在Windows Server 2003域控制器中打开和使用组策略

Windows2003域控基本策略对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。

当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

域控制器基线策略与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。

域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。

包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

大多数DCBP是MSBP的直接拷贝。

由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。

本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。

下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。

例如，文件Enterprise Client –Domain Controller.inf是企业客户机环境下的安全性模板。

表 4.1: 域控制器基线安全性模板注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。

在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

在Windows Server 2003 域控制器中打开和使用组策略Windows 2000/XP/2003系统默认已经安装了组策略组件，以一台运行Windows Server 2003 (SP^D系统的域控制器为例,在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。

用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC 命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件” t “添加/删除管理单元” 菜单命令，打开“添加/删除管理单元”对话框。

在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

施|扩麻1使用此京采宿坦或孙除控飘向的菩FF草无.I言珑尊芯燧is PJ ISW SSS A图2008112619 “添加/删除管理单元”对话框第3步，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中选中“组策略对象编辑器”选项，并单击“添加”按钮，如图2008112620所示可用的独立管理知元:图2008112620 “添加独立管理单元”对话框第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮， 打开“浏览 组策略”对象对话框。

切换到“计算机”选项卡并选中“另一台计算机”单选 框，单击“浏览”按钮，如图 2008112621所示管理单元 Y 元携监祝器 屈性能日志箱警报 ，希远程息面 句证书 密j 证书跌机构 闻征书模模 梁拦端熊务配置静担伸服务供应商Microsoft Ccrpwra... F5i craioft Cflrp&rA .. Microsoft Corpora..Murotftft Carport... Microsoft Cflrp&ra... Mi erasoftCflrpar*...Mi cr»io£t Ccrp&r * Mierasof tCorpora..Mierotfift Cflrpftr*..."Sji此管理单元允许摩疆辑貌策Directory 中的站点、主域览对象可同Active招梃疆或Hf 存在计算机上-曜器配■困g美闭©图2008112621 “选择组策略对象”对话框第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

组策略命令大全如何打开组策略编辑器？答：运行里输入gpedit.msc系统里提示没有打开组策略这条命令？答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。

2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。

看你要开哪个策略，就添加哪个策略。

一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1.禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除WindowsXP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows98访问WindowsXP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

WindowsServer2003中组策略应用作为一个网络治理员，我们期望有一种方便的、灵活的方法能够操纵整个公司的职员的用户桌面环境，能够给用户安装他们所需要的软件而不用您亲自一台一台地去安装。

在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。

专门是在域模式的情形下，应用组策略能够提供更加方便灵活的功能。

18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统治理员需要治理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上显现的程序以及〝开始〞菜单项选择项。

要为特定用户组创建专门的桌面配置，请使用组策略对象编辑器。

您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的Active Directory 对象〔即站点、域或组织单位〕相关联。

组策略不仅应用于用户和客户端运算机，还应用于成员服务器、域操纵器以及治理范畴内的任何其他Microsoft Windows 2003 运算机。

默认情形下，应用于域的组策略会阻碍域中的所有运算机和用户。

〝Active Directory 用户和运算机〞还提供内置的〝Domain Controllers〞组织单位。

假如将域操纵器帐户储存在那儿，那么能够使用组策略对象〝Default Domain Controllers Policy〞将域操纵器与其他运算机分开治理。

组策略包括阻碍用户的〝用户配置〞策略设置和阻碍运算机的〝运算机配置〞策略设置。

使用组策略可执行以下任务：●通过〝治理模板〞治理基于注册表的策略。

组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的〝User〞或〝Local Machine〞部分。

登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的HKEY_CURRENT_USER (HKCU) 下，而运算机特定设置写在HKEY_LOCAL_MACHINE (HKLM) 下。

了解组策略功能集分步指南本分步指南简要介绍―组策略‖，并说明如何使用―组策略‖管理单元来指定用户和计算机组的策略设置。

本页内容简介概述组策略和Microsoft 管理控制台附录其他资源简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最终将此工作站添加到域中。

后续分步指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

•第一部分：将Windows Server 2003 安装为域控制器•第二部分：安装Windows XP Professional 工作站并将其连接到域在配置通用网络结构后，可以使用任何其他分步指南。

注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署分步指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

