使用组策略管理用户环境

1、使用组策略管理用户环境前一章主要内容回顾组策略概述组策略的功能组策略对象使用组策略管理单元计算机和用户的组策略设置应用组策略的时间使用组策略对象创建组策略对象链接现有组策略对象指定管理GPO的域控制器组策略的处理规则组策略的继承与处理规则处理未作更改的组策略设置组策略和慢速网络连接本章目标了解用户环境管理的任务，掌握管理模板的使用方法以及常用的安全设置掌握使用组策略设置脚本、重定向文件夹、部署软件的方法学会配置安全策略、使用安全模板、使用安全配置和分析工具掌握如何设置审核策略，并审核特定的行为用户环境管理概述用户环境管理是指系统管理员通过组策略来管理用户使用计算机的工作环境，如管理用户的桌面、

2、网络连接等常用来管理用户环境的组策略类型包括：管理模板设置脚本设置文件夹重定向安全设置管理模板概述管理模板是Windows 2000/XP/Server 2003组策略的一个重要组件管理模板是Unicode格式的文本文件，扩展名.adm，位于计算机的%windir%inf文件夹下不同的操作系统默认安装的管理模板不同可以通过组策略对象编辑器添加/删除管理模板，也可以为某些Microsoft应用程序下载其他模板，甚至可以创建自己的模板管理模板设置的类型设置类型可以管理的内容可用于Windows组件管理用户可以访问的Windows工具和组件。计算机和用户系统管理登录和注销，管理组策略、刷新间隔以及是

3、否启用磁盘配额。计算机和用户网络管理网络连接和拨号连接的属性，包括共享网络的访问。计算机和用户打印机可以强制在Active Directory内自动发布打印机，或者禁用网络打印机。计算机任务栏和“开始”菜单管理用户可以通过“开始”菜单访问的项目。用户桌面管理用户对网络、Internet Explorer、我的文档等桌面项目的操作。用户控制面板管理对“控制面板”内的“添加/删除程序”、“显示器”和“打印机”的使用。用户共享文件夹管理发布共享文件夹、DFS根目录等。用户常用的安全设置常用的安全设置包括： 常用的桌面安全设置常用的用户访问网络资源的安全设置用户访问管理工具和应用程序的安全设置 使用管

4、理模板使用组策略中管理模板的扩展选项来完成管理模板的设置选择设置状态，通常有以下三种状态未配置：忽略该设置，不会改变注册表设置文件内相应的值启用：采用该设置，并改变相应的注册表设置文件禁用：禁止采用该设置，不允许改变相应的注册表设置文件对管理模板设置的访问右击站点、域或组织单位“属性”“组策略”选项卡创建一个新的GPO，或者选择一个已存在的GPO 单击“编辑”在组策略中展开“计算机设置”或“用户设置”展开“管理模板” 使用组策略指定脚本使用组策略的脚本设置可以使脚本自动运行在组策略的计算机设置和用户设置下都有脚本设置同其它策略一样，该设置只需进行一次配置，之后就会持续在整个网络内执行组策略脚本

5、设置概述组策略中的脚本设置是指配置在计算机启动/关机时或者用户登录/注销时自动运行脚本脚本是指在Windows平台上能够运行的、包括批处理文件、可执行程序以及Windows脚本宿主支持的其它脚本指定组策略脚本设置登录/注销脚本的设定当用户登录时就自动运行的脚本是“登录脚本”；当用户注销时就自动运行的脚本是“注销脚本”；一个脚本样例用记事本编辑，保存扩展名为.vbs可用作登录脚本：用户登录后提示用户输入要运行的命令，进而可打开一个工具；如果用户输入错误的命令，则弹出一个警告信息登录/注销脚本的设定把编辑好的脚本文件复制到此目录中点击“浏览”后选择脚本指定组策略脚本设置开机/关机脚本的设定当计算机

6、开机时就自动运行的脚本是“开机脚本”；当计算机关机时就自动运行的脚本是“关机脚本” ；使用组策略重定向文件夹重定向文件夹是指把特殊文件夹的存储位置由用户的本地计算机重定向到网络服务器上的共享文件夹内通过重定向文件夹，可以保证用户的数据存储在网络服务器上的一个集中位置上，便于集中管理同时也可以保证用户无论从哪一台计算机登录都可以访问到他们的数据文件夹重定向概述默认情况下，“我的文档”、“开始菜单”等文件夹存储在本地计算机内，这些文件夹都是自动生成的，它们是每个用户帐户的用户配置文件的一部分可以利用组策略重定向的特殊文件夹包括：文件夹重定向概述(2)重定向文件夹，有以下好处：用户从不同的客户端计算

