实验十三 组策略与磁盘配额管理

实验十三组策略与磁盘配额管理
一、实验目的
(1)掌握创建、更改组策略的具体步骤。

⑵掌握组策略管理模板策略的管理。

⑶掌握组策略Windows设置策略的管理。

（4）掌握为用户账户配置磁盘配额的方法
二、实验环境
三台计算机，一台安装Windows 98或XP，二台已安装Windows Server 2003的计算机，其中一台计算机配置成Windows 2003域控制器，另一台已计算机登录到域且已安装管理工具。

三、实验内容与步骤
⒈更改组策略
ⅰ、将域内的所有用户账户设置成都可以在域控制器上登录，也就是更改“Default Domain Controllers Policy”，让“Domain Users”组内的所有成员都具备“在本地登录”的权利。

⑴依次选择“开始”→“管理工具”→“Active Directory用户和计算机”选项，并从弹出的对话框中选中Domain Controllers,单击鼠标右键，再从弹出的快捷菜单中选择“属性”→“组策略”命令，如图13.1所示。

图13.1 “Domain Controllers 属性”窗口
⑵选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。

⑶打开“组策略”窗口后，依次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，如图13.2所示。

然后双击窗口右侧的“允许在本地登录”，如图13.3所示。

103
图13.2 “组策略编辑器”窗口（1）
图13.3 “允许在本地登录属性”窗口
⑷单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。

完成后单击“确定”按钮关闭此对话框。

⑸返回“组策略”窗口时，请关闭此窗口。

⑹返回“Domain Controllers属性”对话框，单击“确定”按钮关闭此对话框即可。

ⅱ、验证更改组策略的有效性
更改组策略后，并不是立刻生效，Windows Server 2003域控制器的组策略更新时间，默认为5分钟；Windows Server 2003工作站、成员服务器的组策略更新时间，默认为90分钟。

为了使此组策略能够立刻生效，必须注销，稍等片刻即可生效（要使生效最好重新启动计算机）。

⑴在服务器端，以administrator 账户登录。

⑵依次选择“开始”→“管理工具”→“Active Directory用户和计算机”选项，从弹出的对话框中选中Users组织单位并单击鼠标右键，然后从弹出的快捷菜单中选择“新建”→“用户”命令添加一个一般的用户账户。

（操作方法见实验六）
⑶完成后，注销administrator,然后等待此组策略生效；或者干脆重新启动。

⑷重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。

2、实现计算机的管理模板策略
104
ⅰ、建立一个组策略，实现：启动磁盘配额，防止强制实施磁盘配额限制，防止用户运行“新任务向导”。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”控制台。

②在“Active Directory用户和计算机”控制台中选中“Domain Controllers”,单击鼠标右键，然后从弹出的快捷菜单中选择“属性”项，再单击“组策略”选项卡，如图13.1所示。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“Admini Template Policy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“计算机配置”→“管理模板”→“系统”选项，单击““磁盘配额”，打开如图13.4所示的窗口。

图13.4 “组策略编辑器”窗口（2）
⑥在图13.4“磁盘配额”的详细信息面板中，双击“启用磁盘配额”，打开“启用磁盘配额属性”对话框，如图13.5所示，在“启用磁盘配额属性”对话框中，单击“已启用”，然后单击“确定”按钮即可。

图13.5 “启用磁盘配额属性”对话框
⑥在图13.4“磁盘配额”的详细信息面板中，双击“强制磁盘配额限制”，打开“强制
105
磁盘配额限制属性”对话框，在“强制磁盘配额限制属性”对话框中，单击“已禁用”，然后单击“确定”按钮。

⑧在“管理模板”下展开“Windows 组件”，单击“任务计划程序”，打开如图13.6所示的窗口。

图13.6 “组策略编辑器”窗口（3）
⑨在“任务计划程序”的详细信息面板中，双击“禁用‘创建新任务’”，打开“禁用‘创建新任务’属性”对话框，然后单击“已启用”，再单击“确定”按钮。

关闭“组策略编辑器”窗口，关闭“Dmain Controllers属性”窗口即可。

ⅱ、验证计算机管理模板策略
通过以下方法验证包含在“Admin Template Policy”中的组策略是否被正确应用：
①利用administrator账户登录，双击“我的电脑”，右击驱动器（D：或E：）的图标，单击“属性”菜单项，打开驱动器属性窗口，单击“配额”选项卡，查看是否启用了磁盘配额及实施了磁盘配额限制。

②在“控制面板”中，双击“任务计划”，检查是否可以运行添加任务向导。

3、实现用户的管理模板策略
ⅰ、为组织单位“security”建立一个组策略，实现：防止用户利用“网上邻居”浏览网络，防止用户更改“任务栏和[开始]菜单设置，防止用户访问“Windows Update”，防止用户映射网络驱动器。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”对话框。

