版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、主讲教师:谭鸣钟,Windows Server 2003服务器 操作系统,第10章 组策略及其应用,主要知识点: 一、活动目录结构和组策略 (了解) 二、配置安全策略 (掌握) 三、管理用户环境 (掌握) 四、文件夹重定向 (掌握,一组策略概述,组策略是Windows Server 2003操作系统中提供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活,它包括如下的一些选项:基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销,文件重定向等。Windows Server 2003包括几百种可以配置的组策略设置
2、。组策略设置允许企业管理员通过增强和控制用户桌面来减少总的开销,组策略只允许用户一次性地规定自己的环境,在这之后,依赖操作系统来强制实施。 组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的,它允许用户进行更改,如:桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的,系统管理员使用(MMC,Microsoft Manage Controller)工具来对用户组和计算机组设置策略,默认情况下,组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象(把它们链接到它们的目标上)的顺
3、序和级别决定了用户或计算机实际能收到的组策略设置。另外,组策略能够在站点、域、组织单元这些级别上被阻塞;组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上,然后将链接设置为非覆盖方式来实现。 默认情况下,组策略影响站点、域、或组织单元中所有用户和计算机,而不影响站点、域、或组织单元中的其他对象,组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中,也可以从属于任何非本地(即基于活动目录)的组策略对象。使用组策略指定的策略设置是Windows Server 2003中启用中心化的更新和配置管理的首选方
4、式,组策略设置能够,与站点、域、组织单元相关联 在站点、域、组织单元中影响用户和计算机 被安全组中的用户或计算机成员进一步控制 是安全的,仅仅系统管理员能更改设置 在策略改变时被删除和重写 用于很好地调整桌面控制,增强用户的计算环境,二 活动目录结构和组策略,组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是组策略对象(Group Policy Object)。组策略对象是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的,它不是仅能作用到部分组策略对象上。 有两种类型的组策
5、略对象:本地组策略对象和非本地组策略对象,组策略对象存储在Windows Server 2003的域中,其作用由它们所链接的站点、域或组织单元启用,链接到一个站点(使用活动目录站点和服务)的组策略对象能够应用于站点上的所有域。 一个域的组策略对象直接应用于域中的所有计算机和用户,从而被组织单元(通常为活动目录容器)中的所有用户和计算机继承。 应用到组织单元的组策略对象直接应用到组织单元中所有用户和计算机,从而被组织单元(通常为活动目录容器)中所有用户和计算机继承,不可能将一组策略对象链接到通常的活动目录容器中。(通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个
6、组织单元中的图标是类似的,除了有一本小书的图形叠放在文件夹上)然而,通常的活动目录容器中的用户和计算机接收这些类型的策略,这些策略继承于链接到较高层次的活动目录的组策略对象。例如,在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们,但是它们可以通过继承接收链接到域的组策略对象,本地组策略对象首先被应用,然后是链接到站点的组策略对象,再然后是链接到域的组策略对象以特定顺序被应用,最后是链接到组织单元的组策略对象,其顺序是开始于最高层(在活动目录层次)的组织单元(它包含用户或计算机帐户),终止于最低层(最接近用户和计算机)的组织单元(它包含用户和计算机)
7、。在每个组织单元中,任何链接到它的组策略对象以指定的管理顺序被应用,应用的顺序(本地、站点、域和组织单元)对于活动目录体系结构非常有意义。因为缺省情况下,对每种设置而言,后来被应用的策略覆盖前面应用的策略,而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西(任何早期被应用的设置),“打开”或“关闭”允许保留。 组策略编辑器是如下图所示的MMC插件,它分为两个节点:【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一,组策略编辑器,3、配置安全策略 安全策略用于Windows Server 2003网络的
8、安全设置。安全配置包含有应用到一个或多个Windows Server 2003支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。 能为计算机配置安全领域的包括: (1) 帐户策略 它们是Windows Server 2003域中关于密码策略、帐户锁定策略的计算机安全设置,2) 本地策略 包括有关审核策略(试图登录时审计成功或失败)、用户权限分配(他们连接到网上)、以及安全选项(以匿名连接到计算机的能力)。 (3) 事件日志 它控制如应用的大小和保持方法、安全、系统事件日志等设置。可以通过事件浏览器来访问这些日志,