7、机登录都可以访问到文件夹内的数据文件夹内的数据被集中存储，利于对数据进行集中管理，例如，管理员在进行日常维护时就可以备份这些数据，可以利用组策略设置磁盘配额，限制用户特殊文件夹所占的磁盘空间等重定向文件夹内的文件在用户登录的计算机上没有副本，不占用客户端计算机的存储空间，而且一些机密的数据也不会留在客户端计算机上重定向“我的文档”步骤：在域中任何一台计算机上建立文件夹，设置SYSTEM和CREATE OWNER用户具有NTFS的“完全控制”权限共享此文件夹，并设置Everyone组具有“完全控制”权限通过“AD用户和计算机”工具中相应容器的组策略编辑器设置”我的文档“的“属性”设置“我的文档”

8、重定向的属性(点击右侧按键演示) 利用此容器中的用户登录来又验正设置结果设置“我的文档”重定向的属性为重定向的文件夹指定“设置”可以在重定向某文件夹(如前面的“我的文档”)后为其指定重定向的属性“设置”选择此项时，用户对自己的文件夹具有完全控制权限，其他用户均无权访问；否则，将继承父文件夹权限将相应的文件全部移动至新位置；否则，全部复制到新位置；软件的部署和管理软件部署概述指派软件给用户指派软件给计算机发布软件给用户自动修复软件删除软件部署软件管理软件软件部署概述软件的部署分为“指派”与“发布”两种发布的软件一般为“Windows Installer Package”，它包含一个扩展名为 .m

9、si的文件；其中包括安装和删除特定应用程序所需的显式指令，具有用于软件安装和维护的高级功能也可以部署扩展名为zap（低层应用程序软件包）或msp（用于修补错误的补丁文件）的软件此外，也可以把其它格式的安装包通过额外的工具转换为msi的格式后进行部署 软件部署概述(2)指派软件给用户使用组策略指派软件给用户，当用户从域内任何一台计算机登录，该软件就会被通告给该用户；但其并没有真正安装，而只是安装了与这个软件有关的部分信息只有在以下两种情况下，此软件才会自动安装：开始运行此软件利用“文件启动”功能指派软件给计算机：计算机启动时自动安装该软件发布软件给用户软件不会自动安装到用户的计算机内，可采用如下

10、安装方法：单击“开始”“控制面板”“添加或删除程序”添加程序利用“文件启动”功能软件部署概述(3)自动修复软件 安装完被发布或指派的软件后，如果此软件有关键性的文件损坏、丢失或被用户不小心删除，系统会自动检测到，并且会自动修复、重新安装此软件删除软件 不想再让用户使用此软件时，只需将该软件从 GPO内发布或指派的软件清单中删除，并设置下次用户登录或计算机启动时，自动将这个软件删除即可部署软件发布软件给用户，步骤：在域中任何一台计算机上建立一个共享文件夹作为软件发布点编辑相应容器(站点、域或OU)上的相应的GPO，找到“用户配置” “软件设置” 右击“软件安装” “属性”在“常规”选项卡上“默认

11、程序包”处输入前面建立的软件件发布点的UNC路径在组策略编辑器上， 回到“用户配置” “软件设置” 右击“软件安装” “新建” “程序包” 选择相应的程序包在弹出的对话框中选择“已发布”部署软件(2)在客户端安装发布给用户的软件“控制面板”“添加或删除程序” “添加新程序” “从网络添加程序”选择要安装的程序包“添加”测试自动修复功能在测试的计算机上，登录某管理员帐号，删除“发布”安装的软件后注销在用户再次用到该软件时会自动安装删除已发布的软件找到已经发布的软件包右击选择“所有任务” “删除”部署软件(3)指派软件给用户可以指派软件给域或OU内的用户也可以指派“已发布”软件用户登录域中的计算机

12、后，系统会自动建立被指派给用户的软件的快捷方式，并将相关扩展名与此软件关联；但没有真正安装该软件，只有在用户通过“打开”或用“文件启动”打开该软件时才会自动安装指派软件给计算机可以通过组策略中的“计算机配置”指派软件给计算机计算机启动时就会自动安装指派的软件只能“指派”软件给计算机，无法“发布”软件给计算机管理软件通过强制升级、可选升级或者重新部署等管理功能，可确保用户总是使用最新版本的软件软件升级强制升级 选择升级 说明：指派给计算机的软件， 只可以选择“强制升级” 管理软件(2)重新部署软件对于已经部署的软件，如果软件厂商新发行了service pack或补丁，则可以通过重新部署为此软件安

