(2)组策略的配置及使用

一、实验名称

组策略的配置及使用

二、实验类型

验证性实验

三、实验目的

通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。

四、实验内容

（1）通过控制台访问组策略

（2）对用户设置密码策略

（3）对用户设置登录策略

（4）退出系统时清除最近打开的文件的历史

五、相关知识

1、组策略对象的类型

组策略对象有两种类型：本地和非本地。

本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。

非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。

2、组策略模板

组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。

3、组策略设置的类型

通过编辑组策略对象可以对组策略设置进行配置，可以进行配置的组策略类型有：

◆管理模板。用于配置应用程序以及用户桌面环境的基于注册表的设置。

◆安全设置。用于配置本地计算机、域和网络安全性的设置。

◆软件安装。用于将管理软件的安装、更新或删除操作集中起来的设置。

◆脚本。指定了系统在何时运行特定的脚本。

◆远程安装服务。指当通过“远程安装服务（RIS）”运行“客户安装向导”时，用

于控制用户可用选项的设置。

◆Internet Explorer维护。指用于管理和自定义Microsoft Internet Explorer的

设置。

◆文件夹重定向。用于将特定的用户配置文件夹存储到网络服务器上的设置。

4、计算机和用户的组策略设置

存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。

通常可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。

（1）计算机配置

计算机配置的组策略设置包括操作系统行为、桌面行为、安全设置、计算机启动和关机脚本、计算机分配的应用程序选项和应用程序设置。在操作系统初始化和整个系统刷新间隔期间，系统将会应用与计算机有关的组策略设置。

（2）用户配置

用户的组策略设置包括特定的操作系统行为、桌面设置、安全设置、分配和发布的应用程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。在用户登录计算机以及整个策略刷新间隔期间，系统将会应用与用户相关的组策略设置。

一般来说，当计算机组策略设置和用户组策略发生冲突时，系统将优先应用计算机组策略设置。

六、实验环境

联网的多台计算机，操作系统为Windows XP，要求分组操作完成。

七、参考步骤

（1）通过控制台访问组策略

①单击“开始”→“运行”，输入“mmc”，回车后进入控制台窗口。

②单击控制台窗口的“文件”→“添加/删除管理单元”，在弹出窗口单击“添加”，之后选

择“组策略对象编辑器”并单击“添加”，在下一步的“选择组策略对象”对话框中选择对象。

③由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算

机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’的焦点”复选框如图所示。

最后添加进来的组策略如图所示。

①在“组策略编辑器”窗口中，依次展开“计算机配置”－“Windows设置”－“安全

设置”－“账户策略”－“密码策略”，如图所示。

②打开“密码策略”，双击“密码必须符合复杂性要求”，弹出如图所示的界面。

③在“密码必须符合复杂性要求属性”对话框中选择“定义这个策略设置”，然后选择“已启用”，再单击“确定”按钮。

④此时更改或设置用户密码，将弹出一个对话框，提示不能完成用户的密码更改，说明

该策略已起作用，如图所示。

（3）对用户设置登录策略

①在“组策略编辑器”窗口中，依次展开“计算机配置”－“Windows设置”－“安全

设置”－“本地策略”－“用户权利指派”，如图所示。

②在“用户权限分配”中双击“在本地登录”，弹出如图所示的对话框。

③在“允许在本地登录”对话框中，确保用户b1不在“允许本地登录”中，然后注销当前用户。

④当出现登录界面时，以用户b1身份来登录，输入用户名和密码后，单击“确定”按