器任务详细信息,选择“部署后配置”按:将此服务器提升为域控制器。
15、选择“添加新林”,填写根域名: 。
16、选择林和域功能级别是windows server 2003,提供域控制器功能,选择“域名系统(DNS)服务器。
默认是选“全局编录”。
并设置活动目录还原密码。
17、默认选择下一步。
18、默认显示NetBIOS是MCITP。
19、默认选择下一步。
View实验手册祥解
View实验教程目录实验一活动目录安装(AD)实验二部署连接服务器(CS)实验三配置view administrator实验四准备桌面实验五发布桌面并测试桌面注意:标黄的区域,表示该部分信息需要参考不同的实验组。
请参考“实验配置手册”实验一活动目录安装(AD)活动目录打开电源,打开控制台配置ad的IP地址。
从实验配置手册手册中查看IP地址。
DNS1设置为实验环境中的AD的IP地址。
打开“服务器管理器”,添加角色选择“Active Directory域服务”添加.Net Framework3.5.1安装打开dcpromo.exe安装引导选择“在新林中新建域”输入域名称。
域名称在实验配置手册查看。
安装AD的过程中,同时安装DNS服务器。
输入目录还原模式的administrator密码:1qaz!QAZ成功安装AD,重启系统选择AD域控制器,在域控制器下,新建组织单元,该组织单元用于存放view相关信息OU命名为ViewGroup在ViewGroup OU下,新建两个OU:View Users 、View VM在View Users OU 下新建一个用户用户的名称请查看实验配置手册。
输入密码:统一设置为1qaz!QAZ;勾上“密码永不过期”,下一步,完成。
至此,AD的部署和配置完毕。
在下面的实验,连接服务器和win7虚拟桌面需要入域。
实验二部署连接服务器(CS)连接服务器需要安装在windows操作系统。
实验中准备了windows Server 2008R2.打开CS电源,打开控制台配置IP地址。
查看实验配置手册获取不同组别的IP地址。
DNS设置为本组实验的AD的IP 地址。
IP地址配好了之后,将cs添加入前面部署好的AD域。
不同的实验组不同的域,请查看实验配置手册。
例如,Lab01组的ad信息为:域名:域管理员账户:administrator密码:1qaz!QAZ配置之后需要重启CS服务器。
重启之后,使用域管理员账户登录书写形式如上图:ViewLab01\administrator- 为Lab01的域管理员账户。
组策略
16/16
PDF created with pdfFactory Pro trial version
Appmgmts.dll Scecli.dll Ledkcs32.dll
软件安装 安全性和加密文件系统覆盖设置 IE 界面设置
A.阻止继承(Block Inheritance) 设置域的组策略,然后设置 OU(MIS)阻止对域的组策略的继承,在 OU(MIS)上 操作如图所示
B. 禁止替代(NO Override)
8/16
PDF created with pdfFactory Pro trial version
D. 属性:在“组策略对象链接”列表中选中一个组策略对象,然后单击“属性” 常规:主要二部分组成,分别是“摘要”和“禁用” 摘要区域中提供了与这条组策略相关的信息。 禁用区域中可以根据需要禁用这条组策略中计算机配置或用户配置,例如,如果吸想 让该组策略的计算机部分生效,就可以选中“禁用用户配置设置”复选框。
3/16
PDF created with pdfFactory Pro trial version
B. 用户配置: 有三部分组成:软件设置、Windows 设置、管理模板。展开如图所示
4/16
PDF created with pdfFactory Pro trial version
11/16
应用对象 计算机和用户
任务栏和开始菜单
用户
桌面
用户
PDF created with pdfFactory Pro trial version
控制面板
控制面板的一些应用程序,包括限制对添加/删除程 序、显示和打印机的使用。 可以设置是否允许用户在活动目录中发布共享文件 夹及 DFS 根目录 网络连接和拨号的属性,包括共用网络访问 登录、退出进程。利用系统设置可以管理组策略、更 新区间、启用磁盘配额和实现环回处理等 可以设置是否自动在活动目录发布打印机及允许接 收基于 Web 方式的打印等功能
Windows操作系统实训任务书指导书
《网络操作系统》实训任务书指导书适用专业:指导教师:实训时间:四川建筑职业技术学院_______系年月日《Windows操作系统》实训任务书一、课程的地位、作用和目的网络操作系统是计算机网络专业的学生必须掌握的一门课程。
它在计算机网络中起着核心和纽带的重要作用。
通过本次网络操作系统实习周实习,学生能够将课堂中学习到的知识在实验中得到验证、加深对相关知识点的理解。
二、实训内容实验一 Windows Server 2003的安装实验二 TCP/IP协议常用网络工具的的使用实验三对等网络配置及网络资源共享实验四安装与配置Active Directory实验五安装与设置DNS服务器实验六安装与设置DHCP服务器实验七网络Web服务器的建立、管理和使用实验八网络FTP服务器建立、管理和使用三、实训组织及要求硬件要求:装有windows server 2003操作系统的计算机;交换机或路由器等网络设备。
组织方式:本实训安排在网络实验室进行,将学生分成若干小组,每组4-5位同学,以小组为单位开展实训。
每组分配计算机3-4台,并利用实验室中现有的网络设备,由各小组自行完成系统的安装及角色服务器的安装,并完成相应的配置和管理。
纪律要求:学生必须按时到达实验室;不得做与实验无关的事情;除与实验有关的内容外,不得讨论其它话题;教师每天必须安排时间指导学生实训。
能力要求:学生能够熟练的对Windows server 2003系统进行管理与操作,学会对DNS 服务器、DHCP服务器、ftp服务器,web服务器等的架设与管理。
五、实训考核办法1、考核组织由任课教师和实训指导教师组成。
