Windows server 2003 AD 在企业中的部署及应用 毕业论文.doc

abstractwindows server 2003 ad 在企业中的部署及应用组策略的应用摘要本文向网络管理员介绍活动目录，解释其结构，阐述其如何与应用程序及其他目录服务进行交互操作，如何通过组策略对域用户注册表集中管理，面对众多的网络安全问题，如何让企业的员工在信息化社会拥有一个安全的办公环境是应给予关注的问题。通过组策略技术的应用，集中发布、删除企业应用软件，防止员工用滥电脑娱乐和病毒的肆意传播，从而实现企业网络的安全。提高员工工作效率，加强公司电脑的管理。管理员通过对组策略的学习，工作效率大幅度提高，不再疲于奔命对每一台域中电脑反复配置。关键词：组策略 活动目录abstractmust display microsoft windows 2003 server operating systems most major function, must first understand active the directory directory services. active directory is the windows 2003 operating systems new content, it in the implementation organizations network, then achieves in organizations commercial goal to hold the important position. this article introduces active directory to the network administrator, explains its structure, elaborated how it does carry on with the application procedure and other directory services operates alternately, facing the numerous network security problems, how lets enterprises staffs have a safe work environment in the informationization society is should give the matter of concern. in this through the group strategy technologys application, realizes the enterprise network security. strengthens the company computers management.keywords: group policy active directory目录目录摘要iabstractii目录iii前言11 绪论21.1 选题背景21.2 研究目的和意义21.3 论文组织结构22 认识active directory和组策略42.1 active directory简介42.1.1 active directory功能42.1.2 active directory 的优点42.2 组策略简介62.3 组策略和ad72.3.1 gpo的多样性和继承72.3.2 gpo的内部构成82.4 本章小结83 ad的部署93.2 本章小结124 企业网络中组策略的应用134.1 利用组策略管理用户环境134.2 组策略设置的结构134.2.1 计算机配置中的windows配置134.2.2 计算机配置中的管理模板144.2.3 网络子树144.2.4 用户配置中的windows配置144.2.5 文件夹重定向154.2.6 用户配置中的管理模板控制用户环境154.3 使用组策略管理软件154.3.1 软件布置（安装和维护）的步骤164.3.2 发布和分配软件164.3.3 用组策略布置软件包164.3.4 删除布置的软件174.4 应用组策略对娱乐及公共机房管理17结论20参考文献21致谢23前言在2010年，中国网民达到4亿。中国互联网的高速发展，让人们在生活、工作等都有了极大的改变，在体验和享受互联网带来的方便及惬意时。互联网里大量存在的一些不正当行为，如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等，总是让我们感觉许多的无奈。特别是中国的广大企业，在利用互联网更加快速、便捷地实现业务全球化的同时，来自外界的病毒、木马、黑客，以及内部员工工作时间滥用网络资源所惹的祸令人触目惊心。为应对这种外忧内患的局面，反病毒、防火墙、入侵检测，在一定程度上排除了外忧。而解内患的问题也迫不及待地被提上日程。对于一些小型的企业来说，他们没有过多的时间监督每一位员工，没有过的时间查看每一台电脑，那么他们是如何解决这种现状的呢？有一种技术，它可以帮助没有过多资金的企业适当地解决内部网络管理与内部员工的办公环境的安全，那就是“组策略”技术。1 绪论1.1 选题背景现今，电脑普遍的应用在各大中小企业中，电脑提高了工作效率，及时掌握最新市场行情动态的同时，也给企业带来了让每一位老总头疼的问题。员工在工作时间滥用网络资源，聊qq、斗地主、农场偷菜、用光驱看电影等等运行与工作无关的程序，随便使用usb设备导致病毒肆意传播，也带到了电脑上。并且伴随着windows功能的越来越丰富，注册表里的配置项目也越来越多。