组策略与安全设置

组策略与安全设置

系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述

组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会

背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略

内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示

以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示

当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用

以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示

以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

域组策略实例演示

虽然在域内可以针对站点，域或组织单位来设置组策略，但是以下内容将仅针对常用的域与组织单位进行说明。

组策略基本概念

如图，可以针对来设置组策略，此策略设置会被应用到域内所有计算机与用户，包含图中组织单位业务部内所有计算机与用户。

还可以针对组织单位业务部设置组策略，此策略会应用到该组织单位内所有计算机与用户。由于业务部会继承域contoso的策略设置，因此业务部最后的有效设置是域contoso的策略设置加上业务部的策略设置。

如果业务部的策略设置与域的策略设置发送冲突，默认以业务部的策略设置优先。

组策略是通过GPO进行设置的，当讲GPO链接到域或组织单位业务部后，此GPO设置值就会被应用到域或组织单位业务部内所有用户与计算机。系统已经内置了两个GPO，他们分别如下所示。

●Default Domain Policy：此GPO已经被连接到域，因此这个GPO内的设置值会被

应用到域内的所有用户与计算机。

●Default Domain Controllers Policy：此GPO已经被连接到组织单位Domain

Controllers，因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。

也可以针对业务部创建多个GPO，此时这些GPO中的设置会合并起来应用到业务部内的所有用户与计算机。如果这些GPO内的设置发送冲突，则以排列在前面的优先。

域主策略实例演示1-隐藏Windows防火墙

以下假设要针对业务部内的所有用户进行设置，并设置让这些用户登录后，其控制面板内的windows防火墙自动被删除。我们要创建一个链接到组织单位业务部的GPO，并且通过此GPO内的用户设置进行设置。

1.打开组策略管理

2.展开组织单位业务部-选中物业部并单击鼠标-在这个域中创建GPO并在此处链

接。

注：在图中可以看到内置GPO请不要随意更改这两个GPO的内容，以免影响系统的正常运行。

可以对着组织单位单击鼠标右键后选择阻止继承，表示不要继承域策略设置。也可以对着域GPO（例如Default Domain Policy）单击鼠标右键选择强制，表示域下的组织单位必须继承此GPO设置，无论组织单位是否选择阻止继承。

1.为此GPO命名（假设是测试用的GPO）

2.选择GPO右键编辑

3.展开用户配置-策略-管理模板-控制面板-隐藏指定的控制面板项-勾选已启用-单击

显示-输入Windows防火墙（windows与防火墙之间有个空格）

4.到客户端计算机上利用业务组内任意账户登录打开控制面板-系统和安全，可以看

到windows防火墙没有出现。

域组策略实例演示2-限制可执行文件的运行

假设要针对业务部内的所有计算机（图中只有一台计算机）进行设置，并且禁止所有用户在这些计算机上运行浏览器IE。我们将利用前一个实例创建的测试用GPO来练习。

我们要通过图中组织单位业务部内的计算机PC1进行练习，如果要练习的计算机在Computer容器，将其移动到组织单位业务部（请不要移动位于Domain Controlles内的域控）。

APPLocker基本概念

我们将利用APPLocker功能来阻止IE。AppLocker可以让你针对不同类别的程序来设置不同的规则，它共分为以下5大类别。

●可执行文件规则：适用于.exe与.com程序。

●Windows安装程序规则：适用于.msi.msp.mst程序。

●脚本规则：适用于.ps1 .bat .cmd .vbs .js程序。

●已封装的应用程序规则：适用于.appx程序（windows应用商店的程序）。

●DLL规则：适用于.dll .ocx程序。

注：支持AppLocker的域成员：Win8Sta/Ent/Pro，Win7ult/Ent，Win2012 Data/Sta，Win 2008R2 Data/Ent/Sta。

如果要针对Win XP等旧客户端来封锁，请利用软件限制策略。

域组策略与AppLocker 实例演示

Win8 可以通过菜单中IE来打开浏览器，默认位置pro file\ie\ie.exe中。以下范例将禁用ie.exe,但是不阻止其他动态磁贴程序。

1.编辑测试用GPO。

2.计算机配置-策略-Windows设置-安全设置-应用程序控制策略-AppLocker-选中可执

行规则并单击鼠标右键-创建默认规则。