組策略與組策略管理

組策略與組策略管理教學(xué)提示：組策略是Windowsserver2003系統(tǒng)中功能最為強(qiáng)大的基礎(chǔ)技術(shù)，也是在實(shí)際中應(yīng)用最廣泛的技術(shù)；網(wǎng)絡(luò)管理人員最得力的助手。通過(guò)組策略可以很方便地對(duì)系統(tǒng)進(jìn)行管理，尤其是在域模式下組策略的功能更加如虎添翼。教學(xué)目標(biāo)：本章目的是學(xué)習(xí)組策略的基本操作；熟練運(yùn)用組策略來(lái)實(shí)現(xiàn)域模式下多計(jì)算機(jī)軟件分發(fā)任務(wù)。熟練使用組策略對(duì)系統(tǒng)進(jìn)行安全加固的方法。組策略概述何謂組策略所謂策略（Policy），是Windows中的一種自動(dòng)配置桌面設(shè)置的機(jī)制。所謂組策略（GroupPolicy），顧名思義，就是基于組的策略。它以Windows中的一個(gè)MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定用戶(hù)來(lái)設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶(hù)或用戶(hù)組定制可用的程序、桌面上的內(nèi)容，以及“開(kāi)始”菜單選項(xiàng)等，也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。簡(jiǎn)單點(diǎn)說(shuō)，組策略就是修改注冊(cè)表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。組策略編輯器及組策略基本功能您只需單擊選擇【開(kāi)始】→【運(yùn)行】命令，在【運(yùn)行】對(duì)話(huà)框的【打開(kāi)】欄中輸入“gpedit.msc”，然后單擊“確定”按扭即可啟動(dòng)windows2003組策略編輯器。（注：這個(gè)“組策略”程序位于“C:\WINNT\SYSTEM32”中，文件名為“gpedit.msc”。）圖13-1組策略編輯器窗口在打開(kāi)的組策略窗口中（如組策略圖所示），可以發(fā)現(xiàn)左側(cè)窗格中是以樹(shù)狀結(jié)構(gòu)給出的控制對(duì)象，右側(cè)窗格中則是針對(duì)左邊某一配置可以設(shè)置的具體策略。另外，您或許已經(jīng)注意到，左側(cè)窗格中的【本地計(jì)算機(jī)】策略是由【計(jì)算機(jī)配置】和【用戶(hù)配置】?jī)纱笞渔I構(gòu)成，并且這兩者中的部分項(xiàng)目是重復(fù)的，如兩者下面都含有【軟件設(shè)置】、【W(wǎng)indows設(shè)置】等。那么在不同子鍵下進(jìn)行相同項(xiàng)目的設(shè)置有何區(qū)別呢？這里的【計(jì)算機(jī)配置】是對(duì)整個(gè)計(jì)算機(jī)中的系統(tǒng)配置進(jìn)行設(shè)置的，它對(duì)當(dāng)前計(jì)算機(jī)中所有用戶(hù)的運(yùn)行環(huán)境都起作用；而【用戶(hù)配置】則是對(duì)當(dāng)前用戶(hù)的系統(tǒng)配置進(jìn)行設(shè)置的，它僅對(duì)當(dāng)前用戶(hù)起作用。例如，二者都提供了“停用自動(dòng)播放”功能的設(shè)置，如果是在【計(jì)算機(jī)配置】中選擇了該功能，那么所有用戶(hù)的光盤(pán)自動(dòng)運(yùn)行功能都會(huì)失效；如果是在【用戶(hù)配置】中選擇了此項(xiàng)功能，那么僅僅是該用戶(hù)的光盤(pán)自動(dòng)運(yùn)行功能失效，其他用戶(hù)則不受影響。設(shè)置時(shí)需注意這一點(diǎn)。