第6章Windows2000组管理及组策略教学提示:组是指访问目的和权限相同的一系列活动目录或本地计算机对象的集合,可以包含用户、计算机和其他组等。在Windows2000中,通过组可以管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录和打印机队列,还可以建立组策略。使用组,主要是为了方便管理,提高效率。教学目标:本章的主要目标是学习Windows2000账户的基本管理操作,并掌握用户配置文件的设置方法。6.1组类型组是Windows2000从WindowsNT系统继承下来的安全管理形式,它是指活动目录或本地计算机对象的集合,可以包含用户、计算机和其他组等。在Windows2000中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录和打印机队列,还可以筛选组策略。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机账户。系统管理员在赋予用户或计算机账户权限时,如果它们的权限各不相同,必须分别为它们设置;但是,如果它们的权限相同,还要分别进行设置,就多做许多重复性工作。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户或计算机都具有相同的权限,这就大大减轻了系统管理员对账户和权限管理的工作。6.2组的管理注意:虽然可通过用户账户登录计算机,但不能通过组账户登录计算机。使用组账户可以对同类用户授予权限并简化管理。如果用户是可访问某个资源的一个组中的成员,则该特定用户也可访问这一资源。因此,若要使某个用户能访问各种与工作相关的资源,只需将该用户加入正确的组。跟管理用户账户一样,Windows2000使用惟一安全标识符来跟踪组账户,即在删除组账户之后又重新创建该账户时,所有权限和特权都必须重新设置。6.2.1创建新组6.2.2设置组属性6.2.3删除组6.2.4将组转换为另一种组类型6.2.5更改组作用域6.2.6委派控制组6.2.1创建新组虽然系统提供了一些内置组用于权限和安全设置,但是它们不能满足特殊安全和灵活性的需要。所以,要想很好的管理用户和计算机账户,必须根据网络情况创建一些新组。新组创建之后,就可以像使用内置组一样使用它们,如赋予权限和进行组成员的添加。(1)打开ActiveDirectory用户和计算机管理控制台。(2)在控制台树中,双击域节点。(3)右击要添加组的文件夹,单击【新建】,然后单击【组】。(4)输入新组的名称。在默认情况下,用户输入的名称还将作为新组的Windows2000以前版本的名称。如图6.1所示。(5)单击所需的【组作用域】。(6)单击所需的【组类型】。选择【全局】,单击【确定】完成。注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有“域本地”或“全局”作用域的安全组。返回图6.1创建新组返回6.2.2设置组属性一个新组被创建好之后,系统并没有设置该组常规属性和权限,也没有为其指定组成员和管理人,该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账户的管理作用,用户必须设置该组的属性,来解决上面提出的问题。返回6.2.3删除组当活动目录中的组因太多而影响了对用户和计算机账户的管理时,作为管理员可对自己创建的组进行清理。例如,当目录中有长期不使用的组或者是不符合网络安全的组,可将其删除。当域中的某个组织单元中所包含的用户、计算机和联系人等已经被删除或因为其他原因而不再发挥作用时,也可将其删除。不过,管理员只能删除自己创建的组,而不能删除由系统提供的内置组。要删除组,在控制台目录树中,展开域节点。单击要删除的组所在的组织单元,使详细资料窗口中列出该组织单元的内容。然后右击要删除的组,从弹出的快捷菜单中选择【删除】命令,这时系统会打开信息确认框,单击【是】按钮即完成组的删除。如图6.4所示。返回图6.4删除组返回6.2.4将组转换为另一种组类型用户密码是用户在进行系统登录时所提供的最重要的安全凭证,因此当用户密码被别人盗用或者用户感到有必要修改自己的密码时,用户可以通过Windows2000提供的修改密码工具对用户密码进行重新设置。在设置密码时,应注意避免过于简单,以免被他人轻易破解。返回图6.5组类型和作用域转换返回6.2.5更改组作用域(1)打开ActiveDirectory用户和计算机管理控制台。(2)在控制台树中,双击域节点。(3)单击包含组的文件夹。(4)在详细信息窗口中,右击组,然后单击【属性】。(5)在【常规】选项卡的【组作用域】下,单击【本地域】、【全局】或【通用】,单击【确定】。如图6.5所示。返回6.2.6委派控制组用户密码是用户在进行系统登录时所提供的最重要的安全凭证,因此当用户密码被别人盗用或者用户感到有必要修改自己的密码时,用户可以通过Windows2000提供的修改密码工具对用户密码进行重新设置。在设置密码时,应注意避免过于简单,以免被他人轻易破解。返回6.3组策略的创建在Windows98的安装盘中有一个系统策略编辑器,可以对用户和用户组进行各种设置,系统则根据这些设置自动修改注册表的相关内容。Windows2000也提供了一个与之相类似的但功能却要强大得多的策略编辑器,就是组策略,它能通过修改注册表对系统的各种特殊属性进行设置,从而满足用户对系统进行相关设置和限制的需要。组策略是在Windows2000环境下管理工作站安全措施的基础技术组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件,例如,用户可用的程序、用户桌面上出现的程序以及【开始】菜单选项。6.3.1组策略与ActiveDirectory的关系6.3.2组策略的创建6.3.1组策略与ActiveDirectory的关系组策略与ActiveDirectory用户与计算机中的域和文件夹以及MMC管理单元相关联,组策略授予的权限应用到存储于该文件夹中的计算机上。