第13周：项目6.使用组策略管理用户和计算机(1)

任务实施
6.3.3 禁止访问注册表
针对销售部有个别员工随意修改注册表的问题，可对销售 部员工设置用户配置策略，禁止其访问注册表。
步骤1：为组织单位“销售部”新建GPO“销售部策略” 并链接（步骤略）。
步骤2：选中GPO“销售部策略”，然后单击右键，在弹 出的右键菜单中选择“编辑” 。
任务实施
针对销售部员工自行修改注册表和控制面
种系统设置方式。可为用户、 组、计算机设定可运行的程
板的问题，可设置禁止访问这些组件。 序、桌面内容、桌面配置、
针对销售部统一部署Office 2007的需求， 可使用软件分发策略来完成。
安全设置等，这些设置最终 保存在注册表中。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.2 禁用可移动存储设备
步骤1：在“组策略管理”窗口中依次展开“林： test.com” →“域”→“test.com”，选中组织单位“财 务部”，然后单击右键，在弹出的右键菜单中选择“在这 个域中创建GPO并在此处链接”命令。
任务实施
6.3.2 禁用可移动存储设备
企业经验
GPO可在组织单位中创建并链接，如果是只针对某一组织单位的策略，则选择 此方式。另外，也可先在容器“组策略对象”中建立GPO，再到组织单位中执 行“链接现有GPO”命令，这种方式适用于某几个组织单位链接同一个GPO的 情况。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.1 设置密码策略
Active Directory域默认的域策略要求用户密码必须满足 密码复杂性要求，在创建用户不满足条件时会弹出提示。 遇到此提示，须按要求设置复杂密码，或修改密码策略以 降低要求，为便于用户使用，本任务将修改密码策略，然 后使用简单。
销售部有个别员工随意修改注册表和控制面板设置影响了计算机的 正常使用，此外该部门因工作需要在计算机上统一安装Microsoft Office 2007软件。
任务分析
由于泰斯特公司Active Directory域
已经按照公司部门进行了逻辑划分，
可对各部门实施不同的组策略以便管
知识链接
理。
组织单位组策略（Group
任务实施
6.3.2 禁用可移动存储设备
步骤2：在“新建GPO”对话框中输入GPO的名称，如 “财务部策略”，然后单击“确定”按钮。
任务实施
6.3.2 禁用可移动存储设备
步骤3：选中GPO“财务部策略”，然后单击右键，在弹 出的右键菜单中选择“编辑”命令。
任务实施
步骤4：在“组策 略管理编辑器”中 依次展开“计算机 配置”→“策 略”→“管理模 板”→“系统” ， 然后双击“可移动 存储访问”，在工 作区内选中“所有 可移动存储类：拒 绝所有权限”策略， 然后单击右键，在 弹出的右键菜单中 选择“属性”命令。
任务实施
6.3.4 禁止访问控制面板
任务实施
6.3.4 禁止访问控制面板
步骤2：在“禁止访问‘控制面板’ 属性”对话框的“设 置”选项卡中选中“已启用” ，然后单击“确定”按钮。
任务实施
6.3.4 禁止访问控制面板
步骤3：测试策略效果。使用销售部员工用户账户wh登录 计算机，并打开“我的电脑”，单击左侧的“控制面板” 超链接。系统会弹出提示，告知用户控制面板已被限制。
步骤1：编辑GPO“销售部策略”。在“组策略管理编辑 器”中依次展开“计算机配置”→“策略”→“软件设 置”，选中“软件安装”项，然后单击右键，在弹出的右 键菜单中依次选择“新建”→“数据包”命令。
任务实施
6.3.5 分发软件
步骤2：在弹出的“打开”对话框中选择安装包所在的共 享文件夹，本任务中“\\DC\软件分发$”，然后单击“打 开”按钮。
任务实施
6.3.1 设置密码策略
步骤3：在“组策略管理编辑器”中依次展开“计算机配 置”→“策略”→“Windows设置”→“安全设 置”→“账户策略”，然后双击“密码策略”。在工作区 可看到“密码必须符合复杂性要求”（输入密码必须包含 复杂密码要求的几种字符）已经开启，选中此策略，然后 单击右键，在弹出的右键菜单中选择“属性”命令。（图 见下页）
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.5 分发软件
针对销售部计算机上统一安装Microsoft Office 2007软件 的问题，可对销售部设置计算机配置策略，指定软件安装 的路径和分发方式。
任务实施
6.3.5 分发软件
步骤3：在弹出的“打开”对话框中继续选择路径，直至 选中软件的MSI安装包，然后单击“打开”按钮。
针对密码问题，需对整个Active
Policy），是基于用户组的
Directory域取消复杂密码性强制要求。
策略设置，用来在用户级别、 计算机级别对系统设置的更
针对财务部问题，可以在策略中禁用可移 改进行限制和管理，是介于
动存储设备而不是在BIOS中禁用USB接口。 控制面板和注册表中间的一
任务实施
6.3.1 设置密码策略
步骤1：打开组策略管理工具。依次单击“开始”→“管 理工具”→“组策略管理” 。
任务实施
步骤2：在“组策 略管理”窗口中依 次展开“林： test.com” →“域”→“test. com”，选中 “Default Domain Policy”， 然后单击右键，在 弹出的右键菜单中 选择“编辑”命令。
6.3.1 设置密码策略
任务实施
步骤5：修改后的“密 码必须符合复杂性要求” 已经变成“已禁用” 。 此时还可更改其他密码 策略，如密码长度和使 用期限等，这些策略设 置完成后经过策略的刷 新，以后再创建的用户 即可使用简单密码，原 有用户的密码也更改成 简单密码。
6.3.1 设置密码策略
任务实施
6.3.1 设置密码策略
企业经验
