课件说明案例

WindowsServer2003组策略的管理与安全设置学习指南内容提要：组策略对于网络管理员非常有用，通过它，可以方便地对计算机资源进行管理。本文主要介绍了组策略控制台的启动、组策略中的管理模板、如何通过组策略管理系统以及组策略的安全设置等方面的内容。引言：利用组策略，可以将系统重要的配置功能汇集成各种配置模块，供网络管理人员直接使用，从而达到方便管理计算机资源的目的。通过组策略编辑器，网络管理员可以轻松地为系统进行安全策略的设置，从而起到安全保障的作用。启动WindowsServer2003的组策略控制对于WindowsServer2003本地计算机组策略的启启动组策略的步骤如下：“gpedit.msc”，单击“确定”按钮，如图1所示。个子键组成，如图2所示。域范围组策略的启动打开“控制面板”窗口，选择“管理工具”→“域安全策略”，如图3如果想对域控制器上的组策略对象进行编辑，也可以在“控制面板”中选择“管理工具”→“域控4所示的“默认域控制器安全设置”窗口，就可以加载默认的域组对象的属性或域控制器组策略对象的属性。创建组策略控制台可以通过将组策略作为独立的控制台管理程序来打开，对其他的计算机组策略对象进行配置。创建组策略控制台的步骤如下：单击“确定”按钮，如图5系统打开“控制台”窗口，如图6在“控制台”窗口中，选择“文件”→“添加删除管理单元”选项，打开“添加删除管理单元”框，如图7所示。单击“添加”按钮，打开“添加独立管理单元”框，如图8所示在如图8所示框中的“可用的独立管理单元”列表框中，选择“组策略对象编辑器”，如图9所示。图 图单击“添加”按钮，系统弹出“选择组策略对象”框，如图10所示在“选择组策略对象”框中，默认的组策略设置对象为“本地计算机”，可以通过单击“浏览”按钮来选择网络中的其他计算机来进行组策略的配置。单击“浏览”按钮后系统会弹出如图11所示的框。到“添加/删除管理单元”框，这时还可进行其他的设置。在“添加删除管理单元”框中选择“扩展”选项卡，如图12所示。在该选项卡中，可以对要出现在此“组策略”内的扩展性管理单元进行设置，系统会将该组策略对象内所有可以使用的扩展性管理单元都加入到“组策略”编辑器中。最后，可以单击“确定”按钮返回。这时，在控制台内就是自定义格式的组策略编辑器了，如图13所示。可以将此操作环境起来，以便在日后设置组策略对象时使用。组策略的管理组策略中的管理模板在WindowsServer2003系 中包含了几个被称为“管理模板”的.adm文件。这些文件组策略管理模板项目提供策略信息。在WindowsServer2003的系统文件夹的inf文件夹中，包含了System.adm：用于系统设置，默认情况下安装在“组策略”中。Inetres.adm：用于InternetExplorerWmplayer.adm：用于WindowsMediaPlayerConf.adm：用于NetMeetingWuau.adm：用于配置组策略来控 AU与Windows9X只允许当前打开一个策略模板不同的是，在WindowsServer2003操作系统的组策略控制台中，可以多次添加“策略模板”，添加的步骤如下：展开“组策略编辑器”窗口左侧的“计算机配置”或“用户配置”，右击其中的“管理模板”，在弹出的子菜单中选择“添加删除模板”命令，如图14所示。系统会弹出如图15所示的“添加/删除模板”框图 图单击“添加”按钮，弹出如图16所示的“策略模板”框，可以选择相应的.adm文单击“打开”按钮，就会在“添加/删除模板”框中看到新添加的管理模板所产生配置项目了，如图17图 图通过组策略管理系统修改注册表编辑器通过禁用表编辑器，可以防止他人在使用电脑时对表文件进行修改。下面介绍禁用注册表编辑器的操作步骤：弹出“组策略编辑器”窗口，在该编辑窗口的左侧依次选择“用户配置”→“系统”，如图18所示。话框，如图19所示，选择“已启用”单选按钮，再单击“确定”按钮完成选择。最后，可以进试。选择“开始”→“运行”命令，在“运行”框中输入“regedit”，单击“确定”按钮，系统将弹出警告框，提示表编辑已经被管理员禁用了。如图20所示。图 图使用命令提示符在使用WindowsServer2003时，可以通过运行“cmd.exe”命令进入DOS命令提示符状态，在该状态中所执行的一些命令会到网络运行的安全，作为网络管理员，出于的考虑，可以使用命令提示符。打开“组策略编辑器”窗口，在该编辑窗口的左侧依次选择“用户配置”→“系统”，然后双击窗口右侧的“命令提示符”，如图21所示。系统弹出“命令提示符属性”框，如图22所示，选择“已启用”单选按钮，再单击“确定”按钮完成选择。在如图22所示的框中，系统提示是否也停用命令提示符处理，这个设置决定了批处理文件.cmd和.bat是否可以在该计算机中运行。最后，用户可以尝试在“运行”框中输入cmd命令，系统将会提示命令提示符已经被系统管理员停用了，如图23所示。图 图隐藏“我的电脑”中指定的驱动器作为管理员，可以从“我的电脑”以及“Wnows资源管理器”中删除硬盘驱动器的图标，并且隐藏驱动器号，以限制用户驱动器中的数据。→“Wndws资源管理器”，然后双击窗口右侧的“隐藏‘我的电脑’中的这些指定的驱动器”，如图24所示。系统弹出“隐藏‘我的电脑’中的这些指定的驱动器属性”框，如图25所示，选择“已启用”单选按钮，再单击“确定”按钮完成选择。回到桌面，打开“我的电脑”窗口，发现所有的驱动器都被管理员隐藏了，如图26制面板”

