第13周:项目6.使用组策略管理用户和计算机(1)
Windows Server活动目录企业应用Windows Server使用组策略管理用户工作环境
Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。
本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。
将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。
本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。
四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。
图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。
这样,只更改一个GPO,就能管理成千上万地计算机或用户。
组策略对象是应用于选定用户与计算机地设置地集合。
组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。
通过链接,一个GPO可与AD DS地多个容器关联。
反过来,多个GPO也可链接到一个容器。
一.域策略域级策略只影响属于该域地用户与计算机。
默认情况下存在两个域级策略,如表六-一所示。
表六-一默认域级策略(域策略,域控制器策略)可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。
例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。
又如,GPO可限制某个组织单位用户地桌面环境。
二.本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。
此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。
组策略的使用以及备份恢复等
通过调整组策略处理顺序,可以确保关键设置优先处理,从而提高效 率。
使用组策略缓存
启用组策略缓存可以减少网络流量并提高性能,因为缓存允许计算机 在本地存储和处理组策略设置。
05 总结与展望
关键知识点回顾
组策略的基本概念
组策略是Windows操作系统中 用于集中管理和配置用户及计 算机环境的一组设置。
组策略对象(GPO)的组 成
组策略对象包括组策略容器和 组策略设置两部分,其中容器 用于存储设置,而设置定义了 要应用的策略和规则。
组策略的应用范围
组策略可以应用于用户或计算 机,用于控制用户环境、软件 部署、安全设置等方面。
组策略的备份与恢复
为了防止组策略设置丢失或损 坏,需要定期备份组策略对象 ,并在必要时进行恢复。
未来发展趋势预测
1 2
云计算与组策略的整合
随着云计算的普及,未来组策略可能会与云计算 技术相结合,实现更灵活、高效的管理和配置。
人工智能在组策略中的应用
人工智能技术的发展将有助于自动化组策略的管 理和优化,提高管理效率并减少人为错误。
3
组策略与其他管理工具的集成
为了提供更全面的管理解决方案,组策略可能会 与其他系统管理工具进行集成,形成统一的管理 平台。
右键点击该GPO,选择“备份”选项。 点击“备份”按钮,等待备份完成。
使用第三方工具进行备份
可以使用如“组策略备份与恢复 工具”等第三方工具进行组策略
对象的备份。
这些工具通常提供更多的备份选 项和高级功能,如计划备份、增
量备份等。
使用第三方工具进行备份时,需 要按照工具的说明进行操作。
恢复已删除或损坏的组策略对象
适用范围及对象
组策略完全使用手册
组策略完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现;其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能;一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂;而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的;其实简单地说,组策略设置就是在修改注册表中的配置;当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大;2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中;早期系统策略的运行机制是通过策略管理模板,定义特定的POL通常是文件;当用户登录时,它会重写注册表中的设置值;当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置;而组策略及其工具,则是对当前注册表进行直接修改;显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory活动目录对象即站点、域或组织单位并对其进行设置;这是以前“系统策略编辑器”工具无法做到的;当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已;3.在WindowsXP中运行组策略在Windows2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“”并确定,即可运行组策略;如图1所示;使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开:1打开Microsoft管理控制台可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定;2单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮;3在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮;4在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象;5单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象;6在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理;4.组策略中的管理模板在Windows2000/XP/2003中包含几个ADM文件;这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息;在Windows2000/XP/2003中,默认的管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为:1:默认安装在“组策略”中,用于系统设置;2:默认安装在“组策略”中,用于InternetExplorerIE策略设置;3:用于Windows MediaPlayer设置;4:用于NetMeeting设置;在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM 文件;单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行;返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了;注意:下面的操作均在WindowsXP中进行;二、个性化我的电脑1.删除“开始”菜单中的“文档”菜单项在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息;因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过修改组策略来实现;位置:\用户配置\管理模板\任务栏和“开始”菜单\启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们;如果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中;如图2所示;注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式;另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录;位置:\用户配置\管理模板\任务栏和“开始”菜单\如果禁用该策略设置,系统就会在用户退出时删除快捷方式;因此,用户登录时,“开始”菜单上的文档菜单总是空的;如果禁用或不配置此设置,系统将保留文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同;注意:系统在\DocumentsandSettings\\Recent文件夹中的用户配置文件中保存文档快捷方式;2.删除“开始”菜单中的“运行”菜单项在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序;我们可以将“运行”菜单项从“开始”菜单中删除;位置:\用户配置\管理模板\任务栏和“开始”菜单\如果启用该设置,发生如下更改:1“运行”命令从“开始”菜单中删除;2新建任务运行命令从任务管理器删除;3阻止用户在IE地址栏中输入下列项:UNC路径:\\<server>\<share>;访问本地驱动器:例如,C:;访问本地文件夹:例如,\temp>;同时,使用WIN+R组合键将无法显示“运行”对话框;如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏;注意:这个策略只影响指定的界面;不会防止用户使用其他方法运行程序;3.