组策略设置完成后，需要刷新才能够被应用。对于本地计算机而言，会在本地 安全策略有变动时，或在计算机重新启动时刷新策略。对于域控制器而言，当 前设置组策略的域控制器每5分钟自动刷新一次，其他域控制器会在策略被同步 到PDC主机（一般为主域控制器）的15秒后收到复制信息并进行刷新。对于域 内计算机而言，每隔90-120分钟刷新一次，每16小时强制刷新一次。若系统管 理员想立即看到策略效果，则可分别在域控制器和计算机上的命令提示符中运 行“gpupdate /force”（即使组策略未发生变动）来强制刷新策略。
至此，已禁止销售部员工访问 控制面板。
情感提示
由于对网络连接的设置也属控制面板中 的一个设置项，禁用控制面板后，计算 机的网络连接属性也被禁止修改，用户 无法再修改IP地址。为了便于系统管理 员管理，一般只对特定的组织单位设置 用户配置级别的控制面板禁用，需要修 改IP地址等设置时，系统管理员可用域 管理员账号登陆并修改。
任务实施
6.3.4 禁止访问控制面板
针对销售部有个别员工因修改控制面板造成系统故障的问 题，可对销售部员工设置用户配置策略，禁止Fra Baidu bibliotek户访问控 制面板。
步骤1：编辑GPO“销售部策略”。在“组策略管理编辑 器”中依次展开“用户配置”→“策略”→“管理模 板”→“控制面板”，在工作区内选中“禁止访问‘控制 面板’”策略，然后单击右键，在弹出的右键菜单中选择 “属性”命令。
任务实施
6.3.3 禁止访问注册表
步骤5：测试策略效果。使用销售部员工用户账户wh登录 计算机并在“开始”→“运行”中输入“regedit” ，然 后单击“确定”按钮。系统会弹出提示，告知用户注册表 编辑器已被系统管理员停用。
至此，已完成对注册表的禁用。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
企业经验
设置软件安装策略时，安装包所在的路径必须是一个网络位置，接受软件分发 的客户端必须具备访问这个共享文件夹权限。可在共享文件上对Everyone组设 置“读取”的共享权限，建议存放于域控制器上，这样Everyone组就可以匹配 Active Directory域内的所有域用户。如果进一步考虑安全性，需将这个共享文 件夹设置隐藏共享名，即在共享名后加“$”，详见项目四相关任务。
6.3.2 禁用可移动存储设备
任务实施
步骤5：在“所有可 移动存储类：拒绝所 有权限 属性”对话框 的“设置”选项卡中 选中“已启用”，然 后单击“确定”按钮， 则实现了对可移动存 储设备的禁用。 至此，完成了对可移 动存储设备的禁用。
6.3.2 禁用可移动存储设备
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
至此，密码策略设置完成。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.2 禁用可移动存储设备
如果在财务部的计算机BIOS中禁用USB接口，则会影响 USB接口的键盘等设备。针对财务部计算机不允许使用U 盘、移动硬盘等需求，可设置针对计算机的策略，禁用可 移动存储设备。
步骤3：在“组策略 管理编辑器”中依 次展开“用户配 置”→“策 略”→“管理模 板”→“系统”， 在工作区内选中 “阻止访问注册表 编辑工具”策略， 然后单击右键，在 弹出的右键菜单中 选择“属性”命令。
6.3.3 禁止访问注册表
任务实施
6.3.3 禁止访问注册表
步骤4：在“组织访问注册表编辑工具 属性”对话框的 “设置”选项卡中选中“已启用” ，然后单击“确定”按 钮。
任务概述
泰斯特公司Active Directory域已经部署完成。系统管理 员为各个部门的员工创建了组织单位、组和用户账户。在 使用过程中遇到了一些问题：
部分员工觉得用户账户的密码（默认需使用复杂密码）容易输入错 误；
财务部为保证数据安全须禁止使用移动存储设置，在计算机BIOS 中禁用了USB接口造成USB接口的键盘、鼠标也无法使用，员工询 问系统管理员能否在保证USB输入设备正常使用的前提下禁用移动 存储设备；
6.3.1 设置密码策略
任务实施
6.3.1 设置密码策略
知识链接
GPO（Group Policy Object，组策略对象）是存储各种策略设置的集合。组策略 是部署 Active Directory 的主要理由之一，因为他允许管理用户和计算机对象。在 Active Directory域环境中，为每个组织单位设置不同的组策略，须为每个组织单 位建立一个或多个GPO。能够链接GPO的容器有站点、域、组织单位，一个容器 可以链接多个GPO，同一个GPO也可被多个容器链接。 “Default Domain Policy”是一个Active Directory域中默认的GPO，他被域链 接，作用范围是整个域内的所有计算机和用户。 Active Directory域中针对所有域控制器也有一个默认的GPO“Default Domain Controllers Policy”，如系统管理员更改了此GPO并和“Default Domain Policy”存在策略冲突，则以“Default Domain Controllers Policy”设置的策略 优先。
情感提示
在组策略管理工具中可设置“策略”和“首选项”，二者的 区别为：“策略”是强制的，用户无法更改；“首选项”是 非强制性的，他是一个初始配置，用户可更改。二者设置项 存在冲突时以“策略”设置为准，管理员要根据网络的实际 需求选择使用何种设置。
任务实施
6.3.1 设置密码策略
任务实施
步骤4：在“密码必须符 合复杂性要求 属性”对 话框的“安全策略设置” 选项卡中选择“定义这 个策略设置”（默认已 选中），选中“已禁 用”，然后单击“确定” 按钮，则取消了密码复 杂性要求。