组策略的应用.docVIP

组策略的应用 组策略的应用组策略大全　　先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。　　 　　简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。先看看组策略的全貌，如图。本文将主要讲解以下内容：计算机配置||__Windows设置| || |__脚本(启动/关机)| |__安全设置| 　　|__账户策略| 　　| 　　|__密码策略 | 　　| 　　|__账户锁定策略| 　　|__本地策略| 　　| 　　|__审核策略| 　　| 　　|__用户权利指派| 　　| 　　|__安全选项| 　　|__公钥策略| 　　| 　　|__正在加密文件系统@| 　　|__软件限制策略| 　　| 　　|__安全级别| 　　| 　　|__其他规则@| 　　|__IP安全策略,在本地计算机||__用户配置　　　|　　　|__Windows设置　　　| 　　　|__管理模板　　　　　|__任务栏和[开始]菜单　　　　　|__桌面　　　　　|__控制面板　　　　　|__网络 　　　　　|__系统　　　　　|__Windows组件 Win2003 Server帐户和本地策略配置（上）在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。　　　　一、密码策略的设置　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：　　强制密码历史　　密码最长使用期限　　密码最短使用期限　　密码长度最小值　　密码必须符合复杂性要求　　用可还原的加密来存储密码　　　　以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下，成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。　　　　1. 对于本地计算机　　　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。　　　　第1步，执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作，打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。　　 　　　第2步，因密码策略是属于用户策略范畴，所以先需在如上图所示界面中单击选择“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。　　　　因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其它只对各选项的具体作用进行简单介绍。　　　　如配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求。启用该策略，则密码必须符合以下最低要求：　　（1）不包含全部或部分的用户帐户名　　（2）长度至少为六个字符　　（3）包含来自以下四个类别中的三个的字符：　　英文大写字母（从A到Z）　　英文小写字母（从a到z）　　10个基本数字（从0到9）　　非字母字符（例如，!、$、#、%）　　　　如果启用了此安全策略，而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全都是数字或字母，可系统为什么还是老说错误呢？一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求。更改或创建密码时，会强制执行复杂性要求。　　　　默认情况下，在域控制器上默认是已启用了这一策略的；而在独立服务器上则默认是禁用的。　　　　这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项，配置好后单击“确定”按钮使配