例如：文件系统管理、磁盘管理、网络服务、dhcp服务等。其中很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，并且配置在每一台电脑上。如果是手工配置注册表，花时间去监督每一位员工，可想是多么困难和烦杂。1.2 研究目的和意义目前，在企业中，个别职工在上班时玩游戏或运行与工作无关的程序。针对这一情况，加强企业电脑的管理成为了各企业所面临的共同问题。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。组策略是注册表的一个缩影，在进行组策略设置时还要把禁止职工访问注册表。主要思想是在组策略里设置一些windows可用的运行项目，以阻止职工运行一些与工作无关的程序，提高企业工作人员的工作效率。概括的说，组策略就是使管理员能为用户指定需求，并且依赖于windows server 2003或windows 2000 server，在它上面不断执行的技术。这里面包括以下含义：(1)为用户指定需求，即用户提出的要求有管理员负责实现。用户的需求可以是实现什么样的系统设置，需要什么样的桌面，必须使用的软件等。(2)依赖于server 2003或windows 2000 server，即只能有server 2003或windows 2000 server来体现组策略，不支持windows nt 4.x、windows 9x等早期产品。(3)在上面不断执行的技术，是指客户的计算机操作系统会周期性的从ad上查询组策略的变化并执行新的设置。组策略的作用就是用来给网络管理员授予更多的活动目录用户控制权。拥有了组策略技术，实现对域中电脑集中管理应用软件，就不在为花资金和时间监督员工电脑，反反复复配置每台电脑中注册表，为每台电脑安装、卸载软件烦恼。对于公司的网络管理员，当用户告诉你说他的电脑坏了，这时你只需要给她一台新的计算机加入域环境，把旧的计算机拿走就行了。新的计算机开启后所有的设置都会完成，这就是微软智能镜像能实现的功能，其核心技术就是组策略。1.3 论文组织结构本论文的第一章主要介绍了选题背景，论文研究的目的和意义。第二章简单介绍了活动目录（active directory，ad）和组策略（group policy，gpo）。第三章是前期准备工作，搭建ad平台、ou控制台。第四章是企业网络中组策略的具体应用及作用。最后是论文的总结和致谢。2 认识active directory和组策略2.1 active directory简介活动目录（active directory）是面向windows standard server、windows enterprise server以及 windows datacenter server的目录服务。（active directory不能运行在windows web server上，但是可以通过它对运行windows web server的计算机进行管理。）active directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。active directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。microsoft active directory 服务是windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。2.1.1 active directory功能活动目录(active directory)主要提供以下功能：(1)基础网络服务：包括dns、wins、dhcp、证书服务等。服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。(2)用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。资源管理：管理打印机、文件共享服务等网络资源。(3)桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。(4)应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。2.1.2 active directory的优点与dns 集成active directory使用域名系统(dns)。dns是一种internet标准服务，它将用户能够读取的计算机名称（例如mycomputer. ）翻译成计算机能够读取的数字internet协议(ip)地址（由英文句号分隔的四组数字）。这样，在tcp/ip网络计算机上运行的进程即可相互识别并进行连接。 (1)灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 active directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。(2)可扩展性。active directory是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为user对象添加purchase authority属性，然后将每个用户的购买权限额保存为用户帐户的一部分。(3)基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 active directory站点、域或部门的组策略对象(gpo)中。gpo设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。(4)可伸缩性。active directory包括一个或多个域，每个域均有一个或多个域控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。信息复制。active directory使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。(5)信息安全。在 windows 2000 操作系统中，用户身份验证和访问控制的管理都与 active directory 完全结合在一起，这是该系统的一项关键性安全功能。active directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，active directory 还为安全策略提供了存储区和应用范围。(6)互操作性。由于 active directory 以标准目录访问协议（例如轻型目录访问协议(ldap)）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口(api)-例如 active directory 服务接口(adsi)-允许开发者访问这些协议。2.2 组策略简介组策略(group policy)，就是基于组的策略。它以windows中的一个mmc管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是windows中的一套系统更改和配置管理工具的集合。注册表是windows系统中保存系统软件和应用软件配置的数据库，而随着windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，如图2-1所示，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。图2-1 新建组策略2.3 组策略和ad要充分发挥gpo的功能，需要有ad域架构的支持，利用ad可以定义一个集中的策略，所有的windows服务器和工作站都可以采用它。然而，每台运行windows的计算机都有一个本地gpo（驻留在本地计算机文件系统上的gpo），通过本地gpo，可以为每台工作站指定一个策略，它在ad域中不起作用。例如，出于安全原因，你不会在ad域中配置公用的计算机。利用本地gpo，可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于ad域的gpo。访问本地gpo的方法有2种，第1种方法，在需要修改gpo的计算机的“开始”菜单上选择“运行”，然后键入：gpedit.msc，可以打开本地策略文件。第2种方法，可以通过在mmc控制台中选择gpe插件，并选择本地或远程计算机来人工地编辑本地gpo。本地gpo支持除软件安装和文件夹重定向之外的所有缺省扩展，因此，只利用本地gpo你不能完成这些工作，如果想充分发挥gpo的功能，还是需要ad的支持。2.3.1 gpo的多样性和继承在ad中，可以在域、组织单位（ou）或地址三个不同的层次上定义gpo。ou是ad中的一个容器，可以指派它对用户、组、计算机等对象进行管理，地址是网络上子网的集合，地址形成了ad的复制分界线。gpo的名字空间被划分为计算机配置和用户配置两个大类，只有用户和计算机可以使用gpo，象打印机对象甚至用户组都不能应用gpo。在一个域或组织单位（ou）中编辑策略的途径有几种。在活动目录用户或计算机mmc插件中，右击一个域或组织单位（ou），在菜单中选择“属性”，然后选择“组策略”标签。在编辑地址中的策略时，需要右击“活动目录地址和服务”插件，然后右击需要的地址得到其gpo。此外，还可以从“开始”菜单，选择“运行”，然后键入：mmc.exe，启动mmc，选择“控制台”，“增加/删除”插件，然后选择“组策略”插件、“浏览”，在ad域内的gpo就会显示出来，可以选择一个gpo进行编辑，如图2-2。图2-2 编辑策略的步骤2.3.2 gpo的内部构成一个gpo是由两部分组成的：组策略容器（gpc）和组策略模板（gpt）。gpc是gpo在ad中的一个实例，在一个特殊的被称作系统的容器内有一个128位的全球唯一的id码（guid）。在“活动用户目录用户和计算机”插件中选择“浏览”，从mmc菜单中选择“高级属性”，就可以看到“系统”容器。gpt是组策略在windows文件系统中的表现，与一个gpo有关的所有文件依赖于gpt。2.4 本章小结本章主要对ad和gpo做了一个初步的介绍，访问本地gpo的方法有2种，第1种方法，在需要修改gpo的计算机的“开始”菜单上选择“运行”，然后键入：gpedit.msc，可以打开本地策略文件。第2种方法，可以通过在mmc控制台中选择gpe插件，并选择本地或远程计算机来人工地编辑本地gpo。本地gpo支持除软件安装和文件夹重定向之外的所有缺省扩展，因此，只利用本地gpo你不能完成这些工作，如果想充分发挥gpo的功能，还是需要ad的支持。组策略是基于ad的，组策略的设置和管理都在ad中进行，然后通过控制机制作用到域中的所有用户和计算机上。我们可以建立多个组策略对象，每个gpo都可以由不同的活相同的策略配置。3 ad的部署3.1.1 配置dns服务器(1)网卡定义ip地址，dns服务器首选dns指向本机，将服务器命名为server，添加后缀为。将计算机重新启动以便配置生效。(2)打开控制面板添加/删除程序，添加windows组件，选择网络服务下的dns服务。