window实验手册组策略规划
实验一-Windows操作系统进行安全配置
实验一-Windows操作系统进行安全配置
实验一
Windows操作系统进行安全配置
一,实验目的
理解操作系统安全对电子商务系统安全的重要性
熟悉操作系统的安全机制,以及Windows的安全策略
掌握对Windows操作系统进行安全配置的基本方法和步骤
二,实验环境
实验设备:PC机及其局域网,具备Internet连接
软件环境:Windows XP
三,实验内容
内容1:账户和密码的安全设置
1.删除不再使用的账户
(1)检查和删除不再使用的账户
“开始” →“控制面板"→“管理工具” →“计算机管理” →“本地用户和组” →“用户” →“删除其中不再使用的账户”
(2)禁用Guest账户
在1.基础上→选“Guest 账户” →“属性” →“Guest属性” →“账户已停用”
2.启用账户策略
(1)密码策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“密码策略”→设置如下:
设:“密码必须符合复杂性要示”启用
设:“密码长度最小值” 8位
设:“密码最长存留期” 30天
设:“密码最短存留期” 5天
设:“强制密码历史” 3个记住的密码
(2)账户锁定策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“账户锁定策略”→设置如下:“账记锁定阈值”可抵御“对用户密码的暴力猜测”:设为“3”
“复位账户锁定计数器”被锁定的账户多长时间可被复位“0”:“3分”
“账户锁定时间” 被锁定后的账户,多长时间才能重新使用:“10分”。
组策略完全使用手册
组策略完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现;其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能;一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂;而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的;其实简单地说,组策略设置就是在修改注册表中的配置;当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大;2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中;早期系统策略的运行机制是通过策略管理模板,定义特定的POL通常是文件;当用户登录时,它会重写注册表中的设置值;当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置;而组策略及其工具,则是对当前注册表进行直接修改;显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory活动目录对象即站点、域或组织单位并对其进行设置;这是以前“系统策略编辑器”工具无法做到的;当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已;3.在WindowsXP中运行组策略在Windows2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“”并确定,即可运行组策略;如图1所示;使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开:1打开Microsoft管理控制台可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定;2单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮;3在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮;4在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象;5单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象;6在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理;4.组策略中的管理模板在Windows2000/XP/2003中包含几个ADM文件;这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息;在Windows2000/XP/2003中,默认的管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为:1:默认安装在“组策略”中,用于系统设置;2:默认安装在“组策略”中,用于InternetExplorerIE策略设置;3:用于Windows MediaPlayer设置;4:用于NetMeeting设置;在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM 文件;单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行;返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了;注意:下面的操作均在WindowsXP中进行;二、个性化我的电脑1.删除“开始”菜单中的“文档”菜单项在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息;因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过修改组策略来实现;位置:\用户配置\管理模板\任务栏和“开始”菜单\启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们;如果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中;如图2所示;注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式;另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录;位置:\用户配置\管理模板\任务栏和“开始”菜单\如果禁用该策略设置,系统就会在用户退出时删除快捷方式;因此,用户登录时,“开始”菜单上的文档菜单总是空的;如果禁用或不配置此设置,系统将保留文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同;注意:系统在\DocumentsandSettings\\Recent文件夹中的用户配置文件中保存文档快捷方式;2.删除“开始”菜单中的“运行”菜单项在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序;我们可以将“运行”菜单项从“开始”菜单中删除;位置:\用户配置\管理模板\任务栏和“开始”菜单\如果启用该设置,发生如下更改:1“运行”命令从“开始”菜单中删除;2新建任务运行命令从任务管理器删除;3阻止用户在IE地址栏中输入下列项:UNC路径:\\<server>\<share>;访问本地驱动器:例如,C:;访问本地文件夹:例如,\temp>;同时,使用WIN+R组合键将无法显示“运行”对话框;如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏;注意:这个策略只影响指定的界面;不会防止用户使用其他方法运行程序;3.