13、装service pack或补丁要重新部署软件，要先更新软件发布点文件夹内的文件。根据service pack或补丁文件的类型不同，更新的方法有以下两种：后缀为.msi的文件 ，可直接用新文件覆盖旧文件 后缀为.msp 的补丁文件 ，运行命令 ，形如：msiexec /p 文件路径和文件名 /a 文件路径和文件名 计算机安全策略安全策略概述使用安全模板审核策略审核策略的设置审核登录事件审核文件夹的访问行为审核打印机的访问行为审核活动目录对象的访问行为规则审核策略计算机安全策略使用组策略中的安全设置策略，可以防止用户破坏计算机的各种设置，保障用户环境和网络的安全实现安全策略最有效的方式是使用安全

14、模板，安全模板是一系列安全设置的集合，并可根据需要调整其设置使用安全模板可以简化定义和实现一组标准的组策略的过程Windows Server 2003还提供了审核功能，管理员要以通过分析安全日志查看资源被访问的情况安全策略概述实施安全策略可以设置每台计算机的本地安全策略来配置单台计算机，也可以设置域中的组策略来配置多台计算机，使用何种方式则取决于实际的需求在小规模的或者不使用AD服务的网络中，可以为每台计算机配置本地安全策略(非域控制器上)可以为采用AD服务的较大规模网络分层次(域、OU)实施安全策略域安全策略会影响域中的工作站和成员服务器(在DC上设置) 组织单位安全策略会影响该组织单位内的

15、所有用户和计算机等对象域控制器安全策略就是在Active Directory的Domain Controllers组织单位上实施的安全策略(在DC上设置) 本地安全策略的设置”管理工具“”本地安全策略“帐户策略的设置本地策略域安全策略域控制器安全策略使用安全模板Windows Server 2003有一系列的安全模板，每个模板预定义的安全设置不同，这些模板可以应用于从要求较低安全性的客户端到要求高安全性的域控制器可以直接应用这些预定义的安全模板，也可以在这些安全模板的基础上创建自定义的安全模板使用安全模板管理单元通过MMC打开管理员可以添加安全模板、设置安全模板描述、刷新安全模板列表、删除安全

16、模板安全模板中的安全性设置可以应用于本地计算机，也可以将其导入到Active Directory的组策略对象（GPO）中，当将安全模板导入GPO时，其设置会影响该GPO中的用户或计算机对象 使用预定义的安全模板系统提供了四种安全级别的预定义的安全模板：基本、兼容、安全和高度安全，这些模板包含在%systemroot%securitytemplates路径中基本 兼容 安全 高安全 创建自定义安全模板有两种方法：直接创建一个新的安全模板 复制现有的预定义的安全模板，对复制的副本进行修改 安全配置和分析将安全模板正式应用到计算机上之前，要先利用”安全配置和分析“工具，分析现有的安全性配置与模板的安

17、全性配置之间的差异通过测试确保模板的安全性设置不会对网络上的应用程序、网络连通性、安全性造成不利影响后，再将安全模板设置正式配置到计算机上利用”安全配置和分析“管理单元可以执行多种任务，包括打开数据库、导入安全模板、导出安全模板、立即分析计算机、立即配置计算机、审查安全要析结果、修改安全配置操作等可以通过MMC打开“安全配置和分析”管理单元安全分析“安全配置和分析”可以比较系统当前的安全配置与模板中的安全配置，模板会被导入到一个单独的数据库当中红色标记不一致的设置绿色标记一致的设置没有标记的表示在数据库中没有配置安全配置可以利用安全性模板中的设置立即配置计算机审核策略审核策略的设置审核登录事件

18、审核文件夹的访问行为审核打印机的访问行为审核活动目录对象的访问行为规则审核策略审核策略审核允许跟踪计算机上用户和操作系统的活动，通过分析这些活动，提出解决系统整体安全性的措施，从而将非授权使用资源的可能性降到最低 在每台计算机的安全日志中，系统都会记录一些安全事件，而审核策略则定义了这些安全事件的类型当指定的计算机上有安全事件发生时，系统会将这些事件的相关记录写入“安全日志”利用“事件查看器”可以查看这些安全日志，也可以将安全日志存档来跟踪资源使用情况要审核用户访问资源的情况，需要设置审核策略以及设置要审核的资源审核策略的设置可以通过“本地安全策略”、“域安全策略”或“域控制器安全策略”和“某容器的组策略”来设置审核策略只有Administrators组的成员才有权设置审核策略为Sales OU中某组策略的计算机配置设置审核策略审核登录事件要审核用户登录计算机时的成功或/与失改事件，需要用到“审核登录事件