→“控制面板”，然后双击窗口右侧的“控制面板”，如图27所示系统弹出“ 控制面板属性”框，选择“已启用”单选按钮，再单击“确定”28更改显示属性显示属性来实现这些限制。图29所示。使用“添加/删除程序”

若想用户对操作系统中的程序随意地进行添加或删除，可以利用组策略来实现面板”→“添加删除程序”，在窗口右侧列出了关于添加删除程序的选项，可以根据具体的需求来进行不同的限制，如图30所示。限制使用应用程序→“系统”，然后双击窗口右侧的“只运行的Windows应用程序”，如图31所示系统弹出“只运行的Windows应用程序属性”框，如图32所示，选择“已启用”同时，在“只运行的Windows应用程序属性”框中还可以选择允许运行的应用程序。单击“显示”按钮，系统会弹出“显示内容”框，如图33所示。图 图单击“添加”按钮，便可以添加允许运行的应用程序了，如图34隐藏桌面的系统图标打开“组策略编辑器”窗口，在该编辑窗口的左侧依次选择“用户配置”→“管理模板”→“桌35所示。建立新的连接

系统弹出“ ‘新建连接向导’属性”框，如图37所示，选择“已启用”单选按钮，再单击“确定”按钮完成选择。双击“组策略编辑器”窗口右侧的“为管理员启用Windows2000弹出“为管理员启用Windows2000网络连接设置属性”框，如图38所示，选择“已启用”单选按钮，再单击“确定”按钮完成选择。图 图启用这两个策略后，“新建连接”图标就不会出现在“开始”菜单或“网络连接”文件夹中，那么用户将无法启动“网络连接”向导。组策略的安全设置组策略安全概述Wndowsevr2003操作系统存在着许多安全方面的，虽然可以通过打补丁的方法来减少大部分的，但还是不能完全杜绝由一些小导致的系统被或。在WndowsSrvr203中自带的“组策略编辑器”就是一个非常不错的系统安全管理工具。通过“组策略”编辑器网络管理员可以轻松地为系统进行安全策略的设置从而起到安全保障的作用。组策略包括应用于域或计算机组的大量安全权限配置文件。一个组策略对象可以应用到局域网内的所有计算机。单个计算机启动时，组策略得以应用，如果做出改动时没有重新启动计算机，组策略会得到定期刷新。组策略的继承性组策略的继承性包括了WindowsServer2003在活动中处理组策略的顺序，以及在连接到母容器的组策略的继承性。继承流程是：默认组策略被继承。子容器从父容器那里继承组策略，就是说子容器可能拥有多个用于用户和计算机的组策略设置。不止一个组策略与它连接，比如说，一个站点包含一个域以上的计算机，连接到该站点的组策略中定义的组策略设置将应用到所有登录到该站点的计算机设置用户上，不管计算机和用户账号是否在域中。组策略的安全设置组策略对象“安全设置”节点的容器包括：账户策略、本地策略、公钥策略、P安全策略等。有些策略只应用于域的范围，也就是说，策略设置是在域范围内进行的。例如账户策略一律应用于域内的所有用户账户。不能为同一域内的不同部门定义不同账户策略。至于安全策略范围，账户策略和公钥策略都具有域范围。所有其他策略范围都可在部门等级设定。安全模板WindowsServer2003系统为在网络环境设置中的使用提供了一套安全模板。“安全模板”是WindowsServer2003域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文实施组策略安全管理通常，网络管理员可以分别从服务器和工作站局域网中对WindowsServer2003系统实施安全管理。在服务器上安装活动 服务的基础上，在域中实施组策略；最后应将工作站置于服务器所管理的打开组策略控制台选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，启动“ActiveDirectory用户和计算机”，在右面对象容器树中的根上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。设置组