第4章 用户与组的管理指导.ppt

4.3 组策略的管理 图4-56 设置“关闭事件跟踪程序” 4.3 组策略的管理 配置桌面:(4)使用脚本：所谓脚本就是一段类似Visual Basic Script或者Java Script的程序或命令，本教程不讨论脚本如何编写，关于脚本编写请参考相关的资料。脚本用于管理用户环境，Windows Server 2003提供了脚本用于计算机的启动、关机以及用户的登录和注销。设置使用脚本启动计算机的具体步骤如下： 1）选择“开始”→“运行”命令，在打开的对话框中输人gpedit.msc命令，弹出“组策略编辑器”窗口。 2）双击“计算机配置”文件夹→“Windows配置” →“脚本”，如图4-57所示。 3）右击“启动”→“属性”， 在打开的“启动属性”对话框中，如图4-58所示，单击“添加”按钮，在打开的“添加脚本”对话框中，输入要添加的脚本文件即可。 组策略的应用 4.3 组策略的管理 图4-57 Windows配置 图4-58 “启动属性”对话框 4.3 组策略的管理 文件夹重定向:在组策略中系统管理员可以重定向的文件夹有应用程序、桌面、“我的文档”、“开始”菜单。如果用户要保存数据到“我的文档”时，数据不再保存到本机而是保存到网络位置。文件夹重定向只是重定向用户自己创建的数据文档，而不会把系统数据重定向到网络服务器上，并不会造成服务器的硬盘容量需要过大。这样做的好处是：用户登录到域中任何计算机，它的文档都会很容易地获得。操作步骤如下： 1）打开“组策略编辑器”窗口，在左窗格中单击“用户配置”→“Windows设置”→文件夹重定向”，如图4-59所示。 2）右击“我的文档”，选择“属性”→“目标”标签，在“设置”下拉列表框中选择“基本每个人的文件夹重定向到同一个位置”选项，在“目标文件夹位置”下拉列表框中选择文件夹的存放位置，如图4-60所示。 组策略的应用 4.3 组策略的管理 图4-59 文件夹重定向框图 图4-60 “开始菜单属性”对话框目标选项卡 4.3 组策略的管理 3）选择“设置”选项卡，选中“授予用户对‘我的文档’的独占权限”复选框，选择“策略被删除时，将文件留在新位置”单选按钮。这样在删除策略时用户的文档不会也被删除，如图4-62所示。 4）执行Gpupdate.exe，可以使修改后的组策略立即生效，然后可以右击“我的文档”，选择“属性”，查看“我的文档”位置。 注意：进行文件夹重定向的操作有两种选择：一种是基本方式（将每个人的文件夹重定向到同一个位置），即在服务器上为每一个用户创建一个文件夹，允许把认为重要的数据放到这个文件夹下，这样做的好处是用户不要专门的去连接服务器，往服务器上存放数据，而是将数据存放在我的文档下，这些数据就会自动的存放到服务器上指定的位置；另外一种是高级方式（为不同的用户组指定位置），它是以组为单位，如图4-61所示。 组策略的应用 4.3 组策略的管理 图4-61 “开始菜单属性”目标选项卡 图4-62 “开始菜单属性”对话框设置选项卡 4.3 组策略的管理 安全设置:在用户配置和计算机配置节点中都有安全设置，然而用户配置节点下的安全设置主要是公钥策略，一般情况下使用得较少，所以把注意力放在计算机配置节点中的安全设置上，如图4-63是安全设置的基本内容。 （1）账户策略:该部分包括三个子部分：密码策略、账户锁定策略和Kerberos策略。 密码策略用于控制用户设置的密码； 账户锁定策略用于控制用户输错密码时如何锁定账户； Kerberos策略用于用户登录时的身份验证。 组策略的应用 4.3 组策略的管理 图4-63 安全设置的基本内容 图4-64 对象访问的审核策略 4.3 组策略的管理 （2）本地策略: 审核策略：它决定哪些安全事件记录到计算机的安全日志中，可以审核成功和失败事件。例如，审核对象访问是审核用户访问文件、文件夹、打印机的事件等，如图4-64所示。在本地策略中打开了某个审核策略项，不是表示系统就对用户的行为开始审核了，例如对象访问审核策略项启动后，还应该在具体的被访问对象打开审核项目。 用户权利指派：它决定用户或组有登录或任务特权，例如指定哪些用户可以关闭系统。 安全选项：它用以启动或禁用计算机的安全设置，例如Administrator和Guest的账户名、软驱和光盘的访问、驱动程序的安装以及登录提示等。 组策略的应用 4.3 组策略的管理 （3）事件日志 该设置定义了关于“应用程序”、“安全日志”和“系统事件”日志的属性：最大日志的大小、每个日志的访问权限、保留设置和保留方法，如图4-65所示。 （4）受限制的组 受限制的组用以控制组的成员，防止有的用户增加某个组的成员。此特性充当组的管理员，如图4