给“开始”菜单减肥如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除;位置:\用户配置\管理模板\任务栏和“开始”菜单\在组策略右侧窗格中,提供“从‘开始’菜单删除用户文件夹”、“删除到‘WindowsUpdate’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目;你只要将不需要的菜单项所对应的策略启用即可;4.隐藏和禁用桌面上的所有项目该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目;位置:\用户配置\管理模板\桌面\该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目; 5.退出时不保存用户设置该策略用于防止用户保存对桌面的某些更改;位置:\用户配置\管理模板\桌面\如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存;6.启用/禁用“活动桌面”ActiveDesktop活动桌面是Windows 98及以后版本或安装了IE的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示;但出于对安全和性能的考虑,有时候我们需要禁用这一功能并且防止用户启用它;位置:\用户配置\管理模板\桌面\ActiveDesktop提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略;如果“禁用Active Desktop和Web视图”设置在“用户配置\管理模板\Windows 组件\Windows资源管理器”被启用,ActiveDesktop就会被禁用,并且这两个策略都会被忽略;7.从“我的电脑”中删除共享文档当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中;使用此设置,你可选择不显示这些项目;位置:\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现;如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现;8.不要将已删除的文件移到“回收站”当Windows资源管理器中的一个文件或文件夹被删除时,该文件或文件夹的副本会被放在“回收站”里;使用此策略,你能改变此行为;位置:\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里,因此被永久删除;如果禁用或不配置此设置,使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里;三、利用组策略进行系统设置1.登录时不显示欢迎屏幕为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时将WindowsXP欢迎屏幕隐藏;位置:\用户配置\管理模板\系统\要显示欢迎屏幕,请依次单击“开始→程序→附件→系统工具”选项,然后单击“开始”选项;要在不指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项;注意:这项设置出现在“计算机配置”和“用户配置”文件夹中;如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先;2.配置驱动程序查找位置默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、WindowsUpdate等位置搜索驱动程序;此设置配置查找到新硬件时Windows将要搜索驱动程序的位置;位置:\用户配置\管理模板\系统\如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中的任何位置;如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、光盘驱动器和WindowsUpdate等位置中搜索驱动程序;3.关闭自动播放一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取;这会造成程序的设置文件和在音频媒体上的音乐立即开始;该策略将关闭自动运行功能;位置:\用户配置\管理模板\系统\如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行;注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;另外,此设置不阻止自动播放音乐CD;4.只运行许可的Windows应用程序该策略可以限制用户可以运行的Windows程序;位置:\用户配置\管理模板\系统\如果你启用这个设置,用户只能运行你加入“允许运行的应用程序列表”中的程序;这个设置只能防止用户从Windows资源管理器启动程序;无法防止用户用其他方式启动程序,例如任务管理器;如果用户可以访问命令提示符窗口,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序;注意:要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称例如,、、;如图3所示;5.删除任务管理器当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框;任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序包含系统服务、搜索程序的执行文件名、更改程序运行的优先顺序;在这里,我们可以通过组策略删除任务管理器;位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项\如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是一个策略禁止了这个操作;6.删除改变“密码”选项该策略可以防止用户通过任务管理器更改系统密码;位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项\这个设置停用Windows安全设置对话框上的“更改密码”按钮;但是,用户在得到系统提示时依旧可以更改密码;管理员要求新密码和密码作废时,系统会提示用户输入新密码;7.不允许运行WindowsMessengerWindows XP自带有聊天工具Windows Messenger,但是,我们也有可能在系统中安装MSNMessenger;该策略允许你禁用Windows Messenger;位置:\用户配置\管理模板\Windows组件\Windows Messenger如果启用该策略,WindowsMessenger将不会运行;如果禁止或不配置该策略,WindowsMessenger可以被使用;注意:如果启用这个策略,远程协助无法使用WindowsMessenger;另外,这个策略也会出现在“计算机配置”中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;8.关闭系统还原功能系统还原是WindowsXP/2003中集成的强大功能,它在系统运行的同时,备份被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态;默认情况下,系统还原处于打开状态; 但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多;对于配置不高的计算机来说,强烈建议关闭此功能;位置:\计算机配置\管理模板\系统\系统还原\关闭系统还原启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”;四、利用组策略调整上网设置1.禁用导入和导出收藏夹禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie;如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹;注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息;2.禁用更改“高级”选项卡的设置禁止用户更改“Internet选项”对话框中“高级”选项卡上的设置;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,则用户无法更改高级Internet设置,如安全、多媒体和打印;用户无法选中“高级”选项卡上的复选框,也不能清除这些复选框的复选标记;如果禁用该策略或不对其进行配置,则用户可以选择或清除“高级”选项卡上的设置;如果设置了位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁用高级页”策略将删除界面上的“高级”选项卡;3.对拨号连接使用“自动检测”属性自动检测在浏览器第一次启动时使用DHCP动态主机配置协议或DNS服务器来自定义浏览器;该策略指定自动检测用于用户的拨号设置的配置; 位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该设置,自动检测将配置用户的拨号设置;如果禁用该配置或不配置,自动检测不会配置用户的拨号设置,除非用户指定;4.