9、4) 受限组 允许用来控制是否需要属于安全敏感组,以及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略,这种敏感组的例子有企业管理员、薪水册等。例如,有可能决定仅仅有两个用户成为企业管理员组,这样就定义企业行政组为一个受限组,它仅包含两个成员。如果第三个人添加到这个组(例如,在紧急情况下处理某个事情),下一次策略实施时该用户被自动的从企业管理员组删除。这种策略也可以强制用于域中工作站上的组成员(即,强制使一些系统管理员从域中移到工作站上本地管理员组,5) 系统服务 它控制启动模式及系统服务的访问权限,如哪些用户能关闭和启动传真服务。 (6) 注册表 用来为注册表表项
10、配置注册表设置,包括访问控制、审计、所有者。 (7) 文件系统 它用来为文件系统对象配置安全设置,包括访问控制、审计、所有者,1、帐户策略 装入组策略的MMC管理单元后,出现本地计算机策略选项。要访问帐户策略文件夹,需展开【本地计算机策略】、【计算机配置】、【Windows设置】、【安全设置】和【帐户策略】。如下图所示,设置帐户策略,1) 密码策略 密码策略(Password policies)可以强制在计算机上执行安全要求。一定要注意,密码策略在各个计算机上设置,而不能对特定用户配置,密码策略选项使用如下(如下图所示): 强制密码历史:用户不能用相同的密码。用户在旧密码到期或改变时要创建新密
11、码。 密码最长使用期限:到达最大密码寿命期后强迫用户改变密码。 密码最短使用期限:不允许用户连续多次改变密码以破坏强制密码历史策略,密码长度最小值:保证用户创建密码并指定其符合长度要求。如果不设置这个选项,则用户不需要创建密码。 密码必须符合复杂性要求:防止用户将常用字典中的项目当作密码。 用可还原的加密来存储密码:提供用户密码的高级安全性,密码策略,2) 帐户锁定策略 帐户锁定策略用于指定无效登录企图的最大次数。它通常被配置成在y分钟内进行x次登录失败时帐户将在指定的时间段内锁定,直到管理员打开这个帐户锁,如下图所示。 帐户锁定策略类似于银行处理ATM访问码安全性的方法。用户有几次机会输入访
12、问码。这样,如果别人企图盗用,那么他无法一直猜访问码。通常,几次访问失败后,ATM机会吃掉这个卡,然后需要从银行申请办理新卡,帐户锁定策略,2、本地策略 帐户策略可控制登录过程。要控制用户登录之后的操作,需使用本地策略(local policies),如下图所示。利用本地策略可以实现审核、指定用户权限和设置安全选项,设置本地策略,1) 审核策略 可以通过审计策略审核与用户管理有关的事件。通过跟踪某个事件,可以创建特定任务的历史,其界面如下图所示,审核策略,定义审计策略时,可以选择采用审核访问也可以选择特定事件故障。事件成功表示任务顺利完成,事件失败表示任务没有顺利完成。 缺省情况下,审核过程并
13、不启用,需要手工配置。配置审核过程之后,可以通过事件查看器、安全日志浏览审核结果。 审核太多事件会因为增大处理要求而降低系统性能。审核还需要大量磁盘空间来存放审核日志,因此事件查看实用程序要慎用,2) 用户权限分配 用户权限分配确定了用户和组对计算机的权利。用户权利的一个例子是备份文件和目录权利。这个权利使用户可以备份文件与文件夹,如下图所示,用户权限分配,3) 安全选项 启用或禁用计算机的安全设置,例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示,如下图所示,安全选项,四管理用户环境,管理用户环境意味着控制用户在登录网络时
14、有哪些权利,以及用户桌面上会出现哪些内容。集中配置和管理用户环境,可以执行下列任务,把用户访问限制在所选择的操作系统的某些部分。可以防止用户打开控制面板和关闭计算机。通过防止用户访问一些关键的操作系统组件和配置选项,可以减少用户破坏系统的可能性,要有效地配置和管理用户环境,应确保用户只可以访问他们工作需要的资源。利用管理模板可以简化用户环境并防止用户破坏工作环境或把时间花在不必要的应用程序、软件和文件上,限制使用Windows Server 2003中的工具和组件。这些工具和组件包括Internet Explorer、资源管理器和MMC。可以不让用户看到这些工具,除非他们确实需要使用。 组装用
15、户桌面。可以确保用户有他们所需要的文件、快捷方式和网络连接。 使用管理模板可以配置和管理用户环境,如下图所示,【本地计算机】策略有两个部分:计算机的配置主要集中于Windows Server 2003的管理,而用户的配置主要集中于控制用户如何能够影响桌面环境,使用管理模板管理用户环境,管理模板设置分成七种类型,下表列出了管理模板扩展中不同类型的设置,五文件夹重定向,在用户配置文件中,可以使用文件夹重定向扩展来重定向下面的任何文件夹到可选的位置(如网络共享,Application Data Desktop My Documents My Pictures 开始菜单,可以重定向一名用户的My Do
16、cuments文件夹到server_nameshare_name%username%,并且提供如下的好处,可以确保用户从一台计算机漫游到另一台计算机,并且无论在有或没有漫游用户配置文件的情况下用户的文档都是可用的。 可以把用户的数据存储在网络上而不是本地计算机上,这就为用户提供了管理和保护数据的另一种方式。 当用户从企业网上断开时,可以通过离线文件夹技术使用户的基于网络的文件夹可用,类似的好处适用任何重定向文件夹,而不仅仅是My Documents文件夹。重定向到一个DFS共享在服务器失败时增加了安全性。 设置文件夹重定向的步骤如下: 第1步 打开组策略编辑器。 第2步 展开【用户配置】,展开
