課件說明案例

WindowsServer2003組策略的管理與安全設置學習指南內容提要：組策略對于網(wǎng)絡管理員非常有用，通過它，可以方便地對計算機資源進行管理。本文主要介紹了組策略控制臺的啟動、組策略中的管理模板、如何通過組策略管理系統(tǒng)以及組策略的安全設置等方面的內容。引言：利用組策略，可以將系統(tǒng)重要的配置功能匯集成各種配置模塊，供網(wǎng)絡管理人員直接使用，從而達到方便管理計算機資源的目的。通過組策略編輯器，網(wǎng)絡管理員可以輕松地為系統(tǒng)進行安全策略的設置，從而起到安全保障的作用。啟動WindowsServer2003的組策略控制對于WindowsServer2003本地計算機組策略的啟啟動組策略的步驟如下：“gpedit.msc”，單擊“確定”按鈕，如圖1所示。個子鍵組成，如圖2所示。域范圍組策略的啟動打開“控制面板”窗口，選擇“管理工具”→“域安全策略”，如圖3如果想對域控制器上的組策略對象進行編輯，也可以在“控制面板”中選擇“管理工具”→“域控4所示的“默認域控制器安全設置”窗口，就可以加載默認的域組對象的屬性或域控制器組策略對象的屬性。創(chuàng)建組策略控制臺可以通過將組策略作為獨立的控制臺管理程序來打開，對其他的計算機組策略對象進行配置。創(chuàng)建組策略控制臺的步驟如下：單擊“確定”按鈕，如圖5系統(tǒng)打開“控制臺”窗口，如圖6在“控制臺”窗口中，選擇“文件”→“添加刪除管理單元”選項，打開“添加刪除管理單元”框，如圖7所示。單擊“添加”按鈕，打開“添加獨立管理單元”框，如圖8所示在如圖8所示框中的“可用的獨立管理單元”列表框中，選擇“組策略對象編輯器”，如圖9所示。圖 圖單擊“添加”按鈕，系統(tǒng)彈出“選擇組策略對象”框，如圖10所示在“選擇組策略對象”框中，默認的組策略設置對象為“本地計算機”，可以通過單擊“瀏覽”按鈕來選擇網(wǎng)絡中的其他計算機來進行組策略的配置。單擊“瀏覽”按鈕后系統(tǒng)會彈出如圖11所示的框。到“添加/刪除管理單元”框，這時還可進行其他的設置。在“添加刪除管理單元”框中選擇“擴展”選項卡，如圖12所示。在該選項卡中，可以對要出現(xiàn)在此“組策略”內的擴展性管理單元進行設置，系統(tǒng)會將該組策略對象內所有可以使用的擴展性管理單元都加入到“組策略”編輯器中。最后，可以單擊“確定”按鈕返回。這時，在控制臺內就是自定義格式的組策略編輯器了，如圖13所示。可以將此操作環(huán)境起來，以便在日后設置組策略對象時使用。組策略的管理組策略中的管理模板在WindowsServer2003系 中包含了幾個被稱為“管理模板”的.adm文件。這些文件組策略管理模板項目提供策略信息。在WindowsServer2003的系統(tǒng)文件夾的inf文件夾中，包含了System.adm：用于系統(tǒng)設置，默認情況下安裝在“組策略”中。Inetres.adm：用于InternetExplorerWmplayer.adm：用于WindowsMediaPlayerConf.adm：用于NetMeetingWuau.adm：用于配置組策略來控 AU與Windows9X只允許當前打開一個策略模板不同的是，在WindowsServer2003操作系統(tǒng)的組策略控制臺中，可以多次添加“策略模板”，添加的步驟如下：展開“組策略編輯器”窗口左側的“計算機配置”或“用戶配置”，右擊其中的“管理模板”，在彈出的子菜單中選擇“添加刪除模板”命令，如圖14所示。系統(tǒng)會彈出如圖15所示的“添加/刪除模板”框圖 圖單擊“添加”按鈕，彈出如圖16所示的“策略模板”框，可以選擇相應的.adm文單擊“打開”按鈕，就會在“添加/刪除模板”框中看到新添加的管理模板所產生配置項目了，如圖17圖 圖通過組策略管理系統(tǒng)修改注冊表編輯器通過禁用表編輯器，可以防止他人在使用電腦時對表文件進行修改。下面介紹禁用注冊表編輯器的操作步驟：彈出“組策略編輯器”窗口，在該編輯窗口的左側依次選擇“用戶配置”→“系統(tǒng)”，如圖18所示。話框，如圖19所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。最后，可以進試。選擇“開始”→“運行”命令，在“運行”框中輸入“regedit”，單擊“確定”按鈕，系統(tǒng)將彈出警告框，提示表編輯已經(jīng)被管理員禁用了。如圖20所示。圖 圖使用命令提示符在使用WindowsServer2003時，可以通過運行“cmd.exe”命令進入DOS命令提示符狀態(tài)，在該狀態(tài)中所執(zhí)行的一些命令會到網(wǎng)絡運行的安全，作為網(wǎng)絡管理員，出于的考慮，可以使用命令提示符。打開“組策略編輯器”窗口，在該編輯窗口的左側依次選擇“用戶配置”→“系統(tǒng)”，然后雙擊窗口右側的“命令提示符”，如圖21所示。系統(tǒng)彈出“命令提示符屬性”框，如圖22所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。在如圖22所示的框中，系統(tǒng)提示是否也停用命令提示符處理，這個設置決定了批處理文件.cmd和.bat是否可以在該計算機中運行。最后，用戶可以嘗試在“運行”框中輸入cmd命令，系統(tǒng)將會提示命令提示符已經(jīng)被系統(tǒng)管理員停用了，如圖23所示。圖 圖隱藏“我的電腦”中指定的驅動器作為管理員，可以從“我的電腦”以及“Wnows資源管理器”中刪除硬盤驅動器的圖標，并且隱藏驅動器號，以限制用戶驅動器中的數(shù)據(jù)?！癢ndws資源管理器”，然后雙擊窗口右側的“隱藏‘我的電腦’中的這些指定的驅動器”，如圖24所示。系統(tǒng)彈出“隱藏‘我的電腦’中的這些指定的驅動器屬性”框，如圖25所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。回到桌面，打開“我的電腦”窗口，發(fā)現(xiàn)所有的驅動器都被管理員隱藏了，如圖26制面板”