禁用Internet连接向导禁止用户运行Internet连接向导;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰;用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导;如果禁用该策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置;注意:该策略与位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面上的“连接”选项卡;从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导;5.禁用表单的自动完成功能禁止IE自动完成表单,如填写用户以前在网页中输入过的姓名或密码;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“表单”复选框将变灰;单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮,即可出现“表单”复选框;如果禁用该策略或不对其进行配置,则用户可以启用表单的自动完成功能;位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略;如果启用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面板”中“InternetExplorer属性”对话框中的“内容”选项卡;注意:如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容;6.配置媒体浏览栏属性媒体浏览器栏播放来自Internet的音乐和视频内容,该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放;位置:\用户配置\管理模板\Windows组件\InternetExplorer如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏;自动播放功能也被禁用;当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容;如果启用媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏;管理员也可以打开和关闭自动播放功能;该设置只在媒体浏览器栏启用时应用;如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容;如果不选择,系统上的默认媒体客户端将播放内容;7.禁用右键快捷菜单禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单;位置:\用户配置\管理模板\Windows组件\InternetExplorer\浏览器菜单如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单;如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单;8.自定义IE标题栏我们可以利用组策略自定义出现在IE和OE标题栏中的文本;无论软件包中是否有OE或者用户计算机上已经安装了OE,都将更新OE标题栏;位置:\用户配置\管理模板\Windows设置\InternetExplorer维护\浏览器用户界面\浏览器标题请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入希望的文本;注意:在选择某个位图时,要确保颜色与文本的对比度;这为用户确保了更高程度的可读性;9.自定义IE工具按钮我们可以利用该策略个性化出现在IE中的工具栏,给你一定的灵活性和设计机会;可以使用的元素包括用于标准工具栏按钮例如“搜索”和“历史”的工具栏背景和图标外观;位置:\用户配置\管理模板\Windows设置\InternetExplorer维护\浏览器用户界面\浏览器工具栏自定义在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题必需”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本;必须指定该按钮的标题或标签;建议的最大长度是10个字符;在“工具栏操作作为脚本文件或可执行文件,必需”框中,键入脚本文件或可执行文件的名称,或者单击“浏览”按钮查找文件;必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件;在“工具栏颜色图标必需”框中,键入表示按钮为活动状态的文件的名称,或者单击“浏览”按钮查找该文件;必须指定出现在工具栏上的按钮的彩色图标;图标由活动和非活动状态的20×20像素的图像组成;在“工具栏灰度图标必需”框中,键入出现在黑白监视器上的工具栏的灰度图标文件名和位置,或者单击“浏览”按钮查找文件;必须指定显示在工具栏上按钮的灰度图标;选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮;五、利用组策略设置优化网络环境1.禁止访问网络连接组件的属性“本地连接属性”对话框包括连接时使用的网络组件列表;要查看或更改组件属性,请单击组件名称,然后单击组件列表下面的“属性”按钮,如图4所示;该策略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络连接组件的“属性”按钮;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会为管理员禁用“属性”按钮;无论“为管理员启用网络连接设置”设置启用与否,用户都不可以访问连接组件;如果禁用或不配置“为管理员启用网络连接设置”;如果禁用或不配置此设置,将为用户启用“属性”按钮;2.禁用TCP/IP高级配置确定用户是否可以配置TCP/IP设置;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户包括管理员禁用“Internet协议TCP/IP属性”对话框上的“高级”按钮;因此,用户不能打开“高级TCP/IP设置”对话框并修改IP设置例如,DNS 和WINS服务器信息;如果禁用此设置,则启用“高级”按钮,并且所有用户均可打开“高级TCP/IP设置”对话框;注意:此设置会由禁止访问连接属性或连接组件属性的设置取代;如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法访问用于TCP/IP配置的“高级”按钮;不管此设置如何,非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限;在用户退出系统之前,将此设置从“启用”更改为“未配置”不会启用“高级”按钮;3.禁止添加或删除用于网络连接或远程访问连接的组件“安装”按钮可打开用来添加网络组件的对话框;单击“卸载”按钮可删除组件列表中的选定组件;“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中;这些按钮位于“常规”选项卡和“网络”选项卡上;该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会禁用用于连接组件的“安装”和“卸载”按钮,并且不允许用户访问“Windows组件向导”中的网络组件;如果禁用或不配置此设置,就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮;同样地,用户可以访问“Windows组件向导”中的网络组件;4.禁止访问网络连接的属性右键单击“网上邻居”图标,在打开的快捷菜单中可以看到“属性”菜单项,用于打开网络连接属性对话框,该策略确定用户是否可以更改网络连接的属性;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户禁用“属性”菜单项,而且用户不能打开“连接属性”对话框;如果禁用或不配置此设置,右键单击“网上邻居”的图标时,就会出现“属性”菜单项;同样地,当用户选择此连接时,就会启用“文件”菜单上的“属性”菜单项;注意:此设置优先于操作“局域连接属性”对话框内的功能的可用性设置;如果启用此设置,用户将不可使用网络连接的属性对话框内的任何功能;5.更改所有用户远程访问连接的属性该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性;此设置确定是否启用“属性”菜单项,以及远程访问连接属性对话框是否对用户可用;位置:\用户配置\管理模板\网络\网络连接\如果启用此设置,任何用户右键单击用来进行远程访问连接的图标时,就会出现“属性”菜单项;同样地,当任何用户选择连接时,“文件”菜单上就出现“属性”;如果禁用此设置并启用“为管理员启用网络连接设置”设置,就会禁用“属性”菜单项,并且用户包括管理员无法打开远程访问连接对话框;如果不配置此设置,则只有管理员才可以更改所有用户远程访问连接的属性;注意:此设置优先于操作远程访问连接属性对话框内的功能的可用性设置;如果禁用此设置,则用户不可使用用于远程访问连接的属性对话框内的任何功能;再谈组策略--Windows组策略应用全攻略一、什么是组策略一组策略有什么用说到组策略,就不得不提注册表;注册表是Windows系统中保存系统、应用软件配置的数。
Windows组策略管理
自定义设置
组策略允许管理员根据需要为不同 的计算机或用户组创建自定义的配 置文件,以满足特定的需求。
简化管理
通过使用组策略,管理员可以一次 性解决多个计算机的配置问题,从 而减少了在每台计算机上单独进行 配置的时间和精力。
组策略的优点和限制
优点