给“开始”菜单减肥如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除;位置:\用户配置\管理模板\任务栏和“开始”菜单\在组策略右侧窗格中,提供“从‘开始’菜单删除用户文件夹”、“删除到‘WindowsUpdate’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目;你只要将不需要的菜单项所对应的策略启用即可;4.隐藏和禁用桌面上的所有项目该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目;位置:\用户配置\管理模板\桌面\该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目; 5.退出时不保存用户设置该策略用于防止用户保存对桌面的某些更改;位置:\用户配置\管理模板\桌面\如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存;6.启用/禁用“活动桌面”ActiveDesktop活动桌面是Windows 98及以后版本或安装了IE的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示;但出于对安全和性能的考虑,有时候我们需要禁用这一功能并且防止用户启用它;位置:\用户配置\管理模板\桌面\ActiveDesktop提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略;如果“禁用Active Desktop和Web视图”设置在“用户配置\管理模板\Windows 组件\Windows资源管理器”被启用,ActiveDesktop就会被禁用,并且这两个策略都会被忽略;7.从“我的电脑”中删除共享文档当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中;使用此设置,你可选择不显示这些项目;位置:\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现;如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现;8.不要将已删除的文件移到“回收站”当Windows资源管理器中的一个文件或文件夹被删除时,该文件或文件夹的副本会被放在“回收站”里;使用此策略,你能改变此行为;位置:\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里,因此被永久删除;如果禁用或不配置此设置,使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里;三、利用组策略进行系统设置1.登录时不显示欢迎屏幕为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时将WindowsXP欢迎屏幕隐藏;位置:\用户配置\管理模板\系统\要显示欢迎屏幕,请依次单击“开始→程序→附件→系统工具”选项,然后单击“开始”选项;要在不指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项;注意:这项设置出现在“计算机配置”和“用户配置”文件夹中;如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先;2.配置驱动程序查找位置默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、WindowsUpdate等位置搜索驱动程序;此设置配置查找到新硬件时Windows将要搜索驱动程序的位置;位置:\用户配置\管理模板\系统\如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中的任何位置;如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、光盘驱动器和WindowsUpdate等位置中搜索驱动程序;3.关闭自动播放一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取;这会造成程序的设置文件和在音频媒体上的音乐立即开始;该策略将关闭自动运行功能;位置:\用户配置\管理模板\系统\如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行;注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;另外,此设置不阻止自动播放音乐CD;4.只运行许可的Windows应用程序该策略可以限制用户可以运行的Windows程序;位置:\用户配置\管理模板\系统\如果你启用这个设置,用户只能运行你加入“允许运行的应用程序列表”中的程序;这个设置只能防止用户从Windows资源管理器启动程序;无法防止用户用其他方式启动程序,例如任务管理器;如果用户可以访问命令提示符窗口,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序;注意:要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称例如,、、;如图3所示;5.删除任务管理器当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框;任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序包含系统服务、搜索程序的执行文件名、更改程序运行的优先顺序;在这里,我们可以通过组策略删除任务管理器;位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项\如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是一个策略禁止了这个操作;6.删除改变“密码”选项该策略可以防止用户通过任务管理器更改系统密码;位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项\这个设置停用Windows安全设置对话框上的“更改密码”按钮;但是,用户在得到系统提示时依旧可以更改密码;管理员要求新密码和密码作废时,系统会提示用户输入新密码;7.不允许运行WindowsMessengerWindows XP自带有聊天工具Windows Messenger,但是,我们也有可能在系统中安装MSNMessenger;该策略允许你禁用Windows Messenger;位置:\用户配置\管理模板\Windows组件\Windows Messenger如果启用该策略,WindowsMessenger将不会运行;如果禁止或不配置该策略,WindowsMessenger可以被使用;注意:如果启用这个策略,远程协助无法使用WindowsMessenger;另外,这个策略也会出现在“计算机配置”中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;8.