→“控制面板”，然后雙擊窗口右側的“控制面板”，如圖27所示系統(tǒng)彈出“ 控制面板屬性”框，選擇“已啟用”單選按鈕，再單擊“確定”28更改顯示屬性顯示屬性來實現(xiàn)這些限制。圖29所示。使用“添加/刪除程序”

若想用戶對操作系統(tǒng)中的程序隨意地進行添加或刪除，可以利用組策略來實現(xiàn)面板”→“添加刪除程序”，在窗口右側列出了關于添加刪除程序的選項，可以根據(jù)具體的需求來進行不同的限制，如圖30所示。限制使用應用程序→“系統(tǒng)”，然后雙擊窗口右側的“只運行的Windows應用程序”，如圖31所示系統(tǒng)彈出“只運行的Windows應用程序屬性”框，如圖32所示，選擇“已啟用”同時，在“只運行的Windows應用程序屬性”框中還可以選擇允許運行的應用程序。單擊“顯示”按鈕，系統(tǒng)會彈出“顯示內容”框，如圖33所示。圖 圖單擊“添加”按鈕，便可以添加允許運行的應用程序了，如圖34隱藏桌面的系統(tǒng)圖標打開“組策略編輯器”窗口，在該編輯窗口的左側依次選擇“用戶配置”→“管理模板”→“桌35所示。建立新的連接

系統(tǒng)彈出“ ‘新建連接向導’屬性”框，如圖37所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。雙擊“組策略編輯器”窗口右側的“為管理員啟用Windows2000彈出“為管理員啟用Windows2000網(wǎng)絡連接設置屬性”框，如圖38所示，選擇“已啟用”單選按鈕，再單擊“確定”按鈕完成選擇。圖 圖啟用這兩個策略后，“新建連接”圖標就不會出現(xiàn)在“開始”菜單或“網(wǎng)絡連接”文件夾中，那么用戶將無法啟動“網(wǎng)絡連接”向導。組策略的安全設置組策略安全概述Wndowsevr2003操作系統(tǒng)存在著許多安全方面的，雖然可以通過打補丁的方法來減少大部分的，但還是不能完全杜絕由一些小導致的系統(tǒng)被或。在WndowsSrvr203中自帶的“組策略編輯器”就是一個非常不錯的系統(tǒng)安全管理工具。通過“組策略”編輯器網(wǎng)絡管理員可以輕松地為系統(tǒng)進行安全策略的設置從而起到安全保障的作用。組策略包括應用于域或計算機組的大量安全權限配置文件。一個組策略對象可以應用到局域網(wǎng)內的所有計算機。單個計算機啟動時，組策略得以應用，如果做出改動時沒有重新啟動計算機，組策略會得到定期刷新。組策略的繼承性組策略的繼承性包括了WindowsServer2003在活動中處理組策略的順序，以及在連接到母容器的組策略的繼承性。繼承流程是：默認組策略被繼承。子容器從父容器那里繼承組策略，就是說子容器可能擁有多個用于用戶和計算機的組策略設置。不止一個組策略與它連接，比如說，一個站點包含一個域以上的計算機，連接到該站點的組策略中定義的組策略設置將應用到所有登錄到該站點的計算機設置用戶上，不管計算機和用戶賬號是否在域中。組策略的安全設置組策略對象“安全設置”節(jié)點的容器包括：賬戶策略、本地策略、公鑰策略、P安全策略等。有些策略只應用于域的范圍，也就是說，策略設置是在域范圍內進行的。例如賬戶策略一律應用于域內的所有用戶賬戶。不能為同一域內的不同部門定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其他策略范圍都可在部門等級設定。安全模板WindowsServer2003系統(tǒng)為在網(wǎng)絡環(huán)境設置中的使用提供了一套安全模板?！鞍踩０濉笔荳indowsServer2003域控制器、服務器或客戶計算機上適合某一特定安全等級的安全設置配置文實施組策略安全管理通常，網(wǎng)絡管理員可以分別從服務器和工作站局域網(wǎng)中對WindowsServer2003系統(tǒng)實施安全管理。在服務器上安裝活動 服務的基礎上，在域中實施組策略；最后應將工作站置于服務器所管理的打開組策略控制臺選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機”命令，啟動“ActiveDirectory用戶和計算機”，在右面對象容器樹中的根上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。設置組