集中管理:通过使用组策略,管理员可以在中央位置对多个计算机进行配置和管理 ,提高了管理效率。
1. 检查权限:确保你有足够的权限来修改和应用组策略 。如果没有足够的权限,你需要联系管理员获取更高的 权限。
05
组策略的案例和实战演 练
案例一:使用组策略管理用户权限和设置
总结词:通过组策略可以方便地管理用户权限和设置, 确保不同用户在系统中的使用体验和权限分配。
详细描述
1. 打开组策略编辑器,依次点击“开始”菜单、“运行 ”命令,输入“gpedit.msc”并回车。
可以配置各种策略选项,如密 码策略、账户策略、共享文件 夹权限等。
组策略的复制与备份
在“组策略管理”控制台中,找到要复 制或备份的组策略对象,右键单击它,
然后选择“复制”。
选择要复制到的目标位置,输入一个名 称来标识复制的组策略对象,然后单击
“确定”。
若要备份组策略对象,右键单击它,然 后选择“备份”。选择一个备份目标文 件夹,输入一个名称来标识备份文件 策略来统一管理和控制多个计算
机和用户的行为。
组策略可以用于配置各种系统设 置,如桌面壁纸、密码策略、文
件和文件夹的访问权限等。
组策略的功能和作用
集中管理
组策略允许管理员从中央位置 对多个计算机进行管理和配置 ,从而减少了在每台计算机上
进行手动设置的需求。
然后单击“确定”。
组策略的作用和功能
组策略的作用和功能本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
例如,可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。
此外,还可添加能在计算机上(在计算机启动或停止时,以及用户登录或注销时)自动运行的脚本,甚至可配置Internet Explorer。
组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境,更加方便地管理整个网络。
但伴随着灵活性而来的是复杂性。
如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。
如果能够正确、灵活地运用组策略,就能使Windows系统发挥出更加强大的功能,为个人用户和企业用户带来更大的利益。
策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory对象并对它进行设置。
2,日常工作中,在windows单机模式下,组策略中有很多比较有用的功能,例如,本地安全策略。
本地安全策略是对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。
例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。
这些安全设置分组管理,就组成了的本地安全策略!。
组策略作用范围
组策略作用范围组策略是Windows操作系统中的一项重要功能,它可以用来管理计算机和用户的配置。
通过组策略,系统管理员可以集中管理计算机网络中的各种设置,包括安全设置、网络设置、软件安装等。
组策略的作用范围是指它所能影响到的对象的范围,包括计算机对象和用户对象。
一、计算机对象的作用范围计算机对象是指在Windows域中的计算机账户。
通过组策略,可以对计算机对象进行一系列的配置和管理。
计算机对象的作用范围主要包括以下几个方面:1. 安全设置:组策略可以用来配置计算机的安全设置,包括密码策略、用户权限、防火墙设置等。
管理员可以通过组策略确保计算机的安全性,防止未经授权的访问和操作。
2. 网络设置:组策略可以用来配置计算机的网络设置,包括IP地址、DNS服务器、代理服务器等。
管理员可以通过组策略统一管理计算机的网络配置,提高网络的稳定性和安全性。
3. 软件安装:组策略可以用来配置计算机的软件安装策略,包括安装、卸载和更新软件。
管理员可以通过组策略控制计算机上的软件安装,确保计算机上的软件版本统一和安全。
4. 系统配置:组策略可以用来配置计算机的系统设置,包括桌面背景、屏幕保护程序、电源管理等。
管理员可以通过组策略统一配置计算机的系统设置,提供用户体验和工作效率。
二、用户对象的作用范围用户对象是指在Windows域中的用户账户。
通过组策略,可以对用户对象进行一系列的配置和管理。
用户对象的作用范围主要包括以下几个方面:1. 安全设置:组策略可以用来配置用户的安全设置,包括密码策略、访问权限、账户锁定策略等。
管理员可以通过组策略确保用户账户的安全性,防止未经授权的访问和操作。
2. 桌面设置:组策略可以用来配置用户的桌面设置,包括桌面背景、屏幕保护程序、桌面图标等。
管理员可以通过组策略统一配置用户的桌面设置,提供统一的用户体验。
3. 软件安装:组策略可以用来配置用户的软件安装策略,包括安装、卸载和更新软件。
管理员可以通过组策略控制用户账户上的软件安装,确保软件版本统一和安全。
组策略管理计算机
组策略管理计算机
1.什么是组策略管理计算机
组策略是Windows操作系统中的一种管理工具,它可以用来管理计算机和用户的设置和配置。
组策略管理计算机能够让管理员通过集中的方式来管理计算机和用户的安全策略、软件设置以及系统配置等方面。
在企业中,许多计算机都是连在一起的,组策略管理计算机可以让管理员对这些计算机的配置进行集中控制,统一管理。
通过组策略,管理员可以对指定的操作系统用户或计算机进行指定策略的配置,大幅度提高了系统安全性和管理效率。
2.组策略管理计算机的优点
1.算法高效:组策略管理计算机能够快速而准确地完成计算机配置更新,避免了人工修改配置的错误。
2.统一管理:管理员可以通过组策略管理工具对所有计算机进行一致的设置,统一管理不同计算机的配置。
3.提高效率:组策略工具可以让管理员在短时间内完成大量计算机的管理任务,提高了管理效率。
4.提高安全性:管理员可以通过组策略工具设置计算机和用户的安全策略,限制用户的权限,增强了系统安全性。
3.组策略管理计算机的使用方法
1.打开“组策略管理器”。
在“控制面板”中找到“管理工具”,然后点击“组策略管理器”。
2.在左侧面板中选择“组策略对象编辑器”,然后找到需要编辑的策略。
3.右键点击目标策略,在弹出的菜单中选择“编辑”。
4.在“组策略对象编辑器”中进行配置,然后保存。
5.将修改的组策略应用到相应的计算机或用户上。
4.总结
组策略管理计算机是一种非常便捷、高效的管理工具,大大提高了计算机系统的管理效率和安全性。
因此,它在企业中使用越来越广泛,深受管理者们的青睐。
组策略的配置与管理
组策略的配置与管理一、组策略的概念及作用组策略是Windows操作系统中的一种重要管理工具,它可以对计算机或用户进行一系列的配置和管理。
通过组策略,管理员可以对网络中的计算机和用户进行统一的管理,从而提高网络安全性、降低维护成本和提高工作效率。
二、组策略的配置与管理方法1. 打开组策略编辑器在Windows操作系统中,打开组策略编辑器有两种方法:一种是在运行窗口中输入“gpedit.msc”命令;另一种是在控制面板中选择“管理工具”->“本地安全策略”。
2. 配置计算机配置和用户配置在组策略编辑器中,有两个主要选项:计算机配置和用户配置。
管理员可以根据需要分别对这两个选项进行配置。
其中,计算机配置包括Windows设置、安全设置、软件设置等;用户配置包括Windows设置、安全设置、脚本设置等。
3. 配置组策略对象管理员可以选择要应用某个组策略的对象。
例如,可以选择应用某个组策略到特定的计算机或用户上。
4. 配置组策略规则在每个选项卡下面都有很多不同的规则可供管理员进行配置。
例如,在“Windows设置”->“安全设置”中,管理员可以配置密码策略、账户锁定策略等。
5. 配置组策略优先级如果不同的组策略规则之间存在冲突,那么就需要根据优先级来确定哪个规则会被应用。
管理员可以在组策略编辑器中为不同的规则设置优先级。
三、常见的组策略配置和管理案例1. 禁用USB存储设备在计算机配置中,选择“Windows设置”->“安全设置”->“本地策略”->“安全选项”,找到“可移动存储访问控制”,将其禁用即可禁止使用USB存储设备。
2. 配置密码策略在计算机配置中,选择“Windows设置”->“安全设置”->“账户策略”->“密码策略”,可以对密码长度、是否启用复杂性要求等进行配置。
3. 禁止用户更改壁纸在用户配置中,选择“管理模板”->“控制面板”->“个性化”,找到“阻止改变桌面背景”,将其启用即可禁止用户更改壁纸。
使用windows组策略对计算机进行安全配置
综合性实验项目名称:使用windows组策略对计算机进行安全配置一、实验目的及要求:1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件,计算机和用户策略。
2.我们通过实验,学会使用组策略对计算机进行安全配置。
二、实验基本原理:组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。
三、主要仪器设备及实验耗材:PC机一台,Windows2000系统,具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高于用户配置中的级别策略五、实验内容与步骤1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。
依次进行以下实验:(1)隐藏驱动器平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。
