组策略管理

第6章组策略的管理上一页下一页返回本章首页第6章组策略的管理6.1组策略6.2组策略的设置6.3软件设置上一章返回目录第6章组策略的管理上一页下一页返回本章首页内容提要：组策略的概念、应用顺序组策略的作用和定义组策略的要求设置、管理、测试、优化组策略Windows2000中组策略引入模板策略、访问组策略Windows2000中创建需要的组策略模板Windows2000中桌面、任务栏、IE设置、计算机和用户的安全设置等实际操作第6章组策略的管理上一页下一页返回本章首页6.1组策略6.1.1组策略概述6.1.2引入模板策略第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述1.组策略概念组策略是管理员为计算机和用户定义的，用来控制应用程序和管理模板的一种机制。可以这样理解：组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。（1）组策略的应用顺序与规则（2）阻止策略的继承（3）强迫继承策略第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述2.组策略的作用3.组策略的版本4.使用“组策略”管理单元可进行的策略设置（1）基于注册表的策略。包括Windows2000操作系统及其组件以及应用程序的组策略。要管理这些设置，可以使用“组策略”管理单元的【管理模板】节点。（2）安全性选项。包括针对本地计算机、域和网络安全设置的选项。第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述（3）软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。（4）脚本选项。包括用于计算机启动和关闭，以及用户登录和注销的脚本。（5）文件夹重定向选项。允许将用户的特殊文件夹重定向到网络。5.定义组策略要求（1）要确定所需策略设置的类型。（2）确定目录中哪些类型的对象（用户，计算机）将应用这些设置。第6章组策略的管理上一页下一页返回本章首页域工作站用户域控制器服务器安全性密码、账户、Kerberos策略、PK信任列表用户权限、文件和注册表ACL、审核和事件日志、本地设置EFS策略用户权限、文件和注册表、ACL、审核和事件日志、本地设置用户权限、文件和注册表、ACL、审核和事件日志、本地设置应用程序部署必需的核心应用程序发布可选应用程序和组件管理工具管理工具计算机设置启动脚本、登录、磁盘配额、脱机文件磁盘配额打印机删除用户设置登录脚本、InternetExplorer设置、RAS、文件夹重定向、桌面锁住、网络系统（环回）禁用标准用户、桌面设置（环回）禁用标准用户、桌面设置应用程序设置Office2000、待发布的内部应用程序表6-1组策略要求示例第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述（3）产生的组策略对象列表6.确定设置的作用域（1）各目标对象（如计算机、用户或域）的设置对组织中的所有对象是否通用的？或者说，这些对象中不同的分组是否需要应用不同的设置？（2）组策略作用域另一个需考虑的方面是，某一特定的设置组是否需要对所有从属容器强制实施，或者相反，是否需要阻止某些设置的继承。在后面的【管理组策略】一节讨论这一问题。7.验证ActiveDirectory域/OU设计（1）需要考虑下面几个问题：第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述①域设计能否支持组策略的有效使用和管理？如不能，需做何更改？②【ActiveDirectory网络和委派】要求与【组策略】要求之间有何冲突？为消除目录结构与GPO要求之间的冲突，往往需要用安全组来筛选GPO。③组策略不能跨域继承，也不能从一个域复制到另一个域。一个域中的GPO可以从另一个域中链接，但在此特定的域模型中，这样做会使性能大大降低（因为GPO将通过洲际WAN链路加载）。④拟设计的OU结构可能不能与GPO的作用域很好地对应。例如，用户对象OU可能按地理位置组织以符合地区管理委派结构，而策略则需要按部门或业务单位来应用。解决办法是，在一个更高的级别应用组策略对象并使用安全组（与要求的业务单位结构匹配）来筛选这些GPO。第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述（2）组策略对象的更改（3）GPO筛选安全组以下列举了两个一般类型的GPO筛选安全组：每部门用户/应用程序GPO组服务器类型GPO组8.管理组策略（1）管理结构影响GPO结构。例如，尽管安全设置与其他工作站设置有相同的作用域，但控制它们的管理组可能不同。这可能要求对单个GPO拆分。（2）应用到【组策略】对象的访问控制列表(ACL)应反映出应由谁来管理这些对象。类似地，所有域和OU上的ACL应限制谁可以将GPO链接到这些容器。第6章组策略的管理上一页下一页返回本章首页6.1.1组策略概述（3）包含必须应用到子OU中所有对象的设置的GPO可能需要强制实施，以防这些设置被在OU层次结构中较低层次应用的GPO所覆盖。某些全局安全策略设置通常都要求这样。（4）委派对一个GPO中部分设置的控制权这一需要，可能要求拆分GPO并让适当的ACL应用到各个新的GPO。（5）委派对GPO设置的控制权和在OU上创建/删除组策略链接的能力。（6）将需要创建【自定义组策略编辑器】控制台。（这可能包括在策略中指定谁可以加载哪些【组策略】管理单元）。第6章组策略的管理上一页下一页返回本章首页表6-2对组策略对象结构的可能更改现有GPO新的GPO域安全性域安全性全局工作站安全性和系统设置全局工作站安全性全局工作站系统设置站点工作站安全性站点工作站安全性全局用户系统设置全局用户系统设置安全设置、应用程序和应用程序设置、桌面设置（每部门）全局用户安全设置部门用户安全性部门应用程序和应用程序设置域控制器安全性、应用程序和系统设置域控制器安全性域控制器系统和应用程序设置服务器应用程序服务器应用程序安全性与系统设置—每服务器类型一个GPO服务器安全性系统设置第6章组策略的管理上一页下一页返回本章首页9.测试和优化组策略（1）如果用户在不断换用计算机，那么组策略的组合在所有不同的排列中是否表现出预期的行为？