組策略功能具有強(qiáng)大的功能，一般常用組策略來(lái)實(shí)現(xiàn)軟件分發(fā)、IE維護(hù)、軟件限制、脫機(jī)文件、安全設(shè)置、漫游配置文件、文件夾重定向、基于注冊(cè)表的設(shè)置、計(jì)算機(jī)和用戶(hù)腳本等。接下來(lái)重點(diǎn)以組策略實(shí)現(xiàn)軟件分發(fā)和組策略實(shí)現(xiàn)軟件限制以包安全為例講述組策略的具體應(yīng)用。組策略實(shí)現(xiàn)軟件分發(fā)在域模式下，通過(guò)組策略來(lái)實(shí)現(xiàn)軟件分發(fā)非常方便快捷，在開(kāi)始菜單里選擇【程序】→【管理工具】→【ActiveDirectory用戶(hù)和計(jì)算機(jī)】，打開(kāi)【ActiveDirectory用戶(hù)和計(jì)算機(jī)】。圖13-2活動(dòng)目錄用戶(hù)和計(jì)算機(jī)窗口可在此選擇整個(gè)域或者某組織單元，右擊選擇【屬性】，在【組策略】頁(yè)中，點(diǎn)【新建】組策略，命名為“軟件分發(fā)”。圖13-3為域新建名為“軟件分發(fā)”的組策略然后點(diǎn)“編輯”，即打開(kāi)“組策略編輯器”。圖13-4“軟件分發(fā)”組策略編輯器在組策略編輯器的計(jì)算機(jī)配置里，點(diǎn)【軟件設(shè)置】前“+”號(hào)展開(kāi)，選擇【軟件安裝】后在右邊空白處右擊，如圖13-5所示，在彈出菜單里選擇【新建】→【程序包】。圖13-5新建軟件安裝程序包點(diǎn)開(kāi)“程序包”后會(huì)出來(lái)讓你選擇程序包位置的窗口，如圖13-6所示，程序包文件是MSI后綴的文件，MSI文件是WindowsInstaller的數(shù)據(jù)包，它實(shí)際上是一個(gè)數(shù)據(jù)庫(kù)，包含安裝一種產(chǎn)品所需要的信息和在很多安裝情形下安裝（和卸載）程序所需的指令和數(shù)據(jù)?？梢詰?yīng)用工具自己創(chuàng)建自己的MSI程序包，創(chuàng)建MSI程序包的工具一般在系統(tǒng)安裝盤(pán)里有。圖13-6選擇要安裝的軟件包圖13-7選擇部署方法假如要安裝Windows2003自帶的支持工具包文件，這個(gè)安裝包文件必須事先放在服務(wù)器的某個(gè)目錄下并共享且其他機(jī)器有相應(yīng)的權(quán)限（要是其他可執(zhí)行文件須先做成MSI格式的安裝包才可以分發(fā)）。選擇后要分發(fā)的安裝包后，讓選擇部署方法：選擇“已指派”，若選“高級(jí)”即打開(kāi)一個(gè)新的屬性頁(yè)可進(jìn)行其他高級(jí)選項(xiàng)，如下圖所示：圖13-8部署方法“高級(jí)”界面圖13-9“軟件分發(fā)”設(shè)置完后的界面這樣就完成了軟件分發(fā)。這里“指派”為強(qiáng)制安裝，如果希望用戶(hù)決定是否安裝應(yīng)用程序則可以利用發(fā)布的方式，在“用戶(hù)配置”里設(shè)置，操作步驟同上，只是在選擇部署類(lèi)型的時(shí)候選擇"已發(fā)布"。還可以在完成后用鼠標(biāo)右擊選擇“指派”或“發(fā)行”來(lái)進(jìn)行切換。圖13-10已設(shè)置“發(fā)行”的可以重新改為“指派”修改后組策略對(duì)象后，如果是在【計(jì)算機(jī)配置】里【指派】給計(jì)算機(jī)，客戶(hù)機(jī)執(zhí)行策略刷新命令gpupdate后重啟時(shí)安裝，所有用戶(hù)在客戶(hù)機(jī)上都可使用該軟件；如果是在【用戶(hù)配置】里【指派】或者【發(fā)布】給用戶(hù)，用戶(hù)在客戶(hù)機(jī)執(zhí)行策略刷新命令gpupdate后生效，“發(fā)布”的可以在【控制面板】→【添加/刪除程序】→【添加程序】中選擇安裝，“指派”的軟件則注銷(xiāo)或重啟后重新登錄后，程序在【開(kāi)始】菜單中，用戶(hù)第一次使用該軟件時(shí)安裝。提示：組策略實(shí)驗(yàn)過(guò)程中，利用組策略來(lái)配置客戶(hù)端，需要設(shè)置好dns服務(wù)，否則因?yàn)閐ns問(wèn)題可能導(dǎo)致客戶(hù)端組策略不能生效！