关闭系统还原功能系统还原是WindowsXP/2003中集成的强大功能,它在系统运行的同时,备份被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态;默认情况下,系统还原处于打开状态; 但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多;对于配置不高的计算机来说,强烈建议关闭此功能;位置:\计算机配置\管理模板\系统\系统还原\关闭系统还原启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”;四、利用组策略调整上网设置1.禁用导入和导出收藏夹禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie;如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹;注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息;2.禁用更改“高级”选项卡的设置禁止用户更改“Internet选项”对话框中“高级”选项卡上的设置;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,则用户无法更改高级Internet设置,如安全、多媒体和打印;用户无法选中“高级”选项卡上的复选框,也不能清除这些复选框的复选标记;如果禁用该策略或不对其进行配置,则用户可以选择或清除“高级”选项卡上的设置;如果设置了位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁用高级页”策略将删除界面上的“高级”选项卡;3.对拨号连接使用“自动检测”属性自动检测在浏览器第一次启动时使用DHCP动态主机配置协议或DNS服务器来自定义浏览器;该策略指定自动检测用于用户的拨号设置的配置; 位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该设置,自动检测将配置用户的拨号设置;如果禁用该配置或不配置,自动检测不会配置用户的拨号设置,除非用户指定;4.禁用Internet连接向导禁止用户运行Internet连接向导;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰;用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导;如果禁用该策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置;注意:该策略与位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面上的“连接”选项卡;从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导;5.禁用表单的自动完成功能禁止IE自动完成表单,如填写用户以前在网页中输入过的姓名或密码;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“表单”复选框将变灰;单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮,即可出现“表单”复选框;如果禁用该策略或不对其进行配置,则用户可以启用表单的自动完成功能;位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略;如果启用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面板”中“InternetExplorer属性”对话框中的“内容”选项卡;注意:如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容;6.配置媒体浏览栏属性媒体浏览器栏播放来自Internet的音乐和视频内容,该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏;自动播放功能也被禁用;当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容;如果启用媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏;管理员也可以打开和关闭自动播放功能;该设置只在媒体浏览器栏启用时应用;如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容;如果不选择,系统上的默认媒体客户端将播放内容;7.禁用右键快捷菜单禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单;位置:\用户配置\管理模板\Windows组件\InternetExplorer\浏览器菜单如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单;如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单;8.自定义IE标题栏我们可以利用组策略自定义出现在IE和OE标题栏中的文本;无论软件包中是否有OE或者用户计算机上已经安装了OE,都将更新OE标题栏;位置:\用户配置\管理模板\Windows设置\InternetExplorer维护\浏览器用户界面\浏览器标题请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入希望的文本;注意:在选择某个位图时,要确保颜色与文本的对比度;这为用户确保了更高程度的可读性;9.自定义IE工具按钮我们可以利用该策略个性化出现在IE中的工具栏,给你一定的灵活性和设计机会;可以使用的元素包括用于标准工具栏按钮例如“搜索”和“历史”的工具栏背景和图标外观;位置:\用户配置\管理模板\Windows设置\InternetExplorer维护\浏览器用户界面\浏览器工具栏自定义在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题必需”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本;必须指定该按钮的标题或标签;建议的最大长度是10个字符;在“工具栏操作作为脚本文件或可执行文件,必需”框中,键入脚本文件或可执行文件的名称,或者单击“浏览”按钮查找文件;必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件;在“工具栏颜色图标必需”框中,键入表示按钮为活动状态的文件的名称,或者单击“浏览”按钮查找该文件;必须指定出现在工具栏上的按钮的彩色图标;图标由活动和非活动状态的20×20像素的图像组成;在“工具栏灰度图标必需”框中,键入出现在黑白监视器上的工具栏的灰度图标文件名和位置,或者单击“浏览”按钮查找文件;必须指定显示在工具栏上按钮的灰度图标;选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮;五、利用组策略设置优化网络环境1.禁止访问网络连接组件的属性“本地连接属性”对话框包括连接时使用的网络组件列表;要查看或更改组件属性,请单击组件名称,然后单击组件列表下面的“属性”按钮,如图4所示;该策略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络连接组件的“属性”按钮;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会为管理员禁用“属性”按钮;无论“为管理员启用网络连接设置”设置启用与否,用户都不可以访问连接组件;如果禁用或不配置“为管理员启用网络连接设置”;如果禁用或不配置此设置,将为用户启用“属性”按钮;2.