1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示图6-1 使用策略前,“我的电脑”2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2隐藏驱动器3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示图6-3 使用策略后,“我的电脑”(2).禁止来宾账户本机登录使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。
但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。
我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示图6-4 选择用户和组采取拒绝本地登录策略,如图6-5所示图6-5 拒绝本地登录(3).开启审核策略在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上,我们可以看到它可以审核策略更改,登录事件,对象访问,过程追踪,目录服务访问,特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录,关闭系统或更改过哪些策略等等,如图6-6所示图6-6 审核策略我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。
使用组策略配置域中任务计划
使用组策略配置域中任务计划组策略(Group Policy)是Windows域中一种集中管理计算机和用户配置的技术。
通过使用组策略,管理员可以轻松地配置和部署计算机和用户的设置,以便满足组织的安全性、合规性和操作需求。
其中一种常见的使用组策略的场景是配置任务计划。
在本文中,将介绍如何使用组策略配置域中的任务计划。
如果要配置计算机级别的任务计划,可以展开"计算机配置",然后选择"Windows 设置" -> "安全设置" -> "任务计划程序"。
在右侧的窗格中,可以看到数个可配置的选项。
要创建一个新的任务计划,可以使用右侧窗格中"任务计划程序库"的选项。
右键单击"任务计划程序库",选择"新建任务计划"。
在弹出的对话框中,指定新任务计划的名称和描述。
然后点击"下一步"。
在下一步中,可以选择计划任务执行的触发器。
可以根据需要选择不同的触发器类型,例如在每天指定时间执行、在登录时启动或在特定事件发生时执行。
选择合适的触发器后,点击"下一步"。
在下一步中,可以指定要执行的操作。
可以选择运行程序、脚本或发送电子邮件等操作。
根据不同操作的需求,选择合适的选项,并配置相关的参数。
完成后,点击"下一步"。
在下一步中,可以选择任务计划的安全选项。
这些选项包括指定运行任务的账户、配置运行任务时的权限以及是否将任务计划设置为隐藏。
根据组织的需求进行相应的配置,并点击"下一步"。
在最后一步中,可以对任务计划进行最后的概述和配置检查。
确认任务计划的设置无误后,点击"完成"。
现在已经创建了一个新的任务计划。
要配置任务计划的其他设置,可以在任务计划程序库中选择相应的任务计划,然后右键单击并选择"属性"。
网络管理实验6 利用组策略来管理用户环境
实验6 利用组策略来管理用户环境
一、实验目的:
组策略中的配置分为“计算机配置”和“用户配置”两类。
根据网络管理的需要,将分别利用组策略中“计算机配置”和“用户配置的功能特性,实现对用户环境的配置。
二、实验内容:
“组策略编辑器”窗口
设置是否启用组策略配置
“密码策略”设置窗口
“账户锁定策略”设置窗口
“用户权限分配”设置窗口
“安全选项”设置窗口
组策略中设置信息
“脚本策略”设置窗口
“登陆属性”对话框
将“登录”脚本文件login.vbs复制到文件夹内
添加脚本名称和参数
选取“我的文档”的“属性”菜单项
设置“我的文档”的重定向
退出页面
登陆页面
用户端“我的文档”被重定向后的显示。
组策略简介
1 什么是组策略?在Windows 2000/Windows Server 2003操作系统中,您(系统管理员)使用“组策略”为用户和计算机组定义用户和计算机配置。
您通过使用“组策略”Microsoft 管理控制台 (MMC) 管理单元为特定用户和计算机组创建具体的桌面配置。
所创建的“组策略”配置包含在一个“组策略对象”(GPO) 中,该对象转而又与选定的 Active Directory服务容器如站点、域或组织单位 (OU) 等关联。
2 组策略可以干什么?管理员使用组策略来为计算机和用户组指定桌面配置的选项。
组策略包括基于注册表的策略设置、安全设置、软件安装、脚本和文件夹重定向。
使用“组策略”管理单元,您可以指定下列各项的策略设置:·基于注册表的策略。
包括 Windows 2000/Windows Server 2003 操作系统及其组件以及应用程序的组策略。
要管理这些设置,您可以使用“组策略”管理单元的“管理模板”节点。
·安全性选项。
包括针对本地计算机、域和网络安全设置的选项。
·软件安装和维护选项。
用来集中管理应用程序的安装、更新和删除。
·脚本选项。
包括用于计算机启动和关闭,以及用户登录和注销的脚本。
·文件夹重定向选项。
允许您将用户的特殊文件夹重定向到网络。
使用组策略,您就可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略。
本文将就以上内容中比较常用的部分进行介绍。
3 如何使用组策略安装软件?3.1在组策略编辑器中的位置对计算机中的每个用户:计算机配置>>软件设置>>软件安装对当前登录的用户:用户配置>>软件设置>>软件安装3.2 原理在成员计算机重新启动时,系统会自动检测是否有组策略需要应用。
一旦发现当前计算机或用户的组策略结果集中指定了软件安装或升级,则成员计算机会自动从共享路径安装所指定的软件。
组策略的配置与管理
组策略的配置与管理组策略的配置与管理1. 引言组策略是一个非常重要的管理工具,可以帮助管理员更有效地管理计算机系统和用户。
通过组策略,管理员可以配置和管理大量计算机的设置,如网络连接、安全设置、软件安装和用户权限等。
本文将探讨组策略的配置与管理,包括如何创建和编辑组策略以及如何将其应用于特定的计算机或用户。
2. 组策略的概念组策略是一组在活动目录中定义的配置规则,用于控制计算机和用户的行为。
这些规则可以被应用于特定的组织单位,如域、组织单元或站点。
组策略可以以层次结构的方式组织,从而实现对不同组织单位或计算机的差异化管理。
3. 创建和编辑组策略在Windows操作系统中,可以使用“组策略管理器”来创建和编辑组策略。
打开组策略管理器并选择要管理的组织单位。
可以通过右键点击“组策略对象”并选择“创建组策略对象”来创建新的组策略。
接下来,可以对组策略进行各种设置,如配置安全设置、设置软件安装和卸载、配置网络设置等。
通过编辑组策略设置,管理员可以根据实际需求来限制或开放特定功能和权限。
4. 组策略的应用一旦创建和编辑完组策略,就需要将其应用到特定的计算机或用户上。
可以通过将组策略链接到域、组织单元或站点来应用组策略。
还可以通过过滤器设置来限制组策略的应用对象,如特定用户、计算机或组织单位。
应用组策略后,用户登录或计算机启动时,组策略将自动应用并生效。
5. 组策略的管理组策略的管理包括对现有组策略的监控、更新和修改。
管理员可以使用组策略管理器来查看已应用的组策略,并验证其效果。
如果需要更新组策略,可以在组策略管理器中编辑并重新应用。
还可以通过备份和恢复组策略设置来保护和恢复组策略的配置。
对于大型组织,可以考虑使用组策略管理工具来集中管理和监控组策略的配置。
6. 组策略的注意事项在配置和管理组策略时,需要注意以下几点。
- 了解组策略的影响范围和优先级,以确保设置的生效顺序和覆盖关系。
- 谨慎使用和配置组策略,以避免意外限制用户的正常操作和访问。
利用组策略进行系统设置与调整上网设置
03
上网设置
浏览器设置
浏览器首页设置
通过组策略设置浏览器首页为特定网页,方便用户快速访问常用 网站。
禁用浏览器插件
为了提高浏览器的安全性和运行效率,可以通过组策略禁用不需 要的浏览器插件。
自动填写表单
设置浏览器自动填写表单功能,节省用户手动输入的时间和精力 。
网络防火墙设置
01
防火墙开启与关闭
详细描述
组策略的优点在于其集中管理功能,允许管理员从中央位置管理和配置多台计算机的设置。此外,组策略还提供 了高效配置方式,可以快速部署和更新系统设置。最重要的是,组策略提供了安全可靠的机制,可以限制用户和 计算机的行为,确保系统的安全稳定运行。
02
系统设置
桌面设置
桌面背景
通过组策略设置桌面背景图片、颜色和屏幕保护 程序,提升用户视觉体验。
设置、安全设置等。
组策略模板
创建组策略模板
通过组策略编辑器,可以创建自定义的组策略 模板,以便快速部署到其他计算机或用户。
编辑组策略模板
在模板中,可以定义各种策略设置,包括软件 安装、系统设置、安全设置等。
应用组策略模板
将创建的组策略模板应用到目标计算机或用户,以实现统一的系统设置和上网 配置。
组策略部署与测试
图标显示
自定义系统图标,如计算机、网络、用户文件夹 等,以符合企业形象或用户个人喜好。
屏幕分辨率
根据用户需求和显示设备性能,调整屏幕分辨率 以优化显示效果。
开始菜单设置
开始菜单布局
01
自定义开始菜单中应用程序的显示方式,如添加、删除、重命
名等。
电源按钮
02
设置关机、重启、睡眠等电源按钮的功能,以满足企业或用户
第四讲 组策略的基本原理和使用组策略管理用户环境精品PPT课件
随堂练习2
你是活动目录域的管理员。网络中 只有一个域,所有域服务器安装Windows Server 2003系统。公司购买了一台新的服 务器用于测试应用程序。公司的安全策略 要求半小时内三次使用错误密码登录,账 户将被锁定。你发现新的服务器的账户在 锁定半小时后又能登录。你要确保公司的 安全策略,应当如何做?