②在“Active Directory用户和计算机”对话框中选中“security”，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“security 属性”窗口，单击“组策略”选项卡。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“security Policy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“用户配置”→“管理模板”→“Windows 组件”，单击“Windows 资源管理器”，打开如图13.7所示的窗口。

106
图13.7 “组策略编辑器”窗口（4）
⑥在“Windows 资源管理器”的详细信息面板中，双击“删除‘映射网络驱动器’和‘断开网络驱动器’”，打开“删除‘映射网络驱动器’和‘断开网络驱动器’属性”对话框，选中“已启用”，然后单击“确定”按钮。

⑦在“管理模板”下单击“桌面”，打开如图13.8所示的窗口，在“桌面”的详细信息面板中，双击“隐藏桌面上的‘网上邻居’”，打开“隐藏桌面上的‘网上邻居’属性”对话框，选中“已启用”，然后单击“确定”按钮。

图13.8 “组策略编辑器”窗口（5）
⑧在“管理模板”下单击“任务栏和[开始]菜单”，打开如图13.9所示的窗口，在“任务栏和[开始]菜单”详细信息面板中，双击“阻止更改‘任务栏和[开始]菜单’设置”，打开“阻止更改‘任务栏和[开始]菜单’设置属性”对话框，选中“已启用”，然后单击“确定”按钮。

107
图13.9 “组策略编辑器”窗口（6）
⑨在图13.9所示的“任务栏和[开始]菜单”详细信息面板中，双击“删除到‘Windows Update’的访问和连接”，打开“删除到‘Windows Update’的访问和连接属性”对话框，选中“已启用”，然后单击“确定”按钮。

关闭组策略，关闭所有窗口重新启动计算机。

ⅱ、验证计算机管理模板策略
验证包含在“security Policy”中的组策略是否被正确应用。

以组织单位“security”中的用户assi登录。

可以看到：“网上邻居”没有在桌面上显示；不能修改“任务栏和[开始]菜单设置；任务栏不出现“Windows Update”图标；不能映射网络驱动器。

表明包含在“security Policy”中的组策略设置已经实施。

4、实现安全策略
ⅰ、建立一个组策略，实现：密码必须至少6个字符，在登录过程中显示对话框，提醒用户不允许进行非授权的访问，禁用Telnet服务。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”对话框。

②在“Active Directory用户和计算机”对话框中选中Domain Controllers，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“Domain Controllers属性”窗口，单击“组策略”选项卡。

③在“组策略”选项卡上，单击“新建”命令，添加一个GPO，并将其命名为“Security Admin Policy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”窗口。

⑤在“组策略编辑器”窗口中，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“账户策略”，单击“密码策略”，打开如图13.10所示的窗口。

108
图13.10 “组策略编辑器”窗口（7）
⑥在“密码策略”详细信息面板中，双击“密码长度最小值”，打开“密码长度最小值属性”对话框，选中“定义这个策略设置”，把密码长度最小值改为6 ，然后单击“确定”按钮。

⑦在“安全设置”中，展开“本地策略”，单击“安全选项”，打开如图13.11所示的窗口。

图13.11 “组策略编辑器”窗口（8）
⑧在图13.11的“安全选项”详细信息面板中，双击“交互式登录：用户试图登录时消息文字”，打开“交互式登录：用户试图登录时消息文字属性”对话框，选中“在模板中定义这个策略设置”，在文本框中输入“只允许授权用户登录”，如图13.12所示，然后单击“确定”按钮。

109
图13.12 “交互式登录：用户试图登录时消息文字属性”对话框
⑨在图13.11的“安全选项”详细信息面板中，双击“交互式登录：用户试图登录时消息标题”，打开“交互式登录：用户试图登录时消息标题属性”对话框，选中“定义这个策略设置”，在文本框中输入“警告”，然后单击“确定”按钮。

⑩在“安全设置”中，单击“系统服务”，打开如图13.13所示的窗口。

在“系统服务”详细信息面板中，双击“Telnet”，在“Telnet 属性”对话框中，单击“定义这个策略设置”，选中“已禁用”，然后单击“确定”。

关闭所有窗口，重新启动计算机。

图13.13 “组策略编辑器”窗口（9）
ⅱ、验证安全策略
验证包含在“Security Admin Policy”中的组策略是否被正确应用
①利用administrator账户登录，看在登录时是否出现警告信息。