禁用TCP/IP高级配置确定用户是否可以配置TCP/IP设置;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户包括管理员禁用“Internet协议TCP/IP属性”对话框上的“高级”按钮;因此,用户不能打开“高级TCP/IP设置”对话框并修改IP设置例如,DNS 和WINS服务器信息;如果禁用此设置,则启用“高级”按钮,并且所有用户均可打开“高级TCP/IP设置”对话框;注意:此设置会由禁止访问连接属性或连接组件属性的设置取代;如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法访问用于TCP/IP配置的“高级”按钮;不管此设置如何,非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限;在用户退出系统之前,将此设置从“启用”更改为“未配置”不会启用“高级”按钮;3.禁止添加或删除用于网络连接或远程访问连接的组件“安装”按钮可打开用来添加网络组件的对话框;单击“卸载”按钮可删除组件列表中的选定组件;“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中;这些按钮位于“常规”选项卡和“网络”选项卡上;该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会禁用用于连接组件的“安装”和“卸载”按钮,并且不允许用户访问“Windows组件向导”中的网络组件;如果禁用或不配置此设置,就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮;同样地,用户可以访问“Windows组件向导”中的网络组件;4.禁止访问网络连接的属性右键单击“网上邻居”图标,在打开的快捷菜单中可以看到“属性”菜单项,用于打开网络连接属性对话框,该策略确定用户是否可以更改网络连接的属性;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户禁用“属性”菜单项,而且用户不能打开“连接属性”对话框;如果禁用或不配置此设置,右键单击“网上邻居”的图标时,就会出现“属性”菜单项;同样地,当用户选择此连接时,就会启用“文件”菜单上的“属性”菜单项;注意:此设置优先于操作“局域连接属性”对话框内的功能的可用性设置;如果启用此设置,用户将不可使用网络连接的属性对话框内的任何功能;5.更改所有用户远程访问连接的属性该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性;此设置确定是否启用“属性”菜单项,以及远程访问连接属性对话框是否对用户可用;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置,任何用户右键单击用来进行远程访问连接的图标时,就会出现“属性”菜单项;同样地,当任何用户选择连接时,“文件”菜单上就出现“属性”;如果禁用此设置并启用“为管理员启用网络连接设置”设置,就会禁用“属性”菜单项,并且用户包括管理员无法打开远程访问连接对话框;如果不配置此设置,则只有管理员才可以更改所有用户远程访问连接的属性;注意:此设置优先于操作远程访问连接属性对话框内的功能的可用性设置;如果禁用此设置,则用户不可使用用于远程访问连接的属性对话框内的任何功能;再谈组策略--Windows组策略应用全攻略一、什么是组策略一组策略有什么用说到组策略,就不得不提注册表;注册表是Windows系统中保存系统、应用软件配置的数。
windows域常用组策略设置
开启
提供的远程协助:使用此策略设置可以打开或关闭该计算机上的“提供远程协助”。
开启
用户策略
软件设置
软件安装:基于用户策略的软件的分发,在用户登录后,会在控制面板中显示程序列表,用户具有安装那些程序的权限。
具体软件列表待定
管理模板
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
是否需要统一
删除桌面清理向导:防止用户使用清理桌面向导
是
禁止用户手动重定向配置文件文件夹:防止用户更改其配置文件文件夹的路径。
是
退出时不保存设置:防止用户保存对桌面进行的某些更改。
是
禁止添加、拖、放和关闭任务栏的工具栏:防止用户操作桌面工具栏。
3次
本地策略-审核策略:审核策略更改、登录时间、对象访问、进程跟踪、目录服务访问、特权使用、系统时间、账户登录和账户管理
按需要开启,不建议开启所有。
本地策略-用户权限分配
由于人员暂时不是很多,将只考虑管理员(分配用户在本地具有管理员权限)
本地策略-安全选项
不显示最后的用户名:该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的
开启
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
window实验手册组策略
w i n d o w实验手册组策略Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】教学时间第五周2008-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和管理OU2、学会在win2003中应用组策略教学过程:一、OU(组织单元)的管理1、OU的概念域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。
OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。
2、建立OU及子对象(1)注意图标。
(2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。
(3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的管理1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
windows实训报告4--active+directory域用户和组管理
Active Directory域用户和组管理
一、实训要求
1、创建域用户账户;
勾勾去掉
右键该用户-属性
右键该用户出来选项
禁用用户,就是不使用该用户,冻结它
重新设置密码
此勾勾要是勾上则下次登录强制修改密码
移动用户至其它OU
删除用户
重命名
4、用户配置文件(默认,本地,漫游,强制,临时);默认为本地
漫游
在服务器上C盘根目录建立共享文件夹
删除其它权限添加张三,并给张三所有权限
添加NTFS权限
添加用户主文件夹并配置路径
登录客户机XP1
强制
将此文件后缀名改为man就可以了
临时
取消共享主文件夹
客户机登录管理员账户
删除此文件夹
注销客户机登录张三
5、用户主目录;
6、组的创建;
7、组的规划:
新建用户李四
将张三加入销售部
设置销售部文件夹权限为只允许销售部的组访问
由于张三加入了销售组,所以打开了
而李四没有加入销售组,所以无法访问
1)AGDLP原则;
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
2)AGGDLP原则;
3) AGUDLP原则;
4) AGGUDLP原则;
三、总结。
提升Windows系统安全性的组策略设置
组策略在Windows系统中的作用
01
02
03
集中化管理
组策略允许管理员从中央 位置管理网络上的计算机 ,减少了单独配置每台计 算机的需求。