随堂练习1
你是活动目录域的管理员。网络中只有 一个域,所有域服务器安装Windows Server 2003 系统。所有3500个用户账户保存在默认用户容器 中。所有用户的部门属性都已经设置好。你现 在需要将所有部门属性设置为Sales的账户放在 Sales OU中。由于时间紧急,你希望自动完成添 加过程。你应当执行哪两个步骤?
目的: 介绍组策略在管理用户和计算机
环境中的角色
GPO
站点
域
OU
实现组策略对象
组策略 用户和计算机的配置设置 设置本地计算机策略设置 课堂练习 设置本地计算机策略设置
组策略
组策略
组策略设置定义了系统管理员需要管理的用户桌 面环境中各种组件
用户可用的程序 用户桌面上出现的程序以及“开始”菜单选项 为特定用户组创建特殊的桌面配置 可以使用组策略对象编辑器 指定的组策略设置包含在组策略对象中 组策略对象与选定的 Active Directory 对象(即站点 、域或组织单位)相关联
处理组策略对象冲突
冲突解决 在 Active Directory 层次中组策略设置发生冲突时, 应用子容器的组策略对象设置
计算机组策略组策略详解
计算机组策略组策略详解本文主要介绍Windows XP Professional本地组策略的应用。
本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。
其下所有设置项的配置都将保存到注册表的相关项目中。
其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
一、访问组策略有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。
1. 输入gpedit.msc命令访问选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。
但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。
其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
2. 通过控制台访问组策略单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。
单击控制台窗口的“文件”→“添加/删除管理单元”,在弹出窗口单击“添加”(图2),之后选择“组策略”并单击“添加”(图3),在下一步的“选择组策略对象”对话框中选择对象。
由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。
组策略在企业网络管理中的应用-第六小组实训汇报
组策略设置的心得体会(六)
• 最好通过哈希值的方法限制软件 • 因为这样不管员工怎么改名、改路径都
可以限制。
• 可以用Starter GPO的方式建立GPO, 这样 可以方便组策略对象的创建。
使用组策略隐藏一些东西(二)
• 也可以隐藏“我的电脑”里的一些驱动器
限制Windows+X形式的快捷键(一)
• 很多时候, 我们在网吧上网时, 会发现 Windows键不起作用, Windows+D(很实 用的显示桌面的快捷键)、Windows+R (显示“运行”)也不起作用, 这其实是因 为网吧电脑作了限制, 不过它是通过本地组 策略进行限制的, 在企业里, 我们也可以限 制Windows键的使用。这样可以限制用户 对系统高级功能的使用。
限制Windows+X形式的快捷键(二)
• 要注意的是: • 但这只能禁用Windows+X形式的快捷键。
如果仅按Windows键,还是可以弹出“开 始”菜单。 • 要使单独按Windows键时,不弹出“开始” 菜单,可以通过修改注册表的方式得到解 决。
利用组策略部署软件(一)
使用背景: 有时公司需要给公司电脑上安装一些软件, 若一个一个地装,显然不太现实。用组策略部署软件可 方便的实现以上功能。
• 可以限制禁止更改主页设置 • 禁用“Internet选项”菜单项。 • 修改IE浏览器的标题
组策略设置的心得体会(一)
• 关于组策略很常见的问题就是: “我设置了 一个策略,为什么它不生效?”