利用組策略實(shí)現(xiàn)軟件限制軟件限制策略的一般操作利用組策略可以通過(guò)軟件限制，來(lái)實(shí)現(xiàn)對(duì)不明程序和惡意軟件的限制以起到安全保護(hù)作用?；九渲梅椒ㄈ缦拢菏紫?，針對(duì)全域或者某組織單元，建立一個(gè)軟件限制安全組策略方法和前面軟件分發(fā)策略一樣。在組策略編輯器里選中“軟件限制策略”里的“其他規(guī)則”：圖13-11軟件限制策略在右邊空白處可以點(diǎn)鼠標(biāo)右鍵，可以創(chuàng)建新的規(guī)則。要?jiǎng)?chuàng)建規(guī)則首先需要學(xué)會(huì)系統(tǒng)通配符、環(huán)境變量的含義，以及軟件限制策略規(guī)則的優(yōu)先級(jí)。如：通配符：“?”表示任意單個(gè)字符；“*”表示任意多個(gè)字符；“**”或“*?”表示零個(gè)或多個(gè)含有反斜杠的字符，即包含子文件夾。常見(jiàn)的環(huán)境變量：環(huán)境變量用兩個(gè)“%”做標(biāo)記，假設(shè)系統(tǒng)安裝在C:\Windows目錄，那么“%USERPROFILE%”表示“C:\DocumentsandSettings\當(dāng)前用戶(hù)名”；

“%ALLUSERSPROFILE%”表示“C:\DocumentsandSettings\AllUsers”；

“%APPDATA%”表示“C:\DocumentsandSettings\當(dāng)前用戶(hù)名\ApplicationData”；

“%ALLAPPDATA%”表示“C:\DocumentsandSettings\AllUsers\ApplicationData”；

“%SYSTEMDRIVE%”表示“C:”；

“%HOMEDRIVE%”表示“C:\”；

“%SYSTEMROOT%”表示“C:\WINDOWS”；

“%WINDIR%”表示“C:\WINDOWS”；

“%TEMP%”和“%TMP%”表示“C:\DocumentsandSettings\當(dāng)前用戶(hù)名\LocalSettings\Temp”；

“%ProgramFiles%”表示“C:\ProgramFiles”；

“%CommonProgramFiles%”表示“C:\ProgramFiles\CommonFiles”。

用組策略阻止惡意程序運(yùn)行要阻止惡意程序運(yùn)行，首先要知道惡意程序一般會(huì)藏身在什么地方，惡意程序一般存在下列位置：“？:\”（?表示分區(qū)名，即分區(qū)根目錄）；“C:\WINDOWS”（一般系統(tǒng)安裝在C盤(pán)情況比較常見(jiàn)）；“C:\WINDOWS\system32；”“C:\DocumentsandSettings\Administrator”；“C:\DocumentsandSettings\Administrator\ApplicationData”；“C:\DocumentsandSettings\AllUsers”；“C:\DocumentsandSettings\AllUsers\ApplicationData”；“C:\DocumentsandSettings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)”；“C:\DocumentsandSettings\AllUsers\「開(kāi)始」菜單\程序\啟動(dòng)”；“C:\ProgramFiles”；“C:\ProgramFiles\CommonFiles”；特別注意的是在：“C:\DocumentsandSettings\Administrator”；“C:\DocumentsandSettings\Administrator\ApplicationData”；“C:\DocumentsandSettings\AllUsers”；“C:\DocumentsandSettings\AllUsers\ApplicationData”；“C:\DocumentsandSettings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)”；“C:\DocumentsandSettings\AllUsers\「開(kāi)始」菜單\程序\啟動(dòng)”；“C:\ProgramFiles”；“C:\ProgramFiles\CommonFiles”；這8個(gè)路徑下是沒(méi)有可執(zhí)行文件的，只有在它們的子目錄下才有可能存在可執(zhí)行文件，知道這一點(diǎn)，規(guī)則就可以這么寫(xiě)：“%ALLAPPDATA%\*.*不允許的”“%ALLUSERSPROFILE%\*.*不允許的”“%ALLUSERPROFILE%\「開(kāi)始」菜單\程序\啟動(dòng)\*.*不允許的”“%APPDATA%\*.*不允許的”“%USERSPROFILE%\*.*不允許的”“%USERPROFILE%\「開(kāi)始」菜單\程序\啟動(dòng)\*.*不允許的”“%ProgramFiles%\*.*不允許的”“%CommonProgramFiles%\*.*不允許的”另外對(duì)于“C:\WINDOWS”和“C:\WINDOWS\system32”這兩個(gè)路徑的規(guī)則怎么寫(xiě)呢？“C:\WINDOWS”下只有“explorer.exe”、“notepad.exe”、攝像頭程序、聲卡管理程序是需要運(yùn)行的，而其他都不需要運(yùn)行，那么其規(guī)則可以這樣寫(xiě)：“%SYSTEMROOT%\*.*不允許的”，首先禁止C:\WINDOWS下運(yùn)行可執(zhí)行文件；“C:\WINDOWS\explorer.exe不受限的”；“C:\WINDOWS\notepad.exe不受限的”；“C:\WINDOWS\amcap.exe不受限的”；“C:\WINDOWS\RTHDCPL.EXE不受限的”；這是因?yàn)榻^對(duì)路徑優(yōu)先級(jí)要大于通配符路徑的原則，先設(shè)置目錄下所有可執(zhí)行文件不允許，然后設(shè)置上述幾個(gè)排除規(guī)則，這樣在“C:\WINDOWS”下，除了“explorer.exe”、“notepad.exe”、攝像頭程序、聲卡管理程序可以運(yùn)行外，其他所有的可執(zhí)行文件均不可運(yùn)行。對(duì)于“C:\WINDOWS\system32”就不能像上面那樣寫(xiě)規(guī)則了，在“SYSTEM32”下面很多系統(tǒng)必須的可執(zhí)行文件，如果一個(gè)一個(gè)排除，那太麻煩了。所以，對(duì)“system32”，我們只要對(duì)它的子文件作一些限制，并對(duì)系統(tǒng)關(guān)鍵進(jìn)程進(jìn)行保護(hù)子文件夾的限制：“%SYSTEMROOT%\system32\config\**\*.*不允許的”；“%SYSTEMROOT%\system32\drivers\**\*.*不允許的”；“%SYSTEMROOT%\system32\spool\**\*.*不允許的”；當(dāng)然你可以照此方法限制更多的子文件夾。另外，通過(guò)軟件限制策略對(duì)system32的系統(tǒng)關(guān)鍵進(jìn)程進(jìn)行保護(hù)，system32下的有些進(jìn)程是系統(tǒng)啟動(dòng)時(shí)必須加載的，不能阻止它的運(yùn)行，但又常常被惡意軟件仿冒。為了解決這個(gè)問(wèn)題，可以考率到這些仿冒的進(jìn)程，其路徑不可能出現(xiàn)在system32下，因?yàn)樗鼈儾豢赡芴鎿Q這些核心文件，它們往往出現(xiàn)在其他的路徑中。