自定义设置
通过组策略,可以定制软 件安装、系统配置、安全 设置等,以满足特定组织 的需求。
安全增强
组策略可以用于实施安全 策略,如软件限制、注册 表限制、安全桌面等,从 而提高系统的安全性。
访问控制列表(ACL)
限制不必要的访问
01
通过ACL,可以限制特定用户或组对关键文件、文件夹或注册
表的访问。
配置文件和注册表权限
02
通过精细控制文件和注册表的权限,可以防止未授权修改,提
高系统稳定性。
审核对象访问
03
启用ACL的审核功能,可以追踪对特定资源的使用情况,及时
发现异常行为。
04
软件限制策略
密码策略
总结词
密码策略用于规范和强制用户设置符合安全要求的密码,提 高密码的安全性。
详细描述
通过设置密码策略,可以要求用户定期更换密码,并限制密 码的复杂性和长度。同时,可以启用密码历史记录功能,防 止用户重复使用相同的密码。
账户过期策略
总结词
账户过期策略用于自动注销过期的账 户,确保账户的安全性。
强制安全启动
启用强制安全启动后,计算机将始终 使用安全启动模式,即使在用户禁用 该功能的情况下也是如此。
安全选项配置
账户锁定策略
通过设置账户锁定策略,可以防止未经授权的用户多次尝试登录到计算机。
密码策略
设置密码策略可以要求用户定期更改密码,并限制密码的复杂性和长度。
防火墙配置
入站规则
配置入站规则可以允许或拒绝来自外部 网络的连接请求,从而提高计算机的安 全性。
组策略完全使用手册【可编辑范本】
组策略完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1。
什么是组策略ﻫ注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
这是以前“系统策略编辑器"工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
windows系统的组策略配置详解
组策略组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。
通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。
微软自Windows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。
利用组策略可以修改Windows 的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。
组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表强。
本文主要介绍Windows XP Professional本地组策略的应用。
本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。
其下所有设置项的配置都将保存到注册表的相关项目中。
其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
一、访问组策略有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。
1. 输入gpedit.msc命令访问选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows 设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
windows域常用组策略设置
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
不允许
重命名来宾帐户和重命名系统管理员账户
Enterprise Admins组,最高权限,建议只放一个用户,并且常年禁用
事件日志,设置事件日志的相关选项,包括:大小,时间,类型等等
调整
关闭自动播放:启用此设置,则可以禁用CD-ROM和可移动介质驱动器上的自动播放,也可以禁用所有驱动器上的自动播放。
关闭
实际测试
开启按部门需求
防止删除打印机:如果用户试图删除打印机,例如使用“控制面板”中“打印机”
是
中的“删除”选项来删除打印机,会显示一条消息,说明该设置组织执行此操作。
隐藏“从CD-ROM或软盘安装程序”选项:从“添加新程序”页面删除“从CD-ROM或软盘安装程序”部分。这样可以防止用户使用“添加或删除程序”从可移动介质安装程序。
是
提示用户在过期之前更改密码:确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
10天
无需按Ctrl+Alt+Del:该安全设置决定用户是否需要按Ctrl+Alt+Del才能登录。
无需
可匿名访问的共享:此安全设置确定匿名用户可以访问哪些网络共享。
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
提升windows系统安全性的组策略设置
06
安全加固建议
使用强密码并定期更换密码
总结词
强密码是保护Windows系统安全性的重要措施之一,应定期更换密码,以降低被破解的风险。
详细描述
强密码应包含大写字母、小写字母、数字和特殊字符,且长度至少为8位。建议使用密码管理工具来生成和保存 复杂的密码。定期更换密码可减少被破解的时间,一般建议每3个月更换一次密码。
组策略在系统安全中的作用
配置安全审计
01
通过配置安全审计,可以记录系统中发生的安全事件,以便及
时发现并应对潜在的安全威胁。
禁用不必要的网络协议
02
禁用不必要的网络协议可以减少系统的漏洞,提高系统的安全
性。
配置防火墙规则
03
通过配置防火墙规则,可以限制网络流量,防止恶意软件通过
网络进行传播。
02
账户策略
设定锁定帐户的时间长度,防止暴力破解。
复位帐户锁定计数器
在达到帐户锁定阈值后,可以复位计数器,重新解锁帐户。
审核策略
审核登录事件
对登录事件进行审核,以便在发生异常登录时进行审计。
审核账户管理事件
对账户管理事件进行审核,以便在发生异常账户操作时进行审计。
审核目录服务访问事件
对访问目录服务的事件进行审核,以便在发生异常访问时进行审计 。
网络访问保护(NAP)
通过强制执行安全策略,限制不符合安全标准的计算机的互联网访问,以减少 网络威胁。
网络安全保护
对网络连接进行加密和安全认证,以保护数据传输过程中的隐私和完整性。
安全审计策略
日志审计
对系统活动进行详细记录和审计,以便于追踪和调查潜在的 安全事件。
安全事件响应
及时响应和处理安全事件,以防止其对系统造成进一步的损 害。
WinP组策略规划应用详解
组策略常用设置详解合订本组策略常用设置详解(任务栏和开始菜单、桌面、控制面板、网络和系统)(整理自Windows XP Pro SP2)(各项默认状态均为“未被配置”)任务栏和开始菜单设置详解用户配置→管理模板→任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。
其它项目出现,但文件夹会被隐藏。
这个设置是为了转发文件夹而设计的。
被转发的文件夹会出现在「开始」菜单的主要区域中。
但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。
因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。
请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。
如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。