2、考核内容及评分办法1).实训结束学生应上交一份实训报告,要求有比较详细操作步骤,体会与心得。
2).评分方法:依据实训报告,重点在总结体会和心得;结合学生在实训中能力的表现综合评定。
3、考核要求首先要完成实训下达各项任务。
完成的实训报告重点写通过实训得到的体会和心得。
win组策略
《win组策略》xx年xx月xx日•win组策略概述•win组策略的基本要素•win组策略的配置过程目录•win组策略的疑难解答•win组策略的案例分析01 win组策略概述Win组策略是Windows操作系统中用于配置和管理网络和计算机系统的一组预定义设置和规则。
定义Win组策略是一种基于组的管理方法,通过将计算机和用户设置分组,对每个组应用相同的配置和策略,实现对整个网络中计算机的批量管理和控制。
概念定义与概念1win组策略的重要性23Win组策略允许管理员在中央位置管理和配置多个计算机和用户,减少了单独配置每个计算机和用户所需的时间和努力。
集中管理通过Win组策略,管理员可以设置安全性配置,如密码策略、账户策略、审核策略等,增强整个网络的安全性。
安全性Win组策略允许管理员定义标准化的桌面和应用程序配置,确保整个网络中计算机的外观和功能一致。
标准化历史Win组策略最早出现在Windows 2000操作系统中,并在后续的Windows版本中得到不断发展和完善。
发展随着Windows操作系统的更新换代,Win组策略的功能和适用范围也不断扩展,现在已经成为Windows Server和客户端操作系统不可或缺的一部分。
win组策略的历史与发展02win组策略的基本要素计算机策略01定义计算机的配置参数,如密码复杂性、密码过期时间等。
当用户尝试登录计算机时,系统将根据这些策略验证密码是否符合要求。
02可以设置计算机的桌面背景、屏幕保护程序、颜色和分辨率等属性。
通过组策略可以方便地修改这些属性,并使多台计算机的属性保持一致。
03可以限制用户对计算机的某些功能的使用,如禁用控制面板、禁止使用驱动器、禁止使用注册表编辑器等。
用户策略可以设置用户的桌面、开始菜单、任务栏等属性。
通过组策略可以方便地修改这些属性,并使多个用户共享相同的设置。
可以限制用户的行为,如禁止用户运行某些程序、禁止用户修改系统设置等。
定义用户的权限和行为规范,如用户账户的密码、用户权限等。
(完整word版)组策略教程汇总,推荐文档
一、访问组策略1.输入gpedit.msc命令访问:选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。
但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。
其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
图一:下面我们就进入“用户配置”,去细细探测它的奥秘:1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看);2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧!《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。
其二是“帐号锁定策略”,它可以设置帐号无效登录系统的次数和帐户被锁定时间。
其三是“IP安全策略”,其功能是计算机的客户端和服务端的IP的安全管理,其效果倒是很难体验到哈。
window2003实验手册—组策略
window2003实验手册—组策略教学时刻第五周2020-3-18教学课时3教案序号12-14教学目标1、把握如何建立和治理OU2、学会在win2003中应用组策略教学过程:一、OU〔组织单元〕的治理1、OU的概念域是最小的治理单位,在活动名目中,域一样对应公司,而OU那么对应于公司中的部门。
OU是活动名目中的容器,能够在OU中建立用户、组等其他对象,也能够在OU中建立OU。
2、建立OU及子对象〔1〕注意图标。
〔2〕建立步骤:在需要创建的空白处右击,选择〝新建〞——〝组织单元〞,在对话框内输入OU名称即可。
〔3〕在OU中能够放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的治理1、在test 下中新建〝教师〞和〝学生〞两个OU,再在〝教师〞OU下新建〝一般教师〞OU。
2、〝教师〞OU中包括t1,t2账户,〝学生〞OU中包括s1,s2账户,〝一般教师〞OU中包括c1,c2账户。
二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或运算机集合上强制使用一些配置的方法,使用组策略能够给同组的运算机或者用户强加一套统一的标准,包括治理模板设置、Windows设置、软件设置。
〔2〕组策略配置包含在一个组策略对象〔GPO〕中,该对象又与选定的活动名目服务容器〔如站点、域、组织单元OU等〕相关联,可不能阻碍没有加入域的运算机和用户。
〔3〕组策略配置类型有:运算机配置和用户配置。
〔4〕组策略分为:本地安全策略和活动名目的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动名目的组策略,活动名目安装好以后就自动建立了两个组策略〔域操纵器安全策略和域安全策略〕。
2、组策略的应用顺序〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过Active Directory用户和运算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
第章WnowServer组策略应用
第18章 Windows Server 2003中组策略应用作为一个网络管理员,我们希望有一种方便的、灵活的方法可以控制整个公司的员工的用户桌面环境,可以给用户安装他们所需要的软件而不用您亲自一台一台地去安装。
在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。