使用ActiveDirectory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略,子文件夹也可拥有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充,可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象(GPO)包含实现多种类型安全策略的权限和参数。总之,组策略可由父站点传递到子站点和局域网位于组策略对象【安全设置】节点的容器包括:账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略和ActiveDirectory中的网际协议安全策略等。有些策略只应用于域的范围,也就是说,策略设置是在域范围内进行的。返回6.3.2组策略的创建1.在非域控制器上创建本地组策略2.在域控制器上创建全局组策略对象3.将组策略对象链接到站点、域或组织单位返回1.在非域控制器上创建本地组策略单击【开始】|【运行】,在【运行】对话框的【打开】栏中输入gpedit.msc,单击【确定】,即可启动Windows2000组策略管理窗口。如图6.10所示。图6.10Windows2000组策略管理窗口返回2.在域控制器上创建全局组策略对象在一个域或组织单位中编辑组策略的途径有多种。这里介绍两种。方法一:从【开始】|【运行】,然后输入:mmc.exe启动MMC,选择【控制台】|【增加/删除】插件,然后选择【组策略】|【浏览】,在AD域内的组策略对象就会显示出来,可以选择一个或多个GPO进行编辑。方法二:在【ActiveDirectory用户和计算机】管理控制台中,右击一个域或组织单位,在菜单中选择【属性】,然后选择【组策略】标签。具体步骤如下。(1)打开ActiveDirectory用户和计算机,创建链接到域或组织单位的组策略对象。或打开ActiveDirectory站点和服务,创建链接到站点的组策略对象。(2)在控制台中,右击新建的组策略对象要链接到的站点、域或组织单位。(保存在当前域中。)(3)单击【属性】,然后单击【组策略】选项卡,如图6.11。(4)单击【新建】,输入组策略对象的名称,然后单击【关闭】。返回图6.11创建全局组策略返回3.将组策略对象链接到站点、域或组织单位(1)打开ActiveDirectory用户和计算机,创建链接到域或组织单位的组策略对象,或打开ActiveDirectory站点和服务,创建链接到站点的组策略对象。(2)在控制台中,右击组策略对象应该链接到的站点、域或组织单位。(3)单击【属性】,然后单击【组策略】选项卡。(4)要将组策略对象添加到【组策略对象链接】列表中,请单击【添加】。出现【添加组策略对象链接】对话框。(5)单击【全部】选项卡,单击所需的组策略对象,然后再单击【确定】。(6)在站点、域或组织单位的【属性】对话框中,单击【确定】。返回6.4组策略的应用在Windows2000操作系统中,使用组策略可以定义用户和计算机的配置。存储在域控制器中的非本地组策略对象只能在ActiveDirectory环境下使用。本地组策略对象存储在各个本地计算机上。使用组策略,我们可以对用户工作环境状态只定义一次,然后按照系统管理员定义的策略,对用户和计算机进行管理。6.4.1组策略应用顺序6.4.2组策略应用实例6.4.1组策略应用顺序用户及计算机策略:用户策略设置位于组策略中【用户配置】节点下,在用户登录时获得。计算机策略设置位于组策略中【计算机配置】节点下,在计算机启动时获得。用户和计算机是接收组策略的两个ActiveDirectory对象类型。返回6.4.2组策略应用实例1.控制光驱的自动运行2.禁止运行指定的程序出于系统安全和其他原因,有些程序我们可能不希望用户随意运行,这可以在组策略中禁止用户运行指定的程序。返回6.5组策略安全6.5.1组策略和AD6.5.2GPO的多样性和继承6.5.1组策略和AD组策略包括应用于域或计算机中的大量安全权限配置文件。一个组策略对象可以应用到局域网内的所有计算机。单个计算机启动时,组策略得以应用,如果作出改动时没有重新启动计算机,组策略会得到定期刷新。只有运行Windows2000的系统可以执行组策略,运行WindowsNT4.0和Windows9x的客户机则无法识别到或运行具有AD架构的组策略对象。要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Windows2000服务器和工作站都可以采用它。然而,每台运行Windows2000的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。本地GPO支持除软件安装和文件夹重定向之外的所有默认扩展,如果想充分发挥GPO的功能,需要AD的支持。返回6.5.2GPO的多样性和继承在AD中,可以在域、组织单位或站点3个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组或计算机等对象进行管理,站点是网络上子网的集合,站点形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,像打印机对象甚至用户组都不能应用GPO。根据GPO在AD名字空间中的不同位置,可以有多个GPO对用户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。Windows2000通过下面的方式执行GPO。首先,操作系统执行现有的本地系统上的策略,然后,Windows2000依次执行定义的站点级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(执行的顺序依次是本地Local、站点Site、域Domain、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO。返回6.6上机指导6.6.1建立sales组并将用户Administrator加入该组6.6.2设置组策略禁止用户编辑系统注册表