域管理组策略及其应用

主讲教师:谭鸣钟WindowsServer2003服务器操作系统第10章组策略及其应用主要知识点：一、活动目录结构和组策略（了解）二、配置安全策略（掌握）三、管理用户环境（掌握）四、文件夹重定向（掌握）一组策略概述组策略是WindowsServer2003操作系统中提供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活，它包括如下的一些选项：基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销，文件重定向等。WindowsServer2003包括几百种可以配置的组策略设置。组策略设置允许企业管理员通过增强和控制用户桌面来减少总的开销。组策略只允许用户一次性地规定自己的环境，在这之后，依赖操作系统来强制实施。组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行更改，如：桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的，系统管理员使用（MMC，MicrosoftManageController）工具来对用户组和计算机组设置策略。默认情况下，组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象（把它们链接到它们的目标上）的顺序和级别决定了用户或计算机实际能收到的组策略设置。另外，组策略能够在站点、域、组织单元这些级别上被阻塞；组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上，然后将链接设置为非覆盖方式来实现。默认情况下，组策略影响站点、域、或组织单元中所有用户和计算机，而不影响站点、域、或组织单元中的其他对象。组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中，也可以从属于任何非本地（即基于活动目录）的组策略对象。使用组策略指定的策略设置是WindowsServer2003中启用中心化的更新和配置管理的首选方式。组策略设置能够：与站点、域、组织单元相关联在站点、域、组织单元中影响用户和计算机被安全组中的用户或计算机成员进一步控制是安全的，仅仅系统管理员能更改设置在策略改变时被删除和重写用于很好地调整桌面控制，增强用户的计算环境二活动目录结构和组策略组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是组策略对象（GroupPolicyObject）。组策略对象是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的，它不是仅能作用到部分组策略对象上。有两种类型的组策略对象：本地组策略对象和非本地组策略对象。组策略对象存储在WindowsServer2003的域中，其作用由它们所链接的站点、域或组织单元启用。链接到一个站点（使用活动目录站点和服务）的组策略对象能够应用于站点上的所有域。一个域的组策略对象直接应用于域中的所有计算机和用户，从而被组织单元（通常为活动目录容器）中的所有用户和计算机继承。应用到组织单元的组策略对象直接应用到组织单元中所有用户和计算机，从而被组织单元（通常为活动目录容器）中所有用户和计算机继承。不可能将一组策略对象链接到通常的活动目录容器中。（通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个组织单元中的图标是类似的，除了有一本小书的图形叠放在文件夹上）然而，通常的活动目录容器中的用户和计算机接收这些类型的策略，这些策略继承于链接到较高层次的活动目录的组策略对象。例如，在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们，但是它们可以通过继承接收链接到域的组策略对象。本地组策略对象首先被应用，然后是链接到站点的组策略对象，再然后是链接到域的组策略对象以特定顺序被应用，最后是链接到组织单元的组策略对象，其顺序是开始于最高层（在活动目录层次）的组织单元（它包含用户或计算机帐户），终止于最低层（最接近用户和计算机）的组织单元（它包含用户和计算机）。在每个组织单元中，任何链接到它的组策略对象以指定的管理顺序被应用。应用的顺序（本地、站点、域和组织单元）对于活动目录体系结构非常有意义。因为缺省情况下，对每种设置而言，后来被应用的策略覆盖前面应用的策略，而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西（任何早期被应用的设置），“打开”或“关闭”允许保留。组策略编辑器是如下图所示的MMC插件，它分为两个节点：【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一。组策略编辑器3、配置安全策略安全策略用于WindowsServer2003网络的安全设置。安全配置包含有应用到一个或多个WindowsServer2003支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。能为计算机配置安全领域的包括：（1）帐户策略它们是WindowsServer2003域中关于密码策略、帐户锁定策略的计算机安全设置。（2）本地策略包括有关审核策略（试图登录时审计成功或失败）、用户权限分配（他们连接到网上）、以及安全选项（以匿名连接到计算机的能力）。（3）事件日志它控制如应用的大小和保持方法、安全、系统事件日志等设置。可以通过事件浏览器来访问这些日志。（4）受限组允许用来控制是否需要属于安全敏感组，以及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略，这种敏感组的例子有企业管理员、薪水册等。