尤其是在域模式的情况下,应用组策略可以提供更加方便灵活的功能。
创建和配置组策略组策略简介组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件,例如,用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。
要为特定用户组创建特殊的桌面配置,请使用组策略对象编辑器。
您指定的组策略设置包含在组策略对象中,而组策略对象又与选定的 Active Directory 对象(即站点、域或组织单位)相关联。
组策略不仅应用于用户和客户端计算机,还应用于成员服务器、域控制器以及管理范围内的任何其他Microsoft Windows 2003 计算机。
默认情况下,应用于域的组策略会影响域中的所有计算机和用户。
“Active Directory 用户和计算机”还提供内置的“Domain Controllers”组织单位。
如果将域控制器帐户保存在那里,则可以使用组策略对象“Default Domain Controllers Policy”将域控制器与其他计算机分开管理。
组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。
使用组策略可执行以下任务:通过“管理模板”管理基于注册表的策略。
组策略创建了一个包含注册表设置的文件,这些注册表设置写入注册表数据库的“User”或“Local Machine”部分。
登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下,而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。
指派脚本。
组策略
实验九组策略的设置实验环境:Windows xp实验目的:理解组策略的设置实验步骤:(一)、什么是组策略,组策略有什么用?说到组策略,就不得不提注册表。
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。
很多配置都是可以自定义设置的,但这些配置分布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。
当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)、运行组策略Windows 2000/XP/2003组策略控制台,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc 并确定,即可运行程序。
使用上面的方法,打开的组策略对象就是当前的计算机。
Windows 2000/XP/2003组策略管理控制台有三种状态,它们分别是:已启用、未配置、已禁用,可以根据下列具体要求进行设置。
一、“桌面”设置Windows的桌面需要经常进行整理和清洁,这些工作可以由组策略帮助我们实现。
位置:“组策略控制台→用户配置→管理模板→桌面”1.隐藏桌面的系统图标(Windows 2000/XP/2003)虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。
而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上…网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的…我的文档‟图标”和“删除桌面上的…我的电脑‟图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
实验一-Windows操作系统进行安全配置
实验一-Windows操作系统进行安全配置
实验一
Windows操作系统进行安全配置
一,实验目的
理解操作系统安全对电子商务系统安全的重要性
熟悉操作系统的安全机制,以及Windows的安全策略
掌握对Windows操作系统进行安全配置的基本方法和步骤
二,实验环境
实验设备:PC机及其局域网,具备Internet连接
软件环境:Windows XP
三,实验内容
内容1:账户和密码的安全设置
1.删除不再使用的账户
(1)检查和删除不再使用的账户
“开始” →“控制面板"→“管理工具” →“计算机管理” →“本地用户和组” →“用户” →“删除其中不再使用的账户”
(2)禁用Guest账户
在1.基础上→选“Guest 账户” →“属性” →“Guest属性” →“账户已停用”
2.启用账户策略
(1)密码策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“密码策略”→设置如下:
设:“密码必须符合复杂性要示”启用
设:“密码长度最小值” 8位
设:“密码最长存留期” 30天
设:“密码最短存留期” 5天
设:“强制密码历史” 3个记住的密码
(2)账户锁定策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“账户锁定策略”→设置如下:“账记锁定阈值”可抵御“对用户密码的暴力猜测”:设为“3”
“复位账户锁定计数器”被锁定的账户多长时间可被复位“0”:“3分”
“账户锁定时间” 被锁定后的账户,多长时间才能重新使用:“10分”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
1、创建组策略步骤:右击-属性-“组策略”选项卡-“新建”按钮2、设置组策略步骤:右击-属性-“组策略”选项卡-“编辑”按钮3、用组策略管理用户工作环境实验二:4、用组策略发布软件在网络中可以利用组策略为客户端自动安装一种应用软件。
满足两个条件:(1)安装软件的安装文件必须是扩展名为MSI或ZAP的安装程序包。
(2)安装的软件必须存储在网络用户能访问到的地方(比如某个共享文件夹)。
软件分发的过程:(1)创建一个软件分发点,即共享文件夹,把被安装的软件复制到该共享文件夹(2)使用组策略对象分发软件:用户配置-软件设置-右击“软件安装”-新建-软件包-选择网上邻居中共享文件夹内的MSI软件。