（2）如果移动电脑不断变换站点，那么站点和域/OU策略设置的组合是否表现出预期的行为？10.维护组策略随着单位需要改变，如何排除组策略的问题和维护组策略。错误的GPO设置会带来大范围的严重的后果。每一个更改都应在实验室中经过测试，然后才能部署到生产环境中。GPO目前尚不能在域间复制或移动，所以在实验室测试的GPO要复制到生产环境中时，需要手动编辑GPO设置。第6章组策略的管理上一页下一页返回本章首页6.1.2引入模板策略1.基本模板①Basicwk.inf：适用于Windows2000Professional，是系统安装后的Windows2000Professional默认模板。②Basicsw.inf：适用于Windows2000Server，是系统安装后的Windows2000Server默认模板。③Basicdc.inf：适用于Windows2000的域控制器，是系统Windows2000的域控制器安装后的默认模板。第6章组策略的管理上一页下一页返回本章首页6.1.2引入模板策略2.增量模板①Securedc.inf和Hisecdc.inf：适用于域控制器，使用此模板提供Windows2000的完全的安全特征，施加此模板后系统不能和非Windows2000的计算机通信。②Securews.inf和Hisecws.inf：适用于成员服务器和工作站，施加此模板后系统不能和非Windows2000的计算机通信。3.访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。第6章组策略的管理上一页下一页返回本章首页（1）输入gpedit.msc命令访问图6-2组策略窗口（2）通过控制台访问组策略图6-3控制台窗口图6-4添加/删除管理单元窗口第6章组策略的管理上一页下一页返回本章首页图6-5添加独立管理单元窗口图6-6选择组策略对象窗口4.创建需要的组策略模板图6-7ActiveDirectory用户和计算机窗口第6章组策略的管理上一页下一页返回本章首页图6-10组策略操作窗口1图6-11组策略操作窗口2图6-8常规选项卡窗口图6-9组策略选项卡窗口第6章组策略的管理上一页下一页返回本章首页图6-12组策略导入来源第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置1.“桌面”设置（1）隐藏桌面的系统图标图6-13组策略桌面操作窗口（2）退出时不保存桌面设置第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置（3）启用/禁用“活动桌面”（Windows2000/XP/2003）图6-14起用/禁用活动桌面窗口2.个性化“任务栏”和“开始”菜单（1）给“开始”菜单减肥第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-15任务栏和开始菜单窗口（2）保护好“任务栏”和“开始”菜单（3）禁止“注销”和“关机”（Windows2000/XP/2003）（4）利用组策略保护个人文档隐私第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置3.IE设置（1）禁用【在新窗口中打开】菜单项图6-16组策略浏览器菜单窗口（2）限制IE浏览器的保存功能（3）禁用“Internet选项”控制面板第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-17组策略Internet控制面板窗口4.组策略的安全设置（1）隐藏“我的电脑”中指定的驱动器（WindowsXP/2003）此组策略可以从【我的电脑】和【Windows资源管理器】上删除代表所选硬件驱动器的图标，并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-18组策略Windows资源管理器窗口（2）防止从“我的电脑”访问驱动器（3）禁止使用命令提示符第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-19组策略系统窗口（4）禁止更改显示属性第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-20组策略显示窗口（5）禁用注册表编辑器（6）彻底禁止访问“控制面板”第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置图6-21组策略控制面板窗口（7）禁止建立新的拨号连接第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置（8）禁用“添加/删除程序”图6-22组策略网络及拨号连接窗口图6-23组策略添加/删除程序窗口（9）限制使用应用程序第6章组策略的管理上一页下一页返回本章首页6.2组策略的设置5.计算机和用户的安全设置（1）计算机的安全设置图6-25组策略安全设置窗口（2）用户的安全策略图6-26组策略密码策略窗口图6-27本地安全策略设置窗口第6章组策略的管理上一页下一页返回本章首页6.3软件设置组策略中存在两个软件设置节点。【软件设置】可以在组策略控制台树中的【用户配置】和【计算机配置】下找到。1.计算机的软件设置2.软件安装当信息教研部组策略对象管理的用户登录到运行MicrosoftExcel的计算机时，MicrosoftExcel将出现在开始菜单中。当用户第一次从开始菜单选择MicrosoftExcel时，将安装MicrosoftExcel。用户也可通过单击与应用程序（使用文件扩展名或基于.COM的激活）相关联的文档来安装广告的应用程序。不能删除指定的应用程序。这样做将在瑕疵登录到运行Windows2000的计算机时再次运行指定的应用程序。第6章组策略的管理上一页下一页返回本章首页小结:组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。在Windows2000中组策略可以为用户进行个性化设置和安全性设置。本章的开始部分介绍了组策略的基本概念，定义组策略的要求，设置、管理维护、测试、优化组策略的基础知识。本章的后部分主要以Windows2000为网络操作系统介绍如何设置个性化桌面、任务栏、开始菜单，对IE的许多