• 这一方面是由于我们在日常操作时不慎引 起的,另一方面是由于策略相互影响而造 成最终的结果与设想不一致。具体见下页。
网络安全管理员初级工模拟题库及答案
网络安全管理员初级工模拟题库及答案1、配置管理所有配置项信息须准确反应当前IT基础架构状态信息,所有生产环境配置项的更改均须通过变更管理流程进行控制,只允许配置管理员对配置项信息进行()。
A、修改B、添加C、删除D、查询答案:A2、10M以太网有三种接口标准,其中10BASE-T采用:()。
A、双绞线B、粗同轴电缆C、细同轴电缆D、光纤.答案:A3、DHCP创建作用域默认时间是()天。
A、10B、15C、8D、30答案:C4、SSL指的是()?A、加密认证协议B、安全套接层协议C、授权认证协议D、安全通道协议答案:B5、热备的切换时间的影响因素,主要由那方面决定?A、启动服务的实际时间,与环境配置的复杂和数据库存储数据量相关,往往客户实际配置比较复杂,数据库比较庞大,因需启动服务比较长B、共享磁盘陈列的挡挂载,当磁盘陈列的文件系统出现问题同时数据比较多时,白塔该分区时做文件系统检测就比较长C、停止服务实际时间,其所受各种环境备件的影响和启动服务一样D、以上都是答案:A6、由于信息系统分为五个安全保护等级,其安全保护能力是()。
A、逐级递减B、逐级增加C、与等级无关D、与安全技术和安全管理相关答案:B7、灾备中心建成后,须进行()演习,以后每年至少进行()演习。
A、两次,一次B、一次,一次C、一次,两次D、两次,两次答案:B8、心肺复苏法的三项基本措施是()、口对口(鼻)人工呼吸以及胸外按压(人工循环)。
A、疏通血脉B、通畅气道C、气息平稳D、平躺答案:B9、()是指软件系统能够最有效地利用计算机的时间资源和空间资源。
A、可修改性B、有效性C、可靠性D、可维护性答案:B10、系统启停工作应该严格按照相关系统启停作业()进行。
A、变更单B、操作票C、工作票D、指导书答案:D11、信息安全与信息化建设“三同步”是指(),坚持管理与技术并重,从管理体系、风险控制、基础设施和运行服务等方面入手,不断提高信息安全综合防护能力,确保公司网络与信息系统的安全运行。
使用组策略管理域用户
使用组策略管理域用户组策略管理域用户是一种集中管理域内用户的方式,通过组策略可以为用户设定一系列的管理规则和权限,以实现对用户的统一管理。
组策略是Windows操作系统提供的一种重要的管理员工具,可以通过它实现对域内用户的权限控制、安全策略、桌面环境以及部署应用等管理操作。
本文将详细介绍如何使用组策略管理域用户。
组策略的核心概念是“组策略对象(GPO)”。
GPO是一组策略设置的集合,可以设置用户配置和计算机配置两部分。
用户配置适用于用户登录到域时,计算机配置适用于计算机启动时。
创建GPO后,可以将其链接到域、OU或站点,并通过权限和过滤设置来控制策略的应用范围。
接下来,我们将详细介绍如何使用组策略管理域用户的权限控制、安全策略、桌面环境和应用部署等方面。
此外,组策略还可以用于管理用户的桌面环境。
在GPO中,可以设置用户的桌面壁纸、屏幕保护程序、桌面图标等。
此外,还可以设置用户的开始菜单、任务栏等。
最后,组策略还可以用于应用部署。
在GPO中,可以设置应用程序的安装和卸载规则,以实现对用户的应用程序管理。
例如,可以通过GPO将一些应用程序自动安装在用户的计算机上,并实现对应用程序的自动升级和卸载。
在使用组策略管理域用户时,还需要注意以下几点。
首先,要合理规划和设计组策略,以满足实际需求。
例如,可以根据不同用户群体的需求,创建不同的GPO,并将其链接到不同的OU或站点。
其次,要及时更新和维护组策略,以保证其有效性和安全性。
例如,要根据实际情况定期检查和更新密码策略、安全策略等。
最后,要合理设置组策略的应用范围和权限,以保护域内用户的安全和隐私。
总之,组策略是一种重要的管理员工具,可以通过它实现对域用户的统一管理。
通过组策略,可以进行权限控制、安全策略、桌面环境和应用部署等管理操作。
在使用组策略管理域用户时,需要合理规划、及时更新和维护,并合理设置其应用范围和权限。
希望本文对您理解和使用组策略管理域用户有所帮助。
利用组策略防止计算机访问共享资源
03
测试和验证组策略配置
测试组策略配置的方法和工具
在此添加您的文本17字
方法
在此添加您的文本16字
工具
在此添加您的文本16字
使用组策略管理工具:如Microsoft的组策略管理控制台 (GPMC),可以对组策略进行配置和测试。
在此添加您的文本16字
使用命令行工具:如`secedit`,可以在命令行环境下导入 和测试组策略配置。
更新和升级组策略的软件和知识库
保持软件更新
定期检查并更新组策略管理软件,以确保其 功能和安全性。
了解最新知识
关注组策略领域的最新动态和技术发展,不 断学习并更新自己的知识库。
THANKS
谢谢您的观看
然而,组策略也存在一些限制,例如对旧版Windows系统的支持有限,以及可能影响系统性能等。此外,组策略的配置和管 理需要一定的技术水平,对管理员的要求较高。
02
配置组策略以防止计算机访问 共享资源
禁止访问共享资源的用户或计算机
总结词
通过组策略,可以禁止特定用户或计算机访问共享资源,提高安全性。
组策略的功能和作用
组策略提供了丰富的功能,包括软件 安装、配置管理、用户权限管理等。 通过组策略,管理员可以集中管理整 个网络中的计算机,确保所有计算机 都遵循统一的配置标准。
组策略还支持自定义设置,可以根据 组织的需求进行定制包括集中管理、灵活配置、自定义设置等。它能够大大提高管理员的工作效率,减少手动配置的工作量,并确 保整个网络的一致性。
验证组策略是否正确配置:可以通过查看组策略的结果 集,确认组策略是否被正确应用。
安全性
确认组策略配置的安全性:需要检查组策略配置中是否 有潜在的安全风险,如权限设置不当、访问控制不严格 等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.3.1 设置密码策略
企业经验
组策略设置完成后,需要刷新才能够被应用。对于本地计算机而言,会在本地 安全策略有变动时,或在计算机重新启动时刷新策略。对于域控制器而言,当 前设置组策略的域控制器每5分钟自动刷新一次,其他域控制器会在策略被同步 到PDC主机(一般为主域控制器)的15秒后收到复制信息并进行刷新。对于域 内计算机而言,每隔90-120分钟刷新一次,每16小时强制刷新一次。若系统管 理员想立即看到策略效果,则可分别在域控制器和计算机上的命令提示符中运 行“gpupdate /force”(即使组策略未发生变动)来强制刷新策略。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.5 分发软件
针对销售部计算机上统一安装Microsoft Office 2007软件 的问题,可对销售部设置计算机配置策略,指定软件安装 的路径和分发方式。
销售部有个别员工随意修改注册表和控制面板设置影响了计算机的 正常使用,此外该部门因工作需要在计算机上统一安装Microsoft Office 2007软件。
任务分析
由于泰斯特公司Active Directory域
已经按照公司部门进行了逻辑划分,
可对各部门实施不同的组策略以便管
知识链接
理。
组织单位组策略(Group
任务实施
6.3.1 设置密码策略
步骤3:在“组策略管理编辑器”中依次展开“计算机配 置”→“策略”→“Windows设置”→“安全设 置”→“账户策略”,然后双击“密码策略”。在工作区 可看到“密码必须符合复杂性要求”(输入密码必须包含 复杂密码要求的几种字符)已经开启,选中此策略,然后 单击右键,在弹出的右键菜单中选择“属性”命令。(图 见下页)