在WINDOWS 2003 SERVER上利用域服务器设置管理域用户与计算机的相关操作第一步：安装WINDOWS 2003 SERVER，打补丁，安装防病毒软件，并设置IP地址第二步：在WINDOWS 2003 SERVER添加域服务器1、打开“管理您的服务器” ，选择“添加或删除角色”2、在弹出的“预备步骤”中单击“下一步”3、在“服务器角色”中选择“域控制器（Active Directory）”4、在“选择总结”中单击“下一步”5、在“Active Directory安装向导”中单击“下一步”6、“在操作系统兼容性”中单击“下一步”7、在“域控制器类型”中选择“新域的域控制器”8、在“创建一个新域”中选择“在新林中的域”9、在“新域名”中输入你所建域的名称，也可以是“teacher”“Stu”等等。

10、在“NetBIOS域名”中自己命名NetBIOS域名11、“在数据库和日志文件文件夹”中单击“下一步”12、在“共享系统卷”中单击“下一步”13、在“DNS注册诊断”中单击“下一步”14、在“权限”中单击“下一步”15、在“目录服务还原模式的管理员密码”中输入自行设置的还原密码16、在“摘要”中单击“下一步”17、这时出现下面的界面，系统开始配置Active Directory，并提示插入WINDOWS2003 SERVER安装盘，需要一点时间18、安装完成后显示出下，单击“完成”19、显示“此服务器现在是域控制器”，单击“完成”20、这时，重启计算机。

回到“配置您的服务器向导”，你会发现其中多了“域控制器（Active Directory）”至此，第二步工作完成。

第三步：在域控制器中批量生成用户1、在EXCEL中为每个学生生成一个用户名和密码。

说明：a) WINDOWS 2003 SERVER默认密码要求比较高，如果要给学生设置比较容易记的密码，需要事先更改WINDOWS 2003 SERVER中的设置，具体办法如下：“开始”—“程序”—“管理工具”—“域安全策略”，打开“安全设置”选择“账户策略”—“密码策略”，将其中的“密码必须符合复杂性要求”禁用；并修改“密码长度最小值”。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

所有策略的设置都将保存到注册表的相关项目中。

对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。

访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC控制台中选择GPE插件来实现的。

1、组策略编辑器的命令行启动您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。

（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。

）在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。

当前域环境：在单域中有一些用户、组、计算机帐户，还有三个组织单位（OU），其中财务部还有一个子组织单位“资产管理”，每一个组织单位都有一个委派管理员，左侧有一些要实现的组策略对象（GPO）,本例中域控制器名：jame，域中另一台计算机名：Glasgow。

下面各例用于学习GPO对象的创建、链接、它的冲突解决，继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。

（以下各例都在组策略管理工具中完成，在上一课已经安装了GPMC.MSI这个组策略管理工具）一、强制实现域中所有用户使用统一桌面背景。

1. 实现这一策略如下图：先建立一个统一桌面背景的GPO，把它链接到域，并设置这个GPO 为强制。

2. 准备一张图片，放在一个只读共享文件夹中，并确认在网上邻居中可定位它的UNC路径。

图片的UNC路径是：\\Jame\公用共享\背景.jpg。

3. 打开：开始→管理工具→组策略管理，再展开林→域→Nwtraders.msft→组策略对象，在右侧“内容”中右击，选“新建”。

4. 取一个组策略名5. 对新建的GPO右击选“编辑”，进入组策略对象的编辑。

6. 展开用户配置→管理模板→桌面→Active Desktop，首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。

在右侧窗口，双击“Active Desktop墙纸”并如下设置。

（不要使用图片的本地路径，这样会使网络中其他计算机不能访问，而要使用UNC路径）7. 把“统一背景”这个GPO链接到域：对域右击，选“链接现有GPO”。

对统一背景GPO右击，设置“强制”，使此GPO的组策略继承是强制继承，不能被阻止继承。

8. 用域用户Kaka登陆域测试一下，背景已经有图片，表示部署成功。

二、除了域管理员和委派管理员外所有域用户禁用控制面板。

1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。

对“禁用控制面板”GPO进行编辑。

高级搜索|网站地图|TAG标签1671次”标签，然后在“组策略”选项卡中单击“新建”按钮新建一条组策略Office11Install，如图2008120529所示。

图2008120529 新建组策略第3步，保持Office11Install策略的选中状态，单击“编辑”按钮打开“组策略编辑器”控制台窗口。

在左窗格中依次展开“计算机设置/软件设置”目录，然后右击“软件安装”选项，在弹出的快捷菜单中执行“新建/程序包”命令，如图2008120530所示。

/Repair/398.html2013/5/15 9:07:502013/5/15 9:07:50/Repair/398.html 图2008120530 创建一个新软件安装包小提示：在“计算机配置”和“用户配置”里都有“软件安装”选项，均用于在域内部署软件。

