实验十三 组策略与磁盘配额管理

实验十三组策略与磁盘配额管理

一、实验目的

(1)掌握创建、更改组策略的具体步骤。

⑵掌握组策略管理模板策略的管理。

⑶掌握组策略Windows设置策略的管理。

（4）掌握为用户账户配置磁盘配额的方法

二、实验环境

三台计算机，一台安装Windows 98或XP，二台已安装Windows Server 2003的计算机，其中一台计算机配置成Windows 2003域控制器，另一台已计算机登录到域且已安装管理工具。

三、实验内容与步骤

⒈更改组策略

ⅰ、将域内的所有用户账户设置成都可以在域控制器上登录，也就是更改“Default Domain Controllers Policy”，让“Domain Users”组内的所有成员都具备“在本地登录”的权利。

⑴依次选择“开始”→“管理工具”→“Active Directory用户和计算机”选项，并从弹出的对话框中选中Domain Controllers,单击鼠标右键，再从弹出的快捷菜单中选择“属性”→“组策略”命令，如图13.1所示。

图13.1 “Domain Controllers 属性”窗口

⑵选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。

⑶打开“组策略”窗口后，依次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，如图13.2所示。然后双击窗口右侧的“允许在本地登录”，如图13.3所示。

103

图13.2 “组策略编辑器”窗口（1）

图13.3 “允许在本地登录属性”窗口

⑷单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。

⑸返回“组策略”窗口时，请关闭此窗口。

⑹返回“Domain Controllers属性”对话框，单击“确定”按钮关闭此对话框即可。

ⅱ、验证更改组策略的有效性

更改组策略后，并不是立刻生效，Windows Server 2003域控制器的组策略更新时间，默认为5分钟；Windows Server 2003工作站、成员服务器的组策略更新时间，默认为90分钟。为了使此组策略能够立刻生效，必须注销，稍等片刻即可生效（要使生效最好重新启动计算机）。

⑴在服务器端，以administrator 账户登录。

⑵依次选择“开始”→“管理工具”→“Active Directory用户和计算机”选项，从弹出的对话框中选中Users组织单位并单击鼠标右键，然后从弹出的快捷菜单中选择“新建”→“用户”命令添加一个一般的用户账户。（操作方法见实验六）

⑶完成后，注销administrator,然后等待此组策略生效；或者干脆重新启动。

⑷重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。

2、实现计算机的管理模板策略

104

ⅰ、建立一个组策略，实现：启动磁盘配额，防止强制实施磁盘配额限制，防止用户运行“新任务向导”。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”控制台。

②在“Active Directory用户和计算机”控制台中选中“Domain Controllers”,单击鼠标右键，然后从弹出的快捷菜单中选择“属性”项，再单击“组策略”选项卡，如图13.1所示。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“Admini Template Policy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“计算机配置”→“管理模板”→“系统”选项，单击““磁盘配额”，打开如图13.4所示的窗口。

图13.4 “组策略编辑器”窗口（2）

⑥在图13.4“磁盘配额”的详细信息面板中，双击“启用磁盘配额”，打开“启用磁盘配额属性”对话框，如图13.5所示，在“启用磁盘配额属性”对话框中，单击“已启用”，然后单击“确定”按钮即可。

图13.5 “启用磁盘配额属性”对话框

⑥在图13.4“磁盘配额”的详细信息面板中，双击“强制磁盘配额限制”，打开“强制

105

磁盘配额限制属性”对话框，在“强制磁盘配额限制属性”对话框中，单击“已禁用”，然后单击“确定”按钮。

⑧在“管理模板”下展开“Windows 组件”，单击“任务计划程序”，打开如图13.6所示的窗口。

图13.6 “组策略编辑器”窗口（3）

⑨在“任务计划程序”的详细信息面板中，双击“禁用‘创建新任务’”，打开“禁用‘创建新任务’属性”对话框，然后单击“已启用”，再单击“确定”按钮。关闭“组策略编辑器”窗口，关闭“Dmain Controllers属性”窗口即可。

ⅱ、验证计算机管理模板策略

通过以下方法验证包含在“Admin Template Policy”中的组策略是否被正确应用：

①利用administrator账户登录，双击“我的电脑”，右击驱动器（D：或E：）的图标，单击“属性”菜单项，打开驱动器属性窗口，单击“配额”选项卡，查看是否启用了磁盘配额及实施了磁盘配额限制。

②在“控制面板”中，双击“任务计划”，检查是否可以运行添加任务向导。

3、实现用户的管理模板策略

ⅰ、为组织单位“security”建立一个组策略，实现：防止用户利用“网上邻居”浏览网络，防止用户更改“任务栏和[开始]菜单设置，防止用户访问“Windows Update”，防止用户映射网络驱动器。①利用administrator账户登录，依次选择“开始”→“管理工具”→“Active Directory 用户和计算机”选项，打开“Active Directory用户和计算机”对话框。

②在“Active Directory用户和计算机”对话框中选中“security”，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“security 属性”窗口，单击“组策略”选项卡。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“security Policy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“用户配置”→“管理模板”→“Windows 组件”，单击“Windows 资源管理器”，打开如图13.7所示的窗口。

106