添加成功后，我们在点击“开始”后，管理工具中就有相应dns控制台了。(3)创建dns正向查找区域，创建主要区域，创建成功后可以解析本企业xtep域中的server机的ip地址进行测试。3.1.2 配置ad点击“开始”/“运行”/输入“dcpromo”命令启动active directory配置向导。配置ad的步骤如下：（1）建立域控制器（2）选择在新域中建立域控制器（3）输入dns域名（4）安装活动目录数据库（5）选择sysvol目录的安装位置（6）手动安装dns服务器（7）使用与windows2000以后系统相容（8）安装完成。到此，第一个windows域已经建立！配置ad安装过程中注意dns注册诊断报告，ad配置好后检查srv记录。打开dns正向查找区域，选择新建的域属性中配置ad与dns server集成。3.1.3 创建组织单位、组、用户创建组织单位(ou)、组和用户，用户可以隶属于任何一个组织单位或组，对一个组织单位施行组策略，那该组策略对该组织单位下的每一个组和用户都适用。组策略的控制大多是针对组织单位进行控制的。这样才方便管理员的集中管理。创建ou、组、用户步骤如下：1) 依次点击，开始-程序-管理工具-active directory用户和计算机。2) 新建组织单位sales，用户aaa、bbb、ccc，组students。3.1.4 搭建组策略控制台搭建控制台之前，先要为组织单位sales添加默认组策略。依次点击“开始”/“运行”/输入“mmc.exe”，依次选择“文件”“添加”“删除管理单元(m)”-“添加”-“组策略对象编辑器”-“浏览”-“域/ous下的”-“选择默认的组策略”-完成。对用户的集中控制和管理，都是通过对默认的组策略进行编辑、更改来实现的。搭建控制台的目的，就是省去了在管理工具中打开ad域，选择域，选择组策略这些繁琐步骤。从而打开控制台，直接就可以编辑需要编辑的组策略。新搭建的组策略控制台如下图所示。3.2 本章小结为了方便对用户的管理，和对组策略的编辑、更改，我做了前期准备工作。(1)创建dns服务器，建立了域环境并搭建了ad平台。(2)将ad与dns集成，并在ad上创建了组织单位、组和用户。(3)搭建了组策略控制台。组策略的应用在企业中都是基于ad的，组策略的设置和管理也都是在ad上进行的。到此所有前期准备工作都已经完成。4 企业网络中组策略的应用4.1 利用组策略管理用户环境管理用户环境控制用户在登录网络时有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。用户环境为用户或计算机设置的。4.2 组策略设置的结构专业名称表(subject)的设计组策略的设置总体分为：计算机配置和用户配置计算机配置和用户配置下面又有三个子层：(1)软件设置统一管理所有软件，windows设置(2)计算机配置：脚本、安全设置用户配置：ie维护、脚本、安全设置、远程安装服务、文件夹重定向(3)管理模板解决用户环境的问题计算机配置：windows组件、系统、网络、打印机用户配置：windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单4.2.1 计算机配置中的windows配置1.添加脚本组策略脚本设置的功能是可以集中配置脚本，在计算机启动或关闭时，自动运行。指定在windows 2003上运行任何脚本，包括批处理文件、可执行程序等。如果同时添加多个脚本，则windows 2003按照从上到下的顺序执行；如果多个脚本之间有冲突，则最后处理的脚本有效。配置步骤如下：1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 计算机配置windows设置脚本右击“启动”单击“添加”3) 单击“浏览”，选定要运行的脚本或可执行文件2.计算机中的安全设置安全设置包括：帐号策略、本地策略、事件日志、无限制的组、系统服 务、注册表、文件系统、公钥策略、ip安全策略。配置步骤如下：1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 计算机配置windows设置安全设置右击“登录屏幕不要显示上次登录的用户名”3) 选择“安全性”选中“定义这个策略设置”和“已启用”4.2.2 计算机配置中的管理模板(1)计算机配置中的管理模板控制计算机桌面的外观和行为管理模板包括：windows组件、系统、网络。windows组件中规定了一些操作系统自带的组件，如：ie、netmeeting、 若任务计划等。(2)设置windows组件。步骤如下：1) 控制面板任务计划添加一个任务计划2) 打开组策略控制台选中需要编辑的组策略单击“编辑”3) 计算机配置管理模板windows组件选中“任务计划程序”项4) 右击“禁用创建新任务”选择“属性”在“策略”选项卡中选中“启用”管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。4.2.3 网络子树网络子树包括：脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接禁用网络连接共享。配置步骤如下：1) 新建一个拨号连接，设置共享2) 打开组策略控制台选中需要编辑的组策略单击“编辑”3) 计算机配置管理模板网络网络及拨号连接4) 右击“允许连接共享”选中“禁用” 4.2.4 用户配置中的windows配置windows配置中包括：ie维护、脚本、安全设置、远程安装服务、文件夹重定向（1）用用户策略中的ie维护为用户指定默认主页。