windows_server_2003组策略与安全配置探析.ppt

第8章 组策略与安全配置;目 录;组策略是管理员为计算机和用户定义的，是用来控制应用程序、系统设置和管理模板的一种机制。简单地说，组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。 组策略高于注册表，组策略使用更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 1.使用组策略可以实现的功能 帐户策略的设定 本地策略的设定 脚本的设定 用户工作环境的定制 软件的安装与删除 限制软件的运行 文件夹的转移 其他系统设定;方法1：单击【开始】|【运行】命令，输入gpedit.msc，单击【确定】按钮，打开当前计算机的组策略，如图8-1所示。 方法2：单击【开始】|【运行】命令，输入MMC，单击【确定】按钮，打开 Microsoft 管理控制台，添加【组策略对象编辑器】，选择所需的组策略对象，打开要编辑的组策略对象，如图8-2所示。 ;3.组策略界面 组策略主界面共分为左右两个窗格，左边窗格中的【“本地计算机”策略】由【计算机配置】和【用户配置】两个子项构成，右边窗格中是针对左边某一配置可以设置的具体策略。 4.组策略对象 组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类型的组策略对象：本地组策略对象和非本地组策略对象。 组策略作用范围：由它们所链接的站点、域或组织单元启用。 5.组策略的应用时机 计算机配置：计算机开机时自动启用，域控制器默认每隔5分钟自动启用，非域控制器默认每隔90-120分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。 用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。 手动启动组策略的命令是：gpupdate /target:compute /force 6.组策略的处理顺序 组策略的配置是累加的。 应用的顺序：本地组策略对象→站点的组策略对象→域的组策略对象→组织单元的组策略对象。后面策略覆盖前面策略。;1.计算机配置 计算机配置包括所有与计算机相关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。 2.用户配置 用户配置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。 3.组策略插件扩展 （1）软件设置 （2）Windows设置 账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、 IP安全策略、公钥策略 （3）管理模板;;2．关闭系统还原功能 操作步骤： 在【组策略】控制台中，展开【计算机配置】|【管理模板】|【系统】|【系统还原】项，在右窗格双击【关闭系统还原】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮，启用此设置来关闭系统还原。 3．禁止Windows Messenger自动运行 操作步骤：在【组策略】控制台中，展开【计算机配置】|【管理模板】|【Windows组件】|【Windows Messenger】项，在右窗格双击【不允许运行Windows Messenger】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮。 ;4．管理远程桌面设置实例 ★允许“远程桌面”连接 在【组策略编辑器 】中，展开【计算机配置】|【管理模板】|【Windows组件】|【终端服务】项，在右窗格中双击【允许用户使用终端服务远程连接】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮即可。 ★ 配置“数据重定向” 双击【客户端/服务器数据重定向】目录，打开【客户端/服务器数据重定向】项，可以设置在建立连接后所能使用的客户端资源。 ★设置空闲会话连接时间 展开【会话】目录，双击【为活动但空闲的终端服务会话设置时间限制】策略，可以限制空闲会话的连接时间。 5.审核登录帐户 在【组策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【审核策略】项，双击【帐户登录审核】策略，选择审核【成功】和【失败】两项，单击【确定】按钮。;1.个性化【任务栏和「开始」菜单】 通过组策略可以实现【任务栏和「开始」菜单】的个性化。在【组策略编辑器】控制台中，展开【用户配置】｜【管理模板】｜【任务栏和‘开始’菜单】项，在右窗格中列出【任务栏和‘开始’菜单】有关策略的具体配置。具体实例如下 ：;★给「开始」菜单减肥 在组策略窗口中，可以启用【从开始菜单删除用户文件夹】、【从开始菜单删除公用程序组】、【从开始菜单中删除‘我的文档’图标】等多种组策略配置项目来去掉不需要的菜单项。 ★保护好【任务栏和「开始」菜单】