那么可以這樣應(yīng)對(duì)：“C:\WINDOWS\system32\csrss.exe不受限的”；“C:\WINDOWS\system32\ctfmon.exe不受限的”；“C:\WINDOWS\system32\lsass.exe不受限的”；“C:\WINDOWS\system32\rundll32.exe不受限的”；“C:\WINDOWS\system32\services.exe不受限的”；“C:\WINDOWS\system32\smss.exe不受限的”；“C:\WINDOWS\system32\spoolsv.exe不受限的”；“C:\WINDOWS\system32\svchost.exe不受限的”；“C:\WINDOWS\system32\winlogon.exe不受限的”；先完全允許正常路徑下這些進(jìn)程，再屏蔽掉其他路徑下仿冒進(jìn)程，如：“csrss.*不允許的”，（“.*”表示任意后綴名，這樣就涵蓋了“bat”，“com”等等可執(zhí)行的后綴）?！癱tfm?n.*不允許的”；“l(fā)ass.*不允許的”；“l(fā)ssas.*不允許的”；“rund*.*不允許的”；“services.*不允許的”；“smss.*不允許的”；“sp???sv.*不允許的”；“s??h?st.*不允許的”；“s?vch?st.*不允許的”；“win??g?n.*不允許的”。如何保護(hù)上網(wǎng)的安全，在瀏覽不安全的網(wǎng)頁(yè)時(shí)，病毒會(huì)首先下載到IE緩存以及系統(tǒng)臨時(shí)文件夾中，并自動(dòng)運(yùn)行，造成系統(tǒng)染毒，在了解了這個(gè)感染途徑之后，我們可以利用軟件限制策略進(jìn)行封堵：“%SYSTEMROOT%\tasks\**\*.*不允許的”；這個(gè)是計(jì)劃任務(wù)，病毒藏身地之一；“%SYSTEMROOT%\Temp\**\*.*不允許的”；“%USERPROFILE%\Cookies\*.*不允許的”；“%USERPROFILE%\LocalSettings\**\*.*不允許的”；這個(gè)是IE緩存、歷史記錄、臨時(shí)文件所在位置）另外可以免疫一些常見(jiàn)的流氓軟件：“3721.*不允許的”；“CNNIC.*不允許的”；“*Bar.*不允許的”；等等，不一一陳述，大家可以照此方法自己添加。注意，“*.*”這個(gè)格式只會(huì)阻止可執(zhí)行文件，而不會(huì)阻止“.txt”，“.jpg”等等文件。另外回收站和備份文件夾里的文件也可能不安全，兩條禁止從回收站和備份文件夾執(zhí)行文件的規(guī)則：“?:\Recycler\**\*.*不允許的”；“?:\SystemVolumeInformation\**\*.*不允許的”；如何防止U盤(pán)病毒的入侵：兩條規(guī)則就可以實(shí)現(xiàn)：“?:\autorun.inf不允許的”；“?:\*.*不允許的”。預(yù)防雙后綴名的典型惡意軟件：許多惡意軟件，它有雙后綴，比如“mm.jpg.exe”，由于很多人默認(rèn)不顯示文件后綴名，所以你看到的文件名是“mm.jpg”，誤以為是jpg圖像文件。對(duì)于這類(lèi)惡意文件，不能用：“*.*.*不允許的”這樣一條規(guī)則想當(dāng)然地徹底免疫，因?yàn)檫@樣做了之后，會(huì)發(fā)現(xiàn)類(lèi)似acrobatread7.5.1這種樣式的文件無(wú)法運(yùn)行。所以應(yīng)該改成：“*.???.bat不允許的”；“*.???.cmd不允許的”；“*.???.com不允許的”；“*.???.exe不允許的”；“*.???.pif不允許的”。這樣5條規(guī)則，就沒(méi)有問(wèn)題了。諸如此類(lèi)，讀者可以按上述方法，自己根據(jù)實(shí)際情況設(shè)計(jì)更多的策略來(lái)分別限制具體的惡意文件的執(zhí)行。GPMC工具實(shí)現(xiàn)組策略管理GPMC即組策略管理控制臺(tái)（GroupPolicyManagementConsole），與Windows2000/2003Server上傳統(tǒng)的組策略編輯器截然不同，由一個(gè)全新的MMC管理單元及一整套腳本化的接口組成，提供了集中的組策略管理方案，可以大大減少不正確的組策略可能導(dǎo)致的網(wǎng)絡(luò)問(wèn)題并簡(jiǎn)化組策略相關(guān)的安全問(wèn)題，解決組策略部署中的難點(diǎn)，減輕了系統(tǒng)管理員們?cè)趯?shí)施組策略時(shí)所承擔(dān)的沉重包袱。