6.3.2 禁用可移动存储设备
任务实施
步骤5:在“所有可 移动存储类:拒绝所 有权限 属性”对话框 的“设置”选项卡中 选中“已启用”,然 后单击“确定”按钮, 则实现了对可移动存 储设备的禁用。 至此,完成了对可移 动存储设备的禁用。
6.3.2 禁用可移动存储设备
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
针对销售部员工自行修改注册表和控制面
种系统设置方式。可为用户、 组、计算机设定可运行的程
板的问题,可设置禁止访问这些组件。 序、桌面内容、桌面配置、
针对销售部统一部署Office 2007的需求, 可使用软件分发策略来完成。
安全设置等,这些设置最终 保存在注册表中。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
至此,密码策略设置完成。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.2 禁用可移动存储设备
如果在财务部的计算机BIOS中禁用USB接口,则会影响 USB接口的键盘等设备。针对财务部计算机不允许使用U 盘、移动硬盘等需求,可设置针对计算机的策略,禁用可 移动存储设备。
任务实施
6.3.4 禁止访问控制面板
针对销售部有个别员工因修改控制面板造成系统故障的问 题,可对销售部员工设置用户配置策略,禁止用户访问控 制面板。
步骤1:编辑GPO“销售部策略”。在“组策略管理编辑 器”中依次展开“用户配置”→“策略”→“管理模 板”→“控制面板”,在工作区内选中“禁止访问‘控制 面板’”策略,然后单击右键,在弹出的右键菜单中选择 “属性”命令。
任务实施
6.3.3 禁止访问注册表
步骤5:测试策略效果。使用销售部员工用户账户wh登录 计算机并在“开始”→“运行”中输入“regedit” ,然 后单击“确定”按钮。系统会弹出提示,告知用户注册表 编辑器已被系统管理员停用。
至此,已完成对注册表的禁用。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.2 禁用可移动存储设备
步骤1:在“组策略管理”窗口中依次展开“林: ” →“域”→“”,选中组织单位“财 务部”,然后单击右键,在弹出的右键菜单中选择“在这 个域中创建GPO并在此处链接”命令。
任务实施
6.3.2 禁用可移动存储设备
企业经验
GPO可在组织单位中创建并链接,如果是只针对某一组织单位的策略,则选择 此方式。另外,也可先在容器“组策略对象”中建立GPO,再到组织单位中执 行“链接现有GPO”命令,这种方式适用于某几个组织单位链接同一个GPO的 情况。
6.3.1 设置密码策略
任务实施
6.3.1 设置密码策略
知识链接
GPO(Group Policy Object,组策略对象)是存储各种策略设置的集合。组策略 是部署 Active Directory 的主要理由之一,因为他允许管理用户和计算机对象。在 Active Directory域环境中,为每个组织单位设置不同的组策略,须为每个组织单 位建立一个或多个GPO。能够链接GPO的容器有站点、域、组织单位,一个容器 可以链接多个GPO,同一个GPO也可被多个容器链接。 “Default Domain Policy”是一个Active Directory域中默认的GPO,他被域链 接,作用范围是整个域内的所有计算机和用户。 Active Directory域中针对所有域控制器也有一个默认的GPO“Default Domain Controllers Policy”,如系统管理员更改了此GPO并和“Default Domain Policy”存在策略冲突,则以“Default Domain Controllers Policy”设置的策略 优先。
任务实施
6.3.2 禁用可移动存储设备
步骤2:在“新建GPO”对话框中输入GPO的名称,如 “财务部策略”,然后单击“确定”按钮。
任务实施
6.3.2 禁用可移动存储设备
步骤3:选中GPO“财务部策略”,然后单击右键,在弹 出的右键菜单中选择“编辑”命令。
任务实施
步骤4:在“组策 略管理编辑器”中 依次展开“计算机 配置”→“策 略”→“管理模 板”→“系统” , 然后双击“可移动 存储访问”,在工 作区内选中“所有 可移动存储类:拒 绝所有权限”策略, 然后单击右键,在 弹出的右键菜单中 选择“属性”命令。
任务实施
6.3.3 禁止访问注册表
针对销售部有个别员工随意修改注册表的问题,可对销售 部员工设置用户配置策略,禁止其访问注册表。
步骤1:为组织单位“销售部”新建GPO“销售部策略” 并链接(步骤略)。
步骤2:选中GPO“销售部策略”,然后单击右键,在弹 出的右键菜单中选择“编辑” 。
任务实施
任务概述
泰斯特公司Active Directory域已经部署完成。系统管理 员为各个部门的员工创建了组织单位、组和用户账户。在 使用过程中遇到了一些问题:
部分员工觉得用户账户的密码(默认需使用复杂密码)容易输入错 误;
财务部为保证数据安全须禁止使用移动存储设置,在计算机BIOS 中禁用了USB接口造成USB接口的键盘、鼠标也无法使用,员工询 问系统管理员能否在保证USB输入设备正常使用的前提下禁用移动 存储设备;
企业经验
设置软件安装策略时,安装包所在的路径必须是一个网络位置,接受软件分发 的客户端必须具备访问这个共享文件夹权限。可在共享文件上对Everyone组设 置“读取”的共享权限,建议存放于域控制器上,这样Everyone组就可以匹配 Active Directory域内的所有域用户。如果进一步考虑安全性,需将这个共享文 件夹设置隐藏共享名,即在共享名后加“$”,详见项目四相关任务。
任务实施
6.3.1 设置密码策略
步骤1:打开组策略管理工具。依次单击“开始”→“管 理工具”→“组策略管理” 。
任务实施
步骤2:在“组策 略管理”窗口中依 次展开“林: ” →“域”→“test. com”,选中 “Default Domain Policy”, 然后单击右键,在 弹出的右键菜单中 选择“编辑”命令。
步骤3:在“组策略 管理编辑器”中依 次 在工作区内选中 “阻止访问注册表 编辑工具”策略, 然后单击右键,在 弹出的右键菜单中 选择“属性”命令。
6.3.3 禁止访问注册表
任务实施
6.3.3 禁止访问注册表
步骤4:在“组织访问注册表编辑工具 属性”对话框的 “设置”选项卡中选中“已启用” ,然后单击“确定”按 钮。
任务实施
6.3.1 设置密码策略 6.3.2 禁用可移动存储设备 6.3.3 禁止访问注册表 6.3.4 禁止访问控制面板 6.3.5 分发软件
任务实施
6.3.1 设置密码策略
Active Directory域默认的域策略要求用户密码必须满足 密码复杂性要求,在创建用户不满足条件时会弹出提示。 遇到此提示,须按要求设置复杂密码,或修改密码策略以 降低要求,为便于用户使用,本任务将修改密码策略,然 后使用简单。
任务实施
6.3.4 禁止访问控制面板
任务实施
6.3.4 禁止访问控制面板
步骤2:在“禁止访问‘控制面板’ 属性”对话框的“设 置”选项卡中选中“已启用” ,然后单击“确定”按钮。
任务实施
6.3.4 禁止访问控制面板
步骤3:测试策略效果。使用销售部员工用户账户wh登录 计算机,并打开“我的电脑”,单击左侧的“控制面板” 超链接。系统会弹出提示,告知用户控制面板已被限制。