如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。
如果停用或不配置这个设置,Windows 2000 Professional和Windows XP Professional会将文件夹同时显示在「开始」菜单的两种区域中。
删除到“Windows Update”的访问和链接防止用户连接到Windows Update网站。
这个设置阻止用户访问地址为:的Windows Update网站。
这个设置从「开始」菜单和Internet Explorer中的工具菜单上删除了Windows Update超链接。
Windows Update为Windows的联机扩展,提供软件更新以使用户的系统保持最新。
Windows Update Product Catalog确定任何用户需要的系统文件、安全措施修改以及Microsoft updates并且显示可供下载的最新版本。
还可参阅“隐藏‘从Microsoft添加程序’选项”设置。
从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。
使用windows组策略对计算机进行安全配置
综合性实验项目名称:使用windows组策略对计算机进行安全配置一、实验目的及要求:1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件,计算机和用户策略。
2.我们通过实验,学会使用组策略对计算机进行安全配置。
二、实验基本原理:组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。
三、主要仪器设备及实验耗材:PC机一台,Windows2000系统,具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高于用户配置中的级别策略五、实验内容与步骤1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。
依次进行以下实验:(1)隐藏驱动器平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。
1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示图6-1 使用策略前,“我的电脑”2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2隐藏驱动器3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示图6-3 使用策略后,“我的电脑”(2).禁止来宾账户本机登录使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。
但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。
我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示图6-4 选择用户和组采取拒绝本地登录策略,如图6-5所示图6-5 拒绝本地登录(3).开启审核策略在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上,我们可以看到它可以审核策略更改,登录事件,对象访问,过程追踪,目录服务访问,特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录,关闭系统或更改过哪些策略等等,如图6-6所示图6-6 审核策略我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。
windows服务器AD域控安装与组策略设置攻略
安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。
2、实验环境多台装有Windows 2000 Server的计算机。
3、相关理论活动目录是一种目录服务,它存储有关网络对象的信息,例如,用户、组和计算机账户、共享资源和打印机等,并使管理员和用户可以方便地查找和使用网络信息。
活动目录的应用起源于Windows NT 4.0,在Windows 2000 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点:(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容(1)在安装Active Directory前首先确定DNS服务正常工作,下面来安装在根域为的第一台域控制器。
(2)运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。
5、实验步骤安装活动目录的具体操作步骤如下:(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令,打开“Windows 2000配置服务器”对话框,如下图所示。
注释:安装完Windows 2000 Server后,每次启动计算机,系统都会自动打开“Windows 2000配置服务器”对话框。
(2) 在左边的列表中单击Active Directory(活动目录)选项,并将右边的滚动条拖动到底部,使对话框如下图所示。
(3) 单击“开始Active Directory向导”选项,打开“欢迎使用Active Directory 安装向导”对话框。
该对话框显示了Active Directory安装向导的简单欢迎信息。
使用组策略配置域中任务计划
使用组策略配置域中任务计划组策略(Group Policy)是Windows域中一种集中管理计算机和用户配置的技术。
通过使用组策略,管理员可以轻松地配置和部署计算机和用户的设置,以便满足组织的安全性、合规性和操作需求。
其中一种常见的使用组策略的场景是配置任务计划。
在本文中,将介绍如何使用组策略配置域中的任务计划。
如果要配置计算机级别的任务计划,可以展开"计算机配置",然后选择"Windows 设置" -> "安全设置" -> "任务计划程序"。
在右侧的窗格中,可以看到数个可配置的选项。
要创建一个新的任务计划,可以使用右侧窗格中"任务计划程序库"的选项。
右键单击"任务计划程序库",选择"新建任务计划"。
在弹出的对话框中,指定新任务计划的名称和描述。
然后点击"下一步"。
在下一步中,可以选择计划任务执行的触发器。
可以根据需要选择不同的触发器类型,例如在每天指定时间执行、在登录时启动或在特定事件发生时执行。
选择合适的触发器后,点击"下一步"。
在下一步中,可以指定要执行的操作。
可以选择运行程序、脚本或发送电子邮件等操作。
根据不同操作的需求,选择合适的选项,并配置相关的参数。
完成后,点击"下一步"。
在下一步中,可以选择任务计划的安全选项。
这些选项包括指定运行任务的账户、配置运行任务时的权限以及是否将任务计划设置为隐藏。
根据组织的需求进行相应的配置,并点击"下一步"。
在最后一步中,可以对任务计划进行最后的概述和配置检查。
确认任务计划的设置无误后,点击"完成"。
现在已经创建了一个新的任务计划。
要配置任务计划的其他设置,可以在任务计划程序库中选择相应的任务计划,然后右键单击并选择"属性"。
Windows操作系统组策略应用全攻略
xx年xx月xx日
windows操作系统组策略应用全攻略
组策略基础组策略的配置与应用组策略的安全性和可靠性组策略的扩展和维护组策略的常见问题及解决方案组策略的未来发展与展望
contents
目录
01
组策略基础