实验三:为学生OU的所有用户安装任意一个软件,注意网络路径的选择。
(\\win2003\……)四、组策略设置实例◆运行组策略Windows 2000/XP/2003组策略控制台,在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行程序。
使用上面的方法,打开的组策略对象就是当前的计算机。
◆“桌面”设置Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。
下面就让我们来看看几个实用的配置实例:位置:“组策略控制台→用户配置→管理模板→桌面”1、隐藏桌面的系统图标(Windows 2000/XP/2003)虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。
而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
2、退出时不保存桌面设置(Windows 2000/XP/2003)此策略可以防止用户保存对桌面的某些更改。
如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3、屏蔽“清理桌面向导”功能(Windows XP/2003)“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。
如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4、启用/禁用“活动桌面”(Windows 2000/XP/2003)“活动桌面”是Windows 98(及以后版本)或安装了IE 的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。
但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。
具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,则“禁用Active Desktop”设置会被忽略。
如果“禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
◆个性化“任务栏”和“开始”菜单显示了“任务栏”和“开始”菜单的有关组策略配置项目。
下面我们来看具体的实例:位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单”1、给“开始”菜单减肥(Windows 2000/XP/2003)如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。
在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。
你只要将不需要的菜单项所对应的策略启用即可。
2、保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
3、禁止“注销”和“关机”(Windows 2000/XP/2003)当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项。
另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
提示:如果启用了“删除开始菜单上的‘注销’”,则会从“开始菜单选项”删除“显示注销”项目。
用户无法将“注销<用户名>”项目还原到开始菜单(只能通过手工修改注册表的方法)。
这个设置只影响开始菜单,它不影响“Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问‘关机’命令”),而且不妨碍用户用其它方法注销。
4、利用组策略保护个人文档隐私(Windows 2000/XP/2003)Windows有个高级智能功能,即可以记录你曾经访问过的文件。
虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。
利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。
如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
◆IE设置手到擒来微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。
在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。
下面来看具体实例:位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加模板文件)”1、禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003)出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。
下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。
启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。
该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器。
提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。
2、限制IE浏览器的保存功能(Windows 2000/XP/2003)在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。
那么如何才能实现呢?可以这样操作:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。
如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。