如果软件要部署到域中的计算机中，就在“计算机配置”里定义；如果软件要部署给域中的用户，则应该在“用户配置”里定义。

第4步，在“打开”对话框中通过“网上邻居”找到事先存储在域共享文件夹中的MSI安装文件PRO11.MSI，并单击“打开”按钮。

这时会打开“部署软件”对话框，默认选中“已指派”单选框。

无须进行设置，直接单击“确定”按钮，如图2008120531所示。

图2008120531 在发行程序包前进行部署第5步，返回“组策略编辑器”窗口，可以在右窗格中看到已经指派的软件名称，如图2008120532所示。

图2008120532 要指派的新程序包小提示：MSI（Microsoft Software Installer，微软软件安装器）文件是Windows Installer能够部署的仅有的两种文件类型之一。

Windows Installer提供“发布”和“指派”两种软件部署方式。

“发布”方式不自动为域内客户安装软件，而是把安装选项放到客户机的“添加或删除程序”中，供用户在需要的时候自主选择安装；“指派”方式则直接把软件安装到域用户的开始菜单程序组中。

应用组策略将安全模板导入组策略使用"安全配置和分析"目标使用本模块可以实现下列目标：•将组策略应用于组织单位。

•将安全模板导入策略。

•帮助实施Windows Server 2003 安全指南。

返回页首适用范围本模块适用于下列产品和技术：•Microsoft® Windows Server ™2003 操作系统返回页首如何使用本模块本模块与Windows Server 2003 安全指南配合使用，是该指南的补充材料。

返回页首概要组策略用于从一个单独的点对多个Microsoft Active Directory® 目录服务用户和计算机对象进行配置。

在默认情况下，策略不仅影响应用该策略的容器中的对象，还影响子容器中的对象。

组策略包含了"计算机配置| Windows 设置| 安全设置"下的安全设置。

您可将预先配置的安全模板导入策略，来完成对这些设置的配置。

返回页首应用组策略下列步骤显示了如何应用组策略，以及如何向"用户权限分配"添加安全组。

•将组策略应用于组织单位或域1.依次单击"开始"、"管理工具"、"Active Directory 用户和计算机"，打开"Active Directory 用户和计算机"。

2.突出显示相关域或组织单位，单击"操作"菜单，选择"属性"。

3.选择"组策略"选项卡。

注意：每个容器可应用多个策略。

这些策略的处理顺序是从列表的底部向上。

如果出现冲突，最后应用的策略优先。

4.单击"新建"创建一个策略，并为其指定有实际意义的名称，如"域策略"。

注意：单击"选项"按钮可配置"禁止替代"设置。

视频：/jpkc/site-network/4JiYeMian/page4/4.4.htmWindows 2000 Server安装完成后，其强大的服务和管理功能还要通过相应的安装或设置后才能发挥作用。

安装完成后的Windows 2000 Server 提供了“配置服务器”向导来帮助我们完成所有服务功能的设置过程。

活动目录是Windows 2000 Server进行安全管理的重要服务功能，使用默认方式安装的Windows 2000 Server是一个独立服务器，安装活动目录便可将其升级为域控制器。

域控制器的配置视频1.以系统管理元 Administrator身份启动登录系统。

2.单击“开始─程序─管理工具─配置服务器”菜单项。

出现 Windows 2000 配置服务器画面，单击左窗口的“Active Directory”选项，在右窗口中便出现有关Active Directoy的介绍和提示，如图4-2所示。

单击后面的“启动Active Directoy向导”，出现“欢迎使用Active Directoy 安装向导”画面。

图 4-2 Windows 2000配置服务器对话框3.单击“下一步”按钮，弹出“域控制器类型”对话框。

其中的两个选项为：•新域的域控制器：选择本项可以建立一个新的网域，该服务器作为新域的域控制器。

•现有域的额外域控制器：选本项将在已有网域内建立一个平等的域控制器，但会删除所有原本机账户。

4.选中“新域的域控制器”项后，单击下一步按钮。

弹出“创建目录树或子域对话框”。

5.选中“创建一个新的域目录树”项后，单击下一步按钮。

弹出“创建或加入目录林”对话框。

如图 4-3所示。

图 4-3创建或加入目录林对话框6.选中“创建新的域目录林”项后，单击下一步按钮。

弹出“新的域名”对话框。

如图 4-4所示。

图 4-4 新域名对话框7.输入新的域名，如：“ ”，单击“下一步”，弹出“NetBIOS域名”对话框。