2008年 SERVER Ch11.pptVIP

* * * * * * * * 第 11 章 群組原則與安全設定 * Windows Server 2008安裝與管理 群組原則概觀 本機電腦原則實例演練 網域群組原則實例演練 本機安全性原則 網域與網域控制站安全性原則 群組原則喜好設定 稽核資源的使用 * 本章內容 群組原則概觀 透過群組原則來控管使用者的工作環境 電腦設定 使用者設定 可透過以下兩個途徑來設定群組原則 本機電腦原則 網域內的群組原則 針對站台、網域或組織單位來設定 本機電腦原則與網域群組原則有衝突的話，以網域的設定優先 * 本機電腦原則實例演練 電腦設定實例演練 停用 顯示關機事件追蹤器 使用者設定實例演練 移除「關機」、「重新啟動」、「睡眠」及「休眠」命令 移除瀏覽器Internet Explorer的「安全性」與「連線」標籤 將「控制台」內的「Windows防火牆」隱藏起來 * 群組原則基本觀念 網域群組原則 會被套用到網域內的所有電腦與使用者 組織單位群組原則 會被套用到該組織單位內的所有電腦與使用者 組織單位會繼承網域群組原則的設定 有效設定=網域群組原則+組織單位群組原則 若兩者之間的設定有衝突的話，預設是以組織單位的原則設定優先 ＊ 可透過禁止繼承與強制繼承來變更預設值 透過GPO來設定群組原則，內建有兩個GPO: Default Domain Policy Default Domain Controllers Policy * 群組原則實例演練 針對組織單位GPO內的 使用者設定 來禁止使用者執行瀏覽器Internet Explorer * 群組原則例外排除 原則設定會被套用到網域或組織單位內的所有使用者與電腦 可透過群組原則篩選來將所選的使用者或電腦排除、不套用 * 本機安全性原則 位於本機電腦原則內 帳戶原則的設定 本機原則 * 帳戶原則－帳戶鎖定原則 帳戶鎖定閾值 帳戶鎖定時間 自動解除鎖定 手動解除鎖定 重設帳戶鎖定計數器的時間間隔 * 將勾勾符號清除即可解除鎖定 本機原則－使用者權利指派 允許本機登入 拒絕本機登入 將工作站新增至網域 關閉系統 從網路存取這台電腦 拒絕從網路存取這台電腦 強制從遠端系統進行關閉 備份檔案及目錄 還原檔案及目錄 管理稽核及安全性記錄 變更系統時間 載入及卸載裝置驅動程式 取得檔案或其他物件的擁有權 … * 本機原則－安全性選項 互動式登入：不要求按CTRL+ALT+DEL鍵 互動式登入：不要顯示上次登入的使用者名稱 互動式登入：先前網域控制站無法使用時的登入 快取次數 互動式登入：在密碼過期前提示使用者變更密碼 互動式登入：給登入使用者的訊息本文、給登入 使用者的訊息標題 關機：允許不登入就將系統關機 … * 網域安全性原則 透過群組原則管理來管理 網域內的所有電腦都會受到網域安全性原則的影響 網域內電腦的本機安全性原則與網域安全性原則的設定有衝突時，以網域安全性原則的設定優先 只有在網域安全性原則是被設定成尚未定義 時，本機安全性原則的設定才有效，若網域安全性原則是啟用或停用的話，則本機安全性原則的設定無效 * 網域安全性原則的套用時機 本機安全性原則有異動時 本機電腦重新啟動時 定時套用 網域控制站：每隔5分鐘自動套用 非網域控制站:每隔90到120分鐘自動套用 所有電腦每隔16小時會自動強制套用網域安全性原則內的所有設定，即使原則設定沒有異動 手動套用 gpupdate gpupdate /force 多台網域控制站的情況:PDC操作主機 * 網域控制站安全性原則 透過群組原則管理來設定 位於組織單位Domain Controllers內的所有網域控制站都會受到影響 網域控制站安全性原則與網域安全性原則的設定有衝突時，預設是以網域控制站安全性原則的設定優先，也就是網域安全性原則自動無效 帳戶原則 例外：網域安全性原則的帳戶原則設定對網域內所有的使用者都有效，包含組織單位Domain Controllers ，也就是網域控制站安全性原則的帳戶原則對Domain Controllers內的使用者並沒有作用 網域控制站安全性原則的設定必須要套用到網域控制站後，這些設定對網域控制站才有作用。套用時機如前所述 * 喜好設定與原則設定 只有網域內的群組原則才有喜好設定功能，本機電腦原則並無此功能 喜好設定非強制性，用戶端可自行變更設定值(故適合於當作預設值)，然而原則設定是強制性設定，用戶端套用這些設定後就無法變更 原則設定：用戶端電腦的作業系統或應用程式需支援群組原則。 喜好設定：不需此要求 篩選設定 原則設定:需針對整個GPO來篩選 喜好設定：可以針對單一設定項目來篩選 原則設定優先於喜好設定 用戶端電