步骤如下：1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 用户配置windows设置ie维护url3) 右击“重要url”选择“属性”选中“自定义主页url”输入网址4.2.5 文件夹重定向重定向文件夹。步骤如下：1) 用户配置windows设置文件夹重定向右击“my document”子树选择“属性”2) 在“目标”选项卡中，选择“基本”，来为每个用户在服务器上建立一个个人文件夹，文件夹名即用户名3) 在目标文件夹的位置输入路径：服务器名共享文件夹名用户名4) 在“设置”选项卡中设置：只有用户和系统能够访问该文件夹文件夹重定向的功能：将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。对用户最终的效果是：无论用户在那一台计算机上打开它自己的这些文件夹，看到的都是相同的内容。需要注意的是，文件夹重定向只是重定向用户自己创建的数据文档，而不会把系统数据重定向到网络服务器上。4.2.6 用户配置中的管理模板控制用户环境用户配置的管理模板包含：windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。资源管理器中的策略（使资源管理器中的文件夹选项消失）1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 用户配置管理面板windows组件windows资源管理器3) 右击“从工具菜单中删除文件夹选项菜单”，选择“启用”任务栏和开始菜单控制任务栏和开始菜单中的各种环境4.3 使用组策略管理软件管理和维护软件可能使大多数管理员都要面对的，客户经常会问管理员他使用的软件为什么不能使用了、新软件如何安装。怎么进行软件升级等。利用windows server2003的软件分发功能可以很轻松的实现这些需求，这位我们的管理工作带来了极大的方便。软件分发是指通过组策略让用户或计算机自动进行软件的安装、更新或卸载。在windows server2003中，可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置，来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。4.3.1 软件布置（安装和维护）的步骤(1)准备阶段准备一个文件，以便一个应用程序能用组策略布置。为完成这个，应将用于应用程序的windows安装程序包文件（*.msi *.zap）复制到一个软件分布点，它可能是一个共享文件夹或服务器。(2)布置阶段管理员创建一个在计算机上安装软件并将gpo链接到相应的活动类别容器内的组策略对象（gpo）。实际上，软件是在计算机启动或用户激活应用程序时安装。(3)维护阶段用新版本的软件升级软件或用一个补丁包来重新布置软件。当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。(4)删除阶段为删除不再使用的软件，从开始布置软件的gpo中删除软件包设置。当计算机启动或用户登录时软件将被自动删除。4.3.2 发布和分配软件用组策略统一给客户端安装软件，有两种形式：发布、分配（指派）发布和分配软件，所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装；也可以通过文档激活自动安装。只能将软件发布给用户，而不给计算机。分配软件可以将软件分配用户和计算机。通过分配软件，可以确保：(1)软件对用户总是可用的。可以采用文档激活方法安装，如使用word、excel等应用程序的用户。(2)软件是有弹性的。如果缺少某些文件，当用户下次登录并激活应用程序时，将重新安装。(3)当给用户分配软件时，软件将出现在用户的桌面上，但是在用户双击其图标或打开与应用程序关联的文件之前，安装不会开始。(4)当给计算机分配软件时，在计算机启动时，软件将被自动安装。注：如果计算机是一个域控制器，分配软件给计算机将不起作用。4.3.3 用组策略布置软件包用组策略布置软件包（以用户配置中的软件设置为例）。步骤如下：1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 用户配置软件设置右击“软件安装”选择“新建”单击“程序包”3) 选择安装程序包（*.msi *.zap）单击“打开”4) 选择布置方法为“已发行”5) 再选择另一个安装程序包，选择布置方法为“已指派”6) 在域中另一台计算机上登录，控制面板添加/删除程序添加新程序注：该安装程序包所在目录必须是共享的，客户机一定要指向dns。4.3.4 删除布置的软件卸载已布置的软件1) 打开组策略控制台选中需要编辑的组策略单击“编辑”2) 用户设置软件设置软件安装右击要删除的软件选择“删除”3) 客户注销帐户或重启计算机后，软件即被删除4.4 应用组策略对娱乐及公共机房管理1.阻止运行与工作无关的程序 配置步骤如下：1) 打开域属性的“组策略”选项卡 2) 禁用注册表编辑器：打开组策略，选择“用户配置”里的“系统”，然后在右边的分割框里有一项“阻止访问注册表编辑器工具”，双击打开，在跳出属性对话框里选择“已启用”。这样可以防止员工在注册表里更改下面的设置。3) 设置可运行程序：在右边对话框里找到“只运行许可的windows应用程序”。