例如，有可能决定仅仅有两个用户成为企业管理员组，这样就定义企业行政组为一个受限组，它仅包含两个成员。如果第三个人添加到这个组（例如，在紧急情况下处理某个事情），下一次策略实施时该用户被自动的从企业管理员组删除。这种策略也可以强制用于域中工作站上的组成员（即，强制使一些系统管理员从域中移到工作站上本地管理员组）。（5）系统服务它控制启动模式及系统服务的访问权限，如哪些用户能关闭和启动传真服务。（6）注册表用来为注册表表项配置注册表设置，包括访问控制、审计、所有者。（7）文件系统它用来为文件系统对象配置安全设置，包括访问控制、审计、所有者。1、帐户策略装入组策略的MMC管理单元后，出现本地计算机策略选项。要访问帐户策略文件夹，需展开【本地计算机策略】、【计算机配置】、【Windows设置】、【安全设置】和【帐户策略】。如下图所示。设置帐户策略（1）密码策略密码策略（Passwordpolicies）可以强制在计算机上执行安全要求。一定要注意，密码策略在各个计算机上设置，而不能对特定用户配置。密码策略选项使用如下（如下图所示）：强制密码历史：用户不能用相同的密码。用户在旧密码到期或改变时要创建新密码。密码最长使用期限：到达最大密码寿命期后强迫用户改变密码。密码最短使用期限：不允许用户连续多次改变密码以破坏强制密码历史策略。密码长度最小值：保证用户创建密码并指定其符合长度要求。如果不设置这个选项，则用户不需要创建密码。密码必须符合复杂性要求：防止用户将常用字典中的项目当作密码。用可还原的加密来存储密码：提供用户密码的高级安全性。密码策略（2）帐户锁定策略帐户锁定策略用于指定无效登录企图的最大次数。它通常被配置成在y分钟内进行x次登录失败时帐户将在指定的时间段内锁定，直到管理员打开这个帐户锁，如下图所示。帐户锁定策略类似于银行处理ATM访问码安全性的方法。用户有几次机会输入访问码。这样，如果别人企图盗用，那么他无法一直猜访问码。通常，几次访问失败后，ATM机会吃掉这个卡，然后需要从银行申请办理新卡。帐户锁定策略2、本地策略帐户策略可控制登录过程。要控制用户登录之后的操作，需使用本地策略（localpolicies），如下图所示。利用本地策略可以实现审核、指定用户权限和设置安全选项。设置本地策略（1）审核策略可以通过审计策略审核与用户管理有关的事件。通过跟踪某个事件，可以创建特定任务的历史，其界面如下图所示。审核策略定义审计策略时，可以选择采用审核访问也可以选择特定事件故障。事件成功表示任务顺利完成，事件失败表示任务没有顺利完成。缺省情况下，审核过程并不启用，需要手工配置。配置审核过程之后，可以通过事件查看器、安全日志浏览审核结果。审核太多事件会因为增大处理要求而降低系统性能。审核还需要大量磁盘空间来存放审核日志，因此事件查看实用程序要慎用。（2）用户权限分配用户权限分配确定了用户和组对计算机的权利。用户权利的一个例子是备份文件和目录权利。这个权利使用户可以备份文件与文件夹，如下图所示。用户权限分配（3）安全选项启用或禁用计算机的安全设置，例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示，如下图所示。安全选项四管理用户环境管理用户环境意味着控制用户在登录网络时有哪些权利，以及用户桌面上会出现哪些内容。集中配置和管理用户环境，可以执行下列任务：把用户访问限制在所选择的操作系统的某些部分。可以防止用户打开控制面板和关闭计算机。通过防止用户访问一些关键的操作系统组件和配置选项，可以减少用户破坏系统的可能性。要有效地配置和管理用户环境，应确保用户只可以访问他们工作需要的资源。利用管理模板可以简化用户环境并防止用户破坏工作环境或把时间花在不必要的应用程序、软件和文件上。限制使用WindowsServer2003中的工具和组件。这些工具和组件包括InternetExplorer、资源管理器和MMC。可以不让用户看到这些工具，除非他们确实需要使用。组装用户桌面。可以确保用户有他们所需要的文件、快捷方式和网络连接。使用管理模板可以配置和管理用户环境。如下图所示，【本地计算机】策略有两个部分：计算机的配置主要集中于WindowsServer2003的管理，而用户的配置主要集中于控制用户如何能够影响桌面环境。使用管理模板管理用户环境管理模板设置分成七种类型，下表列出了管理模板扩展中不同类型的设置。设置类型控制可使用者Windows组件用户可以访问的WindowsServer2003及其工具和组件部分，例如用户对MMC的访问。计算机和用户系统登录、退出过程。利用系统设置，可以管理组策略、更新间隔、磁盘配额等。计算机和用户网络网络连接和拨号连接的属性，包括共用网络访问。计算机和用户任务栏和开始菜单用户可以从开始菜单中访问的功能部件。例如，如果删除“运行”菜单，用户将不能运行没有图标或快捷方式的应用程序。可以把开始菜单设置为只读方式，这样可以防止用户修改。用户桌面活动桌面。通过隐藏某些桌面图标并控制用户对MyDocuments文件夹使用，可以控制用户对网络的访问。用户控制面板控制面板上的一些应用程序。包括限制对添加/删除程序，显示和打印机的使用。用户共享文件夹控制用户是否允许发布共享文件夹或DFS根。用户五文件夹重定向在用户配置文件中，可以使用文件夹重定向扩展来重定向下面的任何文件夹到可选的位置（如网络共享）：ApplicationDataDesktopMyDocumentsMyPictures开始菜单可以重定向一名用户的MyDocuments文件夹到\\server_name\share_name\%username%，并且提供如下的好处：可以确保用户从一台计算机漫游到另一台计算机，并且无论在有或没有漫游用户配置文件的情况下用户的文档都是可用的。可以把用户的数据存储在网络上而不是本地计算机上，这就为用户提供了管理和保护数据的另一种方式。当用户从企业网上断开时，可以通过离线文件夹技术使用户的基于网络的文件夹可用。类似的好处适用任何重定向文件夹，而不仅仅是MyDoc