GPMC工具在微軟網(wǎng)站上可免費(fèi)下載。下載后安裝方法和其他軟件基本類(lèi)似，就不再贅述，但需要注意的是，GPMC工具安裝前需要先安裝microsoft.netFramework環(huán)境。安裝完后在管理工具里可以看到：圖13-12GPMC安裝后的打開(kāi)位置點(diǎn)擊上圖中的GroupPolicyManagement即可打開(kāi)GPMC窗口，選中域或者某組織單元右擊后如下圖所示：圖13-13在GPMC里創(chuàng)建新的組策略對(duì)象點(diǎn)CreateandLinkaGPOhere即可在此創(chuàng)建并連接一個(gè)新的組策略對(duì)象。圖13-14輸入新的組策略名圖13-15編輯新的組策略可以選擇對(duì)整個(gè)域或者某個(gè)組織單元?jiǎng)?chuàng)建新的組策略，對(duì)新的組策略，選中后右擊可以選擇編輯“edit”。即可以打開(kāi)傳統(tǒng)的組策略編輯器。在那里可以進(jìn)行各種組策略的設(shè)置。圖13-16編輯組策略另外，在域用戶(hù)和計(jì)算機(jī)窗口里任選一個(gè)組織單元右擊，在彈出菜單里選“屬性”，屬性頁(yè)最后一個(gè)即GroupPolicy（組策略），點(diǎn)這里的“open”也可以打開(kāi)GPMC窗口來(lái)進(jìn)行組策略編輯設(shè)置。圖13-17域用戶(hù)和計(jì)算機(jī)窗口里打開(kāi)組策略實(shí)踐訓(xùn)練任務(wù)：創(chuàng)建與設(shè)置組策略任務(wù)目標(biāo)：了解組策略含義，掌握組策略的創(chuàng)建、刪除；掌握組策略的組成部分及各部分作用；掌握如何設(shè)置組策略；理解組策略的替代、繼承、不繼承、禁止替代等；了解組策略的實(shí)現(xiàn)需要一段時(shí)間。包含知識(shí)：組策略一般應(yīng)在AD搭建好了后才能較好地發(fā)揮作用，組側(cè)略幾乎無(wú)所不能，組策略可以：集中化管理、管理用戶(hù)環(huán)境、降低管理用戶(hù)的開(kāi)銷(xiāo)、強(qiáng)制執(zhí)行企業(yè)策略。組策略的幾大功能：軟件分發(fā)、軟件限制、安全設(shè)置、基于注冊(cè)表的設(shè)置、IE維護(hù)、脫機(jī)文件、漫游配置文件和文件夾重定向、計(jì)算機(jī)和用戶(hù)腳本。域中的三個(gè)容器：站點(diǎn)site，域domain，組織單元OU，規(guī)模依次遞減，組策略只可以在三種容器中應(yīng)用不能應(yīng)用到單獨(dú)的一個(gè)人（賬號(hào)），每個(gè)GPO有兩部分組成：GPC容器，存儲(chǔ)在AD中保存版本信息GPT模板，存儲(chǔ)在sysvol文件夾中，保存組策略模板。組策略常用工具和命令：gpmc工具集、supporttools工具集（adsiedit工具，在mmc中添加）；命令gpupdate/force用于客戶(hù)端強(qiáng)制刷新組策略，命令gpresult/scopeuser/v顯示組策略應(yīng)用情況；命令dcgpofix用于默認(rèn)組策略刪除后的修復(fù)。組策略的覆蓋優(yōu)先級(jí)由低到高為：本地策略、站點(diǎn)策略、域策略、父OU策略、子OU策略。當(dāng)組策略對(duì)象產(chǎn)生沖突時(shí)，計(jì)算機(jī)策略覆蓋用戶(hù)策略、不同層次的組策略產(chǎn)生沖突時(shí)，子OU覆蓋父OU策略、同一容器上多個(gè)組策略沖突時(shí)，處于GPO列表最高位的GPO優(yōu)先級(jí)最高。總體原則：后執(zhí)行的優(yōu)先級(jí)高！