组策略的配置及使用

1、一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法， 及使用组策略配置用户、配置计算机及配置软件的具体实例操作。四、实验内容（1）通过控制台访问组策略（2）对用户设置密码策略（3）对用户设置登录策略（4）退出系统时清除最近打开的文件的历史五、相关知识1、组策略对象的类型组策略对象有两种类型：本地和非本地。本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机 是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组 策略对象。然而，若计

2、算机处在Active directory的网络中，那么非本地组策略对象将覆 盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非 Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以 仍然可以发挥作用。非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。 非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在 网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本 地组策略对象中的策略。2、组策略模板组策略模板（GPT）是

3、域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一 个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。 当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模 板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板存储在域控制器的%systemroot%SYSVOLsysvol 文件夹下面。3、组策略设置的类型通过编辑组策略对象可以对组策略设置进行配置，可以进行配置的组策略类型有：管理模板。用于配置应用程序以及用户桌面环境的基

4、于注册表的设置。安全设置。用于配置本地计算机、域和网络安全性的设置。软件安装。用于将管理软件的安装、更新或删除操作集中起来的设置。脚本。指定了系统在何时运行特定的脚本。远程安装服务。指当通过“远程安装服务(RIS) ”运行“客户安装向导”时，用 于控制用户可用选项的设置。 Internet Explorer 维护。指用于管理和自定义 Microsoft Internet Explorer 的 设置。文件夹重定向。用于将特定的用户配置文件夹存储到网络服务器上的设置。4、计算机和用户的组策略设置存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会 应用到与组策

5、略对象相关联的站点、域或组织单位中的用户和计算机。通常可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策 略设置。计算机配置计算机配置的组策略设置包括操作系统行为、桌面行为、安全设置、计算机启动和关机 脚本、计算机分配的应用程序选项和应用程序设置。在操作系统初始化和整个系统刷新间隔 期间，系统将会应用与计算机有关的组策略设置。用户配置用户的组策略设置包括特定的操作系统行为、桌面设置、安全设置、分配和发布的应用 程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。在用户登录计算机以 及整个策略刷新间隔期间，系统将会应用与用户相关的组策略设置。一般来说，当计算机组策

6、略设置和用户组策略发生冲突时，系统将优先应用计算机组策 略设置。六、实验环境联网的多台计算机，操作系统为Windows XP，要求分组操作完成。七、参考步骤(1)通过控制台访问组策略单击“开始”一 “运行”，输入“mmc”，回车后进入控制台窗口。单击控制台窗口的“文件”一 “添加删除管理单元”，在弹出窗口单击“添加”，之后选择“组策略对象编辑器”并单击“添加”，在下一步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算 机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制台，并希 望能够选择通过命令行在控制台中打开

7、组策略对象，请选中“当从命令行开始时，允许 更改组策略管理单元的焦点”复选框如图所示。最后添加进来的组策略如图所示。(2)对用户设置密码策略在“组策略编辑器”窗口中，依次展开“计算机配置”一“Windows设置”一“安全 设置”一“账户策略”一“密码策略”，如图所示。打开“密码策略”，双击“密码必须符合复杂性要求”，弹出如图所示的界面。在“密码必须符合复杂性要求属性”对话框中选择“定义这个策略设置”，然后选择 “已启用”，再单击“确定”按钮。此时更改或设置用户密码，将弹出一个对话框，提示不能完成用户的密码更改，说明 该策略已起作用，如图所示。（3）对用户设置登录策略在“组策略编辑器”窗口中，依

8、次展开“计算机配置”一“Windows设置”一“安全 设置”一“本地策略”一“用户权利指派”，如图所示。在“用户权限分配”中双击“在本地登录”，弹出如图所示的对话框。在“允许在本地登录”对话框中，确保用户bl不在“允许本地登录”中，然后注销 当前用户。当出现登录界面时，以用户bl身份来登录，输入用户名和密码后，单击“确定”按钮，系统将提示“此系统的本地策略不允许您交互登录”，如图所示。此时，以管理员身份重新登录到系统中，并修改组策略，确保用户bl在“允许本地 登录”中。注销并重新以bl身份登录，此时，该用户就可以登录到系统中。（4）退出系统时清除最近打开的文件的历史在“组策略编辑器”窗口中，依次展开“用户配置”一“管理模板”一“任务栏和开 始菜单”，如图所示。在“任务栏和开始菜单”中双击“退出系统时清除最近打开的文件的历史”，弹出如图所示的对话框。单击应用。此后用户退出时系统将会删除最近打开的文档的历史记录，因此，用户登录时“开始” 菜单上的“文档”菜单总是空的。八、实验拓展根据以下要求对Windows Server 2003服务器进行安全策略配置：步骤（1）配置账