组策略(Group Policy)是Windows操作系统中一套管理和配置系统的强大工具,它允许系统管理员通过设置和调整各种策略,来控制和规范用户在系统中的行为和操作。
应用策略
将配置好的策略应用到相应的用户或计算机上,可以通过“组策略”编辑器中的“应用”按钮进行批量应用。
家庭用户
01
对于家庭用户而言,组策略可以用于限制儿童使用计算机的时间、禁止访问不良网站等,从而提高家庭计算机的安全性和稳定性。
组策略的应用范围
企业用户
02
在企业中,组策略可以用于统一配置员工使用计算机的各项参数,如禁止使用U盘、限制访问特定网站等,从而提高企业管理效率和安全性。
限制使用U盘
03
组策略的安全性和可靠性
通过组策略可以设置特定的用户或用户组对系统资源的访问权限,有效防止未经授权的用户访问系统核心区域。
限制访问权限
对于敏感数据,如系统配置参数、密码等,可以通过组策略设置加密存储,确保数据的安全性。
加密敏感数据
组策略可以设置强制执行策略,确保系统的安全性和稳定性。
强制执行策略
组策略的安全性
组策略的可靠性
组策略的恢复策略
04
组策略的扩展和维护
扩展性概述
Windows操作系统中的组策略是一种强大的工具,可以用于配置和管理网络中的计算机。通过使用组策略,管理员可以定制和自动化许多系统级设置和程序配置。
扩展性示例
window实验手册组策略规划
即可。
(3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的管理1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
1、创建组策略步骤:右击-属性-“组策略”选项卡-“新建”按钮2、设置组策略步骤:右击-属性-“组策略”选项卡-“编辑”按钮3、用组策略管理用户工作环境实验二:4、用组策略发布软件在网络中可以利用组策略为客户端自动安装一种应用软件。
满足两个条件:(1)安装软件的安装文件必须是扩展名为MSI或ZAP的安装程序包。
(2)安装的软件必须存储在网络用户能访问到的地方(比如某个共享文件夹)。
软件分发的过程:(1)创建一个软件分发点,即共享文件夹,把被安装的软件复制到该共享文件夹(2)使用组策略对象分发软件:用户配置-软件设置-右击“软件安装”-新建-软件包-选择网上邻居中共享文件夹内的MSI软件。
Windows网络服务器配置-域组策略
只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性
推行公司使用计算机的规范
桌面环境规范 安全策略
组策略的结构
组策略的具体设置数据保存在GPO中 默认GPO
默认域策略 默认域控制器策略
组策略应用——用户配置
• ABC公司采用域环境管理,销售部员工的用户账户位于销售部OU, (以lisi账户为例,将lisi账户移动到此OU),现要求销售部的员工登 录后,其控制面板中不显示Windows 防火墙。
演示操作Biblioteka 组策略应用——计算机配置ABC公司希望所有用户在域中的计算机上登录时,能够显示信息,让用户 在登录前阅读公司计算机使用规范. 计算机配置→策略→Windows设置→安全设置→本地策略→安全选项
演示操作
实训2:域组策略应用
• 实训环境: HT公司搭建了Windows Server 2016域环境,域内
有多个用户账户,所有或用户登录时要有计算机使用提 示,用统一桌面背景,不能更改。域中所有计算机开机 显示“使用计算机须知”。
实训2:域组策略应用
需求描述: 准备一张做桌面背景的图片,在DC上共享,域用户有读取 权限。 在域上创建并链接一个设置统一桌面背景的组策略。 配置组策略,用户配置→策略→管理模板→桌面→桌面→启 用Active Desktop,启用此功能。用户配置→策略→管理模 板→桌面→桌面→桌面墙纸,启用并指定共享的墙纸网络路 径和名称。 配置组策略(计算机配置),设置用户登录时显示的消息标 题和消息文字。 在加入域的客户机登录,验证组策略。
域组策略的作用-1
应用域组策略,管理员可以方便地管理Active Directory中的用户和计算机的工作环境
提升Windows系统安全性的组策略设置
账户策略可以用来管理系统的账 户权限和访问控制,例如设置管 理员账户、guest账户等,以及为 每个账户设置不同的权限级别。
04 审核策略
审核策略可以用来记录系统中的所 有操作,包括登录、注销、文件访 问等,以便于管理员追踪和分析恶 意行为。
安全日志和事件查看器
安全日志
安全日志是Windows系统中记录安全事件的一种方式,可以记录系统中的登录、 注销、权限更改等事件,以便于管理员进行审计和分析。
存储设备加密
存储设备加密是指对存储设备中的数据进行加密,例如U盘、 移动硬盘等。通过加密存储设备中的数据,可以防止未经授 权的访问和使用。
05
安全备份和恢复策略
定期备份重要数据
1 2
启用定期备份
在Windows系统中,可以使用内置的备份工具 或第三方备份软件,定期备份重要数据。
备份频率
建议至少每周备份一次数据,以确保数据的完 整性和可恢复性。
限制不受信任的软件
对于来源不明的软件或执行可疑操作的软件 ,可以将其标记为不受信任,并阻止其运行
和安装知名品牌的防病毒软件,并定期更新病毒库和恶意软件 数据库。
配置防病毒软件设置
配置防病毒软件以自动检测和清除恶意软件,并对文件、邮 件和网络流量进行实时监控和防护。
3
备份位置
应选择一个可靠的数据存储位置,如本地硬盘 、外部硬盘或云存储,以避免数据丢失。
还原备份数据
在数据丢失或受到恶意软件攻击后, 可以使用备份数据进行还原,以恢复 重要数据和文件。
备份数据的可恢复性:确保备份数据 是完整和可靠的,以便在需要时可以 成功还原。
还原过程:根据备份频率和备份位置 ,选择适当的还原方式,如全量还原 、增量还原或差异还原。
组策略规划和部署指南
组策略规划和部署指南2010-12-27 15:22 微软微软TechNet中文站我要评论(0)字号:T | T可以使用 Window s Server2008组策略来管理计算机和用户组配置,包括以下各项所对应的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。
Window s Server2008中新增的组策略首选项是二十多个组策略扩展,用于扩展组策略对象(GPO) 中的可配置策略设置的范围。
AD:可以使用 Windows Server2008组策略来管理计算机和用户组配置,包括以下各项所对应的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。
Window s Server2008中新增的组策略首选项是二十多个组策略扩展,用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。
与组策略设置相比,首选项是非强制性的。
用户可以在初始部署后更改首选项。
有关组策略首选项的信息,请参阅组策略首选项概述(可能为英文网页)。
通过使用组策略,您可以大大降低组织的总拥有成本。
各种各样的因素可能会使组策略设计变得非常复杂,例如,大量可用的策略设置、多个策略之间的交互以及继承选项。
通过仔细规划、设计、测试并部署基于组织业务要求的解决方案,您可以提供组织所需的标准化功能、安全性以及管理控制。
组策略概述组策略在运行 Window s Server2008、Window s Vista、Window s Server2003和 Window sXP 的计算机上启用基于 Active Direct ory 的用户和计算机设置更改和配置管理。