要變更組策略應(yīng)用順序：阻止繼承、強(qiáng)制（禁止替代）、避免變更應(yīng)用順序。阻止繼承的意思是，默認(rèn)情況下應(yīng)用到父OU的組策略會(huì)繼承到子OU上面，但如果子OU不想的話(huà)，可以配置成“阻止繼承”，這樣所有的應(yīng)用到父OU的組策略就都不會(huì)影響到子OU了。但是如果應(yīng)用到父OU的組策略是“強(qiáng)制”的話(huà)，子OU就必須繼承父OU的組策略了，即使子OU設(shè)置了“阻止繼承”也不行。如果子OU的組策略中有與帶有“強(qiáng)制”屬性的父OU的組策略相沖突的設(shè)置，則帶有“強(qiáng)制”屬性的父OU的組策略會(huì)覆蓋掉子OU的組策略中與其相沖突的設(shè)置。實(shí)驗(yàn)設(shè)備：PC機(jī)及Windows2003系統(tǒng)及帶活動(dòng)目錄的Windows2003系統(tǒng)（文件系統(tǒng)要求為NTFS格式）實(shí)施過(guò)程：1、本地組策略我們先通過(guò)本地組策略來(lái)熟悉一下組策略的作用，開(kāi)機(jī)進(jìn)入非活動(dòng)目錄的“Windows2003”Window2003系統(tǒng)，系統(tǒng)默認(rèn)已經(jīng)安裝了組策略程序，在“開(kāi)始”菜單中，單擊“運(yùn)行”命令項(xiàng)，輸入gpedit.msc并確定，打開(kāi)當(dāng)前的計(jì)算機(jī)的組策略對(duì)象，觀察本地組策略的組成和設(shè)置。在組策略編輯器中做以下實(shí)例：注意：做以下實(shí)訓(xùn)時(shí)必須用administrator賬戶(hù)登錄。（1）設(shè)置本地磁盤(pán)配額a.打開(kāi)本地磁盤(pán)屬性→配額→不啟用磁盤(pán)配額。b.打開(kāi)本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→管理模板→系統(tǒng)→磁盤(pán)配額，在右邊的窗口中選擇“啟用磁盤(pán)配額”雙擊，選擇：?jiǎn)⒂?，確定退出。觀察本地磁盤(pán)屬性中磁盤(pán)配額的變化。圖13-18組策略實(shí)現(xiàn)啟用磁盤(pán)配額（2）啟用“登錄屏幕”上不顯示上次登錄的用戶(hù)名a.“計(jì)算機(jī)配置→安全設(shè)置→本地策略→安全選項(xiàng)”的順序查找，雙擊該選項(xiàng)，選擇“啟用”。圖13-19組策略實(shí)現(xiàn)不顯示上次登錄用戶(hù)名b.注銷(xiāo)當(dāng)前用戶(hù)名，運(yùn)行登陸窗口，看有何變化。（3）設(shè)置帳戶(hù)鎖定a.建立標(biāo)準(zhǔn)本地用戶(hù)，用戶(hù)名：std,密碼：std168@;密碼永久有效。b.“計(jì)算機(jī)配置→安全設(shè)置→帳戶(hù)策略→帳戶(hù)鎖定策略”雙擊帳戶(hù)鎖定閾值，將對(duì)話(huà)框的數(shù)值設(shè)置為3→確定圖13-20組策略實(shí)現(xiàn)賬戶(hù)鎖定c.雙擊設(shè)置帳戶(hù)鎖定時(shí)間為5分鐘；d.雙擊設(shè)置復(fù)位帳戶(hù)鎖定計(jì)數(shù)器為5分鐘之后；e.退出設(shè)置，注銷(xiāo)administrator。以std用戶(hù)登陸。在登陸時(shí)故意輸入3次錯(cuò)誤密碼，在試圖用正確的密碼登陸，觀察有何效果。f.如用戶(hù)被鎖定觀察5分鐘后是否能夠繼續(xù)登陸。注銷(xiāo)當(dāng)前用戶(hù)，以administrator登陸，打開(kāi)本地策略。（4）“桌面”設(shè)置打開(kāi)位置：“組策略控制臺(tái)→用戶(hù)配置→管理模板→桌面”a.隱藏桌面上的“網(wǎng)上鄰居”圖標(biāo)，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”這個(gè)策略選項(xiàng)啟用即可；圖13-21組策略實(shí)現(xiàn)隱藏“網(wǎng)上鄰居”b.