17、【Windows设 置】,然后展开【文件夹重定向】。 第3步 右键单击需要重定向的文件夹名称,单击 【属性】,然后提供目标路径和位置。后表 是【目标】标签上的选项说明,目标标签选项,设置】标签上的选项控制文件夹重定向的方式。应该注意这些设置的预设值,这可能和服务器磁盘空间与安全性相关。下表是文件夹重定向设置的解释,1.组策略概论: 是一个管理用户工作环境的技术,通过他可以确保用户拥有所需要的工作环境,也可以用他来限制用户,减轻管理员的负担。 1.1 组策略的功能: 1、账户策略:如设定用户密码长度,使用期限,账户锁定 2、本地策略:如审核策略、用户权限的指派,安全性 3、脚本(scripts)
18、:如登录/注销,启动/关机。 4、用户工作环境:如隐藏桌面图标,删除开始菜单中的“运行/搜索/关机”等功能,5、软件的安装与删除:启动计算机时,自动为用户安装应用软件,自动修复应用软件或删除。 6、限制软件的运行:限制域用户只能运行某些软件。 7、文件夹转移:改变文件夹的存储位置 8、其他系统设定:让所有计算机自动信任指定CA 组策略包含“计算机配置”和“用户配置”两部分: 一、计算机配置:当启动计算机时,系统就会根据“计算机配置”的内容来配置计算机的环境。如针对域配置了组策略,那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机,二、用户配置:当用户登录时,系统就会根据“用户配置”的
19、内容来配置用户的工作环境。如针对“业务部”OU设定了组策略内的“用户配置”就会被应用到此OU内的所有用户。 除了可以针对站点,域或OU设定策略外,还可以针对本地计算机设定组策略。 1.2 组策略对象: 组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU,该GPO内的设定值就会影响到该对象的所有计算机或用户,1.3 组策略的应用时机: 当修改了GPO的配置后,这些配置值并不是立即有效,而是必须等他们应用到用户或计算机后才有效。何时有效,要看是计算机配置,还是用户配置而定。 一、计算机配置的启用时间: 1、计算机开机时 2、即使计算机不重启,系统也会自动启用: 域
20、控制器:每5分钟 非域控制器:每90120分钟 不论策略配置是否改动,系统每16小时自动启用一次 3、手动(WIN2003):gpupdate /target:computer/force,二、用户配置的启用时间: 1、用户登录时: 2、每90120分钟 不论策略配置是否改动,系统每16小时自动启用一次 3、手动:gpupdate /target:user /force,2.组策略实例: 2.1计算机配置: 由于系统默认只有某些组内的用户,才有权限在域控制器的计算机上登录,因此一般用户在利用域控制器的时候,会出现“此系统的本地策略不允许你交互登录”的字样。 那我们如何让其他用户也可以来登录到域
21、控制器上呢? Active Directory用户和计算机Domain Contorllers属性组策略,但不是我们对策略配置好了,就可以马上生效,而必须等待这个策略应用到域控制器上后,才可以使用。 2.2 用户配置: 我们利用组策略中的“用户配置”,让一个OU中的用户在登录域后,删除”开始“菜单中的“运行”选项。 业务部属性组策略按图操作,3.组策略的处理规则: 域控制器与域内的计算机在处理、应用组策略时,有一定的程序与规则,了解他们,才可以通过组策略来管理用户和计算机。 3.1 一般的继承与处理规则: 1、如果父容器(high-level container)的某个策略被配置,但其子容器(low-level container)的策略未被配置,则子将继承父的配置值。如:的GPO内的某策略已经配置了,但OU业务部的策略还是未配置,那么OU将继承a 的策略,2、如果子容器内的某个策略被配置,则此配置值会覆盖由其父容器继承下来的配置。 3.组策略的配置是累加性的,如在业务部内建立了一个GPO,同时在域和站点也都有GPO,则域、站点和业务部的GPO将累加起来,作为业务部的最后的有效值。 但当他们出现冲突时,则以处理顺序在后的GPO优先。 系统处理顺序是;站点、域 、OU 所以其中OU的优先级别最高最优先,4、系统是先处理“计算机配置”,再处理“用户配置”。如果他
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 水上乐园建设室外施工合同
- 冶金行业定价管理办法
- 停职留薪协议书范本
- 火车站单元门定制安装合同
- 企业融资保理操作指南
- 建筑工程机械施工合同
- 教育培训机构资金引入指南
- 教育论坛活动免责承诺书
- 文化传媒劳务招投标管理规定
- 城市快速路路灯设施安装合同
- 培智学校四年级生活语文《四季花开》公开课优质课课课件
- 古代服饰发展史英文版课件
- 卡特福德翻译转换理论课件
- 粉笔字入门详解课件
- 二年级上册美术课件-9.亮眼睛 |苏少版 (共14张PPT)
- 2023年嘉定区牙病防治所医护人员招聘笔试题库及答案解析
- 幼儿园经典诵读活动方案(共6篇)
- 肿瘤免疫与CART细胞治疗课件
- 马克思主义基本原理全套课件
- Australian taxation law notes 澳大利亚税法概要
- 三笔字训练教程课件
评论
0/150
提交评论