除了使用组策略为用户和计算机组定义配置以外,还可以配置很多服务器特定的操作和安全设置,以便使用组策略帮助管理服务器计算机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
w i n d o w实验手册组策略规划WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】教学时间第五周2008-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和管理OU2、学会在win2003中应用组策略教学过程:一、OU(组织单元)的管理1、OU的概念域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。
OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。
2、建立OU及子对象(1)注意图标。
(2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。
(3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的管理1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
1、创建组策略步骤:右击-属性-“组策略”选项卡-“新建”按钮2、设置组策略步骤:右击-属性-“组策略”选项卡-“编辑”按钮3、用组策略管理用户工作环境实验二:4、用组策略发布软件在网络中可以利用组策略为客户端自动安装一种应用软件。
满足两个条件:(1)安装软件的安装文件必须是扩展名为MSI或ZAP的安装程序包。
(2)安装的软件必须存储在网络用户能访问到的地方(比如某个共享文件夹)。
软件分发的过程:(1)创建一个软件分发点,即共享文件夹,把被安装的软件复制到该共享文件夹(2)使用组策略对象分发软件:用户配置-软件设置-右击“软件安装”-新建-软件包-选择网上邻居中共享文件夹内的MSI软件。
实验三:为学生OU的所有用户安装任意一个软件,注意网络路径的选择。
(\\win2003\……)四、组策略设置实例◆运行组策略Windows 2000/XP/2003组策略控制台,在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行程序。
使用上面的方法,打开的组策略对象就是当前的计算机。
◆“桌面”设置Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。
下面就让我们来看看几个实用的配置实例:位置:“组策略控制台→用户配置→管理模板→桌面”1、隐藏桌面的系统图标(Windows 2000/XP/2003)虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。
而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
2、退出时不保存桌面设置(Windows 2000/XP/2003)此策略可以防止用户保存对桌面的某些更改。
如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3、屏蔽“清理桌面向导”功能(Windows XP/2003)“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。
如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4、启用/禁用“活动桌面”(Windows 2000/XP/2003)“活动桌面”是Windows 98(及以后版本)或安装了IE 的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。
但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。
具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,则“禁用Active Desktop”设置会被忽略。
如果“禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
◆个性化“任务栏”和“开始”菜单显示了“任务栏”和“开始”菜单的有关组策略配置项目。
下面我们来看具体的实例:位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单”1、给“开始”菜单减肥(Windows 2000/XP/2003)如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。
在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。
你只要将不需要的菜单项所对应的策略启用即可。
2、保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
3、禁止“注销”和“关机”(Windows 2000/XP/2003)当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项。
另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
提示:如果启用了“删除开始菜单上的‘注销’”,则会从“开始菜单选项”删除“显示注销”项目。
用户无法将“注销<用户名>”项目还原到开始菜单(只能通过手工修改注册表的方法)。
这个设置只影响开始菜单,它不影响“Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问‘关机’命令”),而且不妨碍用户用其它方法注销。
4、利用组策略保护个人文档隐私(Windows 2000/XP/2003)Windows有个高级智能功能,即可以记录你曾经访问过的文件。
虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。
利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。
如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
◆IE设置手到擒来微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。
在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。
下面来看具体实例:位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加模板文件)”1、禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003)出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。
下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。
启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。
该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器。
提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。