啟用“刪除桌面上的‘我的文檔’圖標(biāo)”和“刪除桌面上的‘我的電腦’圖標(biāo)”兩個(gè)選項(xiàng)。c.觀察桌面變化，注銷(xiāo)administrator，以std登陸，觀察桌面。注銷(xiāo)當(dāng)前用戶(hù)，以administrator登陸，打開(kāi)本地策略。（5）禁止“注銷(xiāo)”和“關(guān)機(jī)”當(dāng)計(jì)算機(jī)啟動(dòng)以后，如果你不希望這個(gè)用戶(hù)再進(jìn)行“關(guān)機(jī)”和“注銷(xiāo)”操作，那么可進(jìn)入“組策略控制臺(tái)→用戶(hù)配置→管理模板→任務(wù)欄和開(kāi)始菜單”將組策略控制臺(tái)右側(cè)窗格中的“刪除開(kāi)始菜單上的‘注銷(xiāo)’”和“刪除和阻止訪(fǎng)問(wèn)‘關(guān)機(jī)’命令”兩個(gè)策略啟用。圖13-22組策略實(shí)現(xiàn)刪除“關(guān)機(jī)”項(xiàng)這個(gè)設(shè)置會(huì)從開(kāi)始菜單刪除“關(guān)機(jī)”選項(xiàng)，并禁用“Windows任務(wù)管理器”對(duì)話(huà)框按“Ctrl+Alt+Del”會(huì)出現(xiàn)這個(gè)對(duì)話(huà)框中的“關(guān)機(jī)”選項(xiàng)。另外需要注意的是，此設(shè)置雖然可防止用戶(hù)用Windows界面來(lái)關(guān)機(jī)，但無(wú)法防止用戶(hù)用其他第三方工具程序來(lái)將Windows關(guān)閉。提示：如果啟用了“刪除開(kāi)始菜單上的‘注銷(xiāo)’”，則會(huì)從“開(kāi)始菜單選項(xiàng)”刪除“顯示注銷(xiāo)”項(xiàng)目。用戶(hù)無(wú)法將“注銷(xiāo)<用戶(hù)名>”項(xiàng)目還原到開(kāi)始菜單（只能通過(guò)手工修改注冊(cè)表的方法）。這個(gè)設(shè)置只影響開(kāi)始菜單，它不影響“Windows任務(wù)管理器”對(duì)話(huà)框上的“注銷(xiāo)”項(xiàng)目（因此需要同時(shí)啟用“刪除和阻止訪(fǎng)問(wèn)‘關(guān)機(jī)’命令”），而且不妨礙用戶(hù)用其它方法注銷(xiāo)。(6)還原桌面上的“網(wǎng)上鄰居”和開(kāi)始菜單中的“關(guān)機(jī)”選項(xiàng)(7）嘗試更改其他策略設(shè)置（3-5種），觀察有什么影響。以上是關(guān)于本地計(jì)算機(jī)組策略的配置?？梢詰?yīng)用于WIN2003、WindowsXp、Windows2000操作系統(tǒng)。我們通過(guò)上述實(shí)訓(xùn)對(duì)組策略的組成和設(shè)置有了一個(gè)初步認(rèn)識(shí)。

2、進(jìn)入到帶活動(dòng)目錄的Windows2003系統(tǒng)，設(shè)置基于域或組織單元等的組策略可以采用GPMC工具來(lái)設(shè)置組策略，也可以利用“活動(dòng)目錄用戶(hù)和計(jì)算機(jī)”來(lái)設(shè)置組策略。

點(diǎn)擊【開(kāi)始】→【程序】→【管理工具】→【活動(dòng)目錄用戶(hù)和計(jì)算機(jī)】→雙擊域名→在某組織單元中單擊鼠標(biāo)右鍵→【屬性】→【組策略】→【新建】（命名：newtestpolicy）→【編輯】→【用戶(hù)配置】→【W(wǎng)indows配置】→【腳本（登錄注銷(xiāo)）】→【登錄】，如圖所示：圖13-23組策略實(shí)現(xiàn)登錄腳本設(shè)置登錄腳本：是針對(duì)一個(gè)用戶(hù)設(shè)置的，也就是若某個(gè)用戶(hù)被指派了登錄腳本。則當(dāng)其登錄時(shí)，此腳本就會(huì)自動(dòng)被執(zhí)行。用記事本