基于新信息技术的Windows Server 2019服务器配置与管理项目教程 课件 项目4 组策略的配置与管理.pptx

任务1配置本地安全策略

任务2创建域环境中的安全策略

项目背景某公司决定实施组策略来管理账户策略，配置服务器组策略，提高计算机的安全性。在项目3中，公司已经进行了OU设置，管理员需要创建组策略对象(grouppolicyobject，GPO)来部署计划，使一些策略可应用于所有域对象，一些策略应用于武汉分公司，一些策略应用于广州分公司，并且使计算机和用户设置不同的策略，所以必须将GPO管理委派给公司每个地点的管理员。网络管理员小高通过查询资料，获知在域环境下建立组策略的基本步骤如下：(1)创建好相应的组织单位。(2)创建组织单位的组策略对象。(3)编辑组织单位的组策略对象。

任务1配置本地安全策略

某公司新购置了一台服务器，已经安装了WindowsServer2019。公司管理员小高需要在该服务器上配置本地安全策略，完成对用户账户和计算机账户的集中化管理和配置。一、组策略组策略是微软WindowsNT家族操作系统的一个特性，它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的一个版本名为本地组策略，它可以在独立且非域的计算机上管理组策略对象。(一)组策略概述组策略在部分意义上用于控制用户可以或不能在计算机上做什么(例如，施行密码复杂性策略，以避免用户选择过于简单的密码，允许或阻止身份不明的用户从远程计算机连接到网络共享，阻止访问Windows任务管理器或限制访问特定文件夹)，为特定用户或用户组定制可用的程序、桌面上的内容及“开始”菜单等，在整个计算机范围内创建特殊的桌面配置等。简言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

(二)组策略的执行顺序要完成一组计算机的中央管理目标，计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象仅适用于该台计算机。要应用一个组策略对象到一个计算机组，组策略依赖活动目录进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。在默认情况下，MicrosoftWindows每90分钟刷新一次组策略，随机偏移30分钟。在域控制器上，MicrosoftWindows每隔5分钟刷新一次。在刷新时，它会发现、获取和应用所有使用这台计算机和已登录用户的组策略对象。某些设置(如自动化软件安装、驱动器映射、脚本启动或登录)只在启动或用户登录时应用。从WindowsXP开始，用户可以使用“gpupdate”命令手动启动组策略刷新功能。

组策略对象会按照以下顺序(从上到下)处理：(1)本地：任何在本地计算机设置的组策略。在WindowsVista之前，每台计算机只能有一份本地组策略。在WindowsVista和之后的Windows版本中，允许每个用户账户分别拥有组策略。(2)站点：任何与计算机所在的活动目录站点关联的组策略。活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组。如果多个策略已链接到一个站点，则将按照管理员设置的顺序进行处理。(3)域：任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域，则将按照管理员设置的顺序进行处理。(4)组织单元：任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元。如果多个策略已链接到一个OU，则将按照管理员设置的顺序进行处理。

(三)组策略与注册表注册表是Windows中保存系统、应用软件配置的数据库。随着Windows功能的不断丰富，注册表里的配置项也越来越多。很多配置项是可以自定义设置的，但这些配置项被发布在注册表的各个角落，用户进行手动配置是非常困难和烦琐的，而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单来说，组策略用于修改注册表中的配置项。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比用户手动修改注册表更方便、灵活，功能也更加强大。按“Windows?+?R”组合键，打开“运行”对话框，在“打开”文本框中输入“regedit”，按回车键后打开“注册表编辑器”窗口，如图4-1所示。

二、本地组策略(一)本地组策略概述本地组策略(localgrouppolicy，LGP或Local(GPO))是组策略的基础版本，它面向独立且非域的计算机，会影响本地计算机的安全设置，可以应用到域计算机。本地组策略的打开方法是在“运行”对话框中输入“gpedit.msc”，打开“本地组策略编辑器”窗口，如图4-2所示。(二)本地组策略的分类本地组策略主要包含计算机配置和用户配置。无论是计算机配置还是用户配置，都包括软件设置、Win