双击打开属性对话框，选择“已启用”，这时单击下边的“显示”，会跳出显示内容对话框，单击“添加”，在跳出添加项目对话框中就可以输入想要运行的程序，在添加程序时不要遗漏，这时要注意所添加的程序一定要完整。如qq程序，要添加qq.exe才能运行。4) 完成以上设置后，为了防止职员在控制面板删除软件，可以禁止访问控制面板，其方法是：选择“用户配置”下的“管理模板”，选择“控制面板”，在右边对话框中双击“禁止访问控制面板”，在跳出属性对话框中选择“已启用”，然后选择“确定”。注册表是windows系统中保存系统、应用软件配置的数据库，组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。组策略是注册表的一个缩影，所以在进行组策略设置时还要把禁止职员访问注册表。主要思想是在组策略里设置一些windows可用的运行项目，以阻止员工运行一些与工作无关的程序2.完全禁止使用u盘配置步骤如下：1) 打开域属性的“组策略”选项卡。2) 在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置管理模板系统可移动存储访问”，在右侧窗格中双击“所有可移动存储类：拒绝所有权限”，打开目标策略属性设置对话框 。打开“所有可移动存储类：拒绝所有权限”注：在“所有可移动存储类：拒绝所有权限”属性对话框中勾选“已启用”，按“确定”按钮就可以完全禁止usb存储类设备了。现在u盘已经相当普及，电脑里面的资料很容易被复制，这对电脑中的资料无疑是一种威胁。如果您的电脑中有一些重要的资料，那就要小心了。难道要把usb端口给拆下来吗？当然不是。其实运用windows 系统本身的禁止使用usb设备的功能，就能彻底解决这一问题。3.禁止光盘自动播放配置步骤如下：1) 打开域属性的“组策略”选项卡2) 在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置管理模板windows组件自动播放策略”，在右侧窗格中双击“关闭自动播放”，打开目标策略属性设置对话框。双击“关闭自动播放”3) 在“关闭自动播放”属性对话框中勾选“已启用”，在“关闭自动播放”框中选择“cd-rom启动器”或“所有驱动器”项按“确定”即可，“关闭自动播放”对话框4) 注意：插入光盘时按住shift键可禁止光盘自动播放。这种方式最好能成为使用陌生光盘时的一种操作习惯。此设置不阻止自动播放音乐cd。光盘自动播放虽然能给您带来了许多便利，但有些时候也会带来不少麻烦。默认状态下，当您将光盘插入光驱时，系统就会自动读取光驱，并启动autorun.inf指定的应用程序。这一默认状态对系统来说是极不安全的，说不定自动运行的是一个木马程序。有时插入光盘仅仅是想查看一下光盘中的内容，自动播放功能会使您这一简单想法的实现变得复杂。关闭光盘自动播放实属明智之举。用组策略可以关闭光盘自动播放功能。4.禁止安装移动设备配置步骤如下：1) 打开组策略对象编辑器。2) 在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置管理模块系统设备安装设备安装限制”，在右侧窗格中双击“禁止安装可移动设备”，打开目标策略属性设置对话框。双击“禁止安装可移动设备” 3) 在属性对话框中勾选“已启用”并按“确定”。如果启用了此设置，则不会安装可移动设备，而且无法更新现有可移动设备的驱动程序。如果未配置或禁用了此设置，那么，只要其他策略设置允许安装设备，就可以安装可移动设备和更新现有的可移动设备。此策略设置比允许安装设备的任何其他策略设置的优先级都高。如果此策略设置禁止安装某个设备，那么，即使该设备与允许安装它的其他策略设置相匹配，也将无法安装或更新该设备。对于此策略，当设备所连接到的设备驱动程序该设备可移动时，设备被认为是可移动设备。例如，设备连接到的 usb 集线器的驱动程序报告某个通用串行总线(usb)设备是可移动设备。如果此计算机是一台终端服务器，则启用此策略还会影响指定的设备从终端服务客户端重定向到此计算机。禁止安装可移动设备对提高系统安装性能非常有效，使用此设置可防止可移动设备如盘的使用。结论结论如果想充分发挥gpo的功能，还是需要ad的支持。域环境下，在ad中部署的策略就相当于整个域中至高无上的法则，善用域策略将帮我们解决很多问题。gpo的优点是可以让用户灵活地控制系统环境，但伴随着灵活性而来的是复杂性。如果能够正确、灵活地运用gpo，就能使系统发挥出更加强大的功能。本文完成的主要工作包括以下几个方面：(1)活动目录（active directory，ad）和组策略（group policy，gpo）。认识ad活动目录为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。了解组策略可以让用户灵活地控制系统环境。(2)搭建ad平台、ou控制台，为各个组用户、计算机分配组策略。(3)组策略所有应用，都是基于ad域架构的支持的，体现出gpo与ad集成后，对整个域下的组、用户、计算机的控制能力(4)企业网络中组策略的具体应用及作用。通过组策略技术的应用，防止病毒通过移动设备传播，来实现企业网络的安全。通过对机房及域中每一台电脑的控制，禁止员工用电脑做与工作无关的娱乐项目，提高员工工作效率。对域中电脑集中发布、删除软件，加强公司电脑整体环境的管理。有了组策略，管理员的工作更加效率，掌握了组策略技术，管理员的工作得心应手。参考文献参考文献1 颜逸品.windows 2000 server企业网络建构实务组策略与安全规划篇.中国铁道出版社.2001.032 王淑江.刘晓辉(著) .windows