②把任一用户的密码改为“123”，看是否能修改。

③从“管理工具”菜单中打开“服务”菜单项，看Telnet服务的“启动类型”栏中的值是什么。

磁盘配额的配置
默认情况下，只有Administrators 组的成员，才能设置 NTFS 卷上的磁盘配额。

在已包含文件的卷上启用配额时，Windows 将计算到那个时间点为止在该卷复制文件、保存文件或取得文件所有权的所有用户使用的磁盘空间。

然后根据计算的结果将配额限度和警告级别应用于当前所有用户，以及从那个时间点开始使用卷的用户。

然后，您可以为某个或多个用
110
户设置不同的配额或禁用配额。

也可以为那些还没有在卷上复制文件、保存文件和取得文件所有权的用户设置配额。

㈠、启用磁盘配额
（1）打开“我的电脑”窗口，用鼠标右键单击某驱动器图标（C：）（驱动器的使用的文件系统应为NTFS），在快捷菜单中选择“属性”项，打开“本地磁盘（C：）属性”窗口。

单击“配额”选项卡，显示如图13.14所示的属性窗口。

图13.14 “本地磁盘（C：）属性”窗口
（2）选中“启用配额管理”复选框，激活“配额”选项卡中的所有配额设置选项。

（3）选择下列一个或多个选项，然后单击“确定”按钮：
●拒绝将磁盘空间给超过配额限制的用户
超过其配额限制的用户将收到来自 Windows 的“磁盘空间不足”错误信息，并且在没有从中删除和移动一些现存文件的情况下，无法将额外的数据写入卷中。

●将磁盘空间限制为
输入允许卷的新用户使用的磁盘空间量，以及在将事件写入系统日志前已经使用的
磁盘空间量。

管理员可以在“事件查看器”中查看这些事件。

可以在磁盘空间和警
告级别中使用十进制数值（例如，20.5），并从下拉列表中选择适当的单位（如 KB、MB、GB 等）。

●将警告等级设为
指定了用户接近配额限制的点。

例如，设置用户磁盘配额限制是100MB，磁盘配额警告等级设置为90MB。

在此情况
下，用户可在驱动器中存储不超过100MB的文件。

如果用户在驱动器中存储了超过
90MB的文件，磁盘配额系统将记录日志事件。

●用户超出配额限制时记录事件
如果启用配额，则只要用户超过其配额限制，事件就会写入到本地计算机的系统日
志中。

管理员可以用事件查看器，通过筛选磁盘事件类型来查看这些事件。

●用户超过警告等级时记录事件
如果启用配额，则只要用户超过其警告级别，事件就会写入到本地计算机的系统日
志中。

㈡、对所有用户强制执行磁盘配额
（1）在“将磁盘空间限制为”和“将警告等级设为”框中，输入希望设置的限制值和
111
警告等级。

（2）选中“拒绝将磁盘空间给超过配额限制的用户”复选框，如图13.15所示。

图13.15 “本地磁盘（C：）属性”窗口配额选项卡
（3）单击“确定”按钮即可，系统将监视磁盘使用情况，当用户超出限制时，将不允许其创建文件或文件夹。

㈢、对单个用户强制执行磁盘配额
（1)在图13.14中单击“配额项”按钮，打开“本地磁盘（C：）的配额项目”窗口，如图13.16所示，通过该窗口，管理员可以新建配额项、删除已建立的配额项，或者将已建立的配额项信息导出并存储为文件，以后需要时管理员可直接导入该信息文件，获得配额项信息。

图13.16 “本地磁盘（C：）的配额项”窗口
（2）如果管理员需要创建一个新的配额项，可打开“配额”菜单，选择“新建配额项”命令，出现“选择用户”对话框，单击“高级”按钮，单击“立即查找”按钮，显示出用户列表。

管理员可以选定想要创建配额项的用户，然后单击“确定”按钮后，系统将自动把选定的用户添加到对象名称列表框。

如图13.17所示。

112
图13.17 “选择用户”窗口
（3）单击“确定”按钮，打开“添加新配额项”对话框，如图13.18所示。

图13.18 “添加新配额项”窗口
（4）在该对话框中，选中“将磁盘空间限制为”单选框，输入希望设置的限制值和警告等级。

然后单击“确定”按钮，完成新建配额项的所有操作并返回到“本地磁盘（C：）的配额项”窗口。

在该窗口中可以监视所有用户的磁盘使用空间。

㈣、确定磁盘配额的状态
通过检查磁盘“属性”窗口上的交通灯图标和阅读其右边的状态信息，可以确定磁盘配额的状态，如图13.15所示。

交通灯的颜色和其所表示的状态如下：
●红色交通灯表明磁盘配额已被禁用
●黄色交通灯表明系统正在重建磁盘配额信息
●绿色交通灯表明磁盘配额系统已被激活
四、实验问题
1、默认情况下只有哪些用户才有“在本地登录”的权利。

2、如何验证包含在“Admin Template Policy”中的组策略是否被正确应用。

3、如何验证包含在“Security Policy”中的组策略是否被正确应用。

4、如何检验磁盘配额是否起作用？
五、实验报告
实验报告应包括如下内容：
（1）实验环境
（2）遇到的问题及解决方法
113
（3）回答实验问题
（4）实验心得和体会
114。