第8周组策略.docx

第8周组策略.docx

《第8周组策略.docx》由会员分享，可在线阅读，更多相关《第8周组策略.docx（10页珍藏版）》请在冰豆网上搜索。

第8周组策略

课题：

组策略

（一）

课时

第周第课时200年　月　日

一、教学目的：

1、理解Windows2000组策略管理

2、理解组策略的应用顺序

3、掌握启动组策略

二、教学重点：

1、理解Windows2000组策略管理

2、理解组策略的应用顺序

3、掌握启动组策略

三、教学难点：

1、理解组策略的应用顺序

2、掌握启动组策略

四、教学方法：

讲授+演示

五、教学用具：

多媒体教室

六、教学过程：

一、Windows2000组策略管理

　　熟悉Windows98的用户都知道，在Windows安装盘中有一个系统策略编辑器，可以对用户和用户组进行各种设置，系统则根据这些设置自动修改注册表的相关内容。

Windows2000也提供了一个与之相类似的但功能却要强大得多的策略编辑器，就是“组策略”，它能通过修改注册表对系统的各种特殊属性进行设置，从而满足用户对系统进行相关设置和限制的需要。

　　说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

　　在Windows2000操作系统中，我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。

通过使用“组策略”，Microsoft管理控制台（MMC，MicrosoftManagementConsole）可以为特定用户和计算机组创建个性化的配置。

MMC是Win2000系统的一个特性，它是一个集成了用来管理网络、计算机、服务及其他系统组件的管理工具。

控制台不执行管理功能，但它集成了管理工具，通过将管理单元（可以添加到控制台的主要工具类型）加载到控制台中来完成系统的相关设置。

“组策略”配置包含在一个“组策略对象”（GPO）中，该对象又与选定的ActiveDirectory服务容器如站点、域或组织单位（OU）等相关联。

组策略对象包括两种对象──非本地和本地的组策略对象。

　　组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可以定义用户桌面环境的各种组件、用户可以使用的程序、出现在用户桌面上的图标、“开始”菜单选项、哪些用户可以修改桌面及哪些用户不能修改桌面等等。

组策略的设置是将组策略管理单元加载到控制台中来进行的。

对本地计算机可以进行两个方面的设置：

本地计算机配置和本地用户配置。

计算机策略在计算机启动时获得，用户策略在用户登录时获得。

所有策略的设置都将保存到注册表的相关项目中。

对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。

　　存储在域控制器中的非本地组策略对象只能在ActiveDirectory环境下使用。

它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

　　本地组策略对象存储在各个本地计算机上。

一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。

如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。

如果不冲突，则都可以应用。

　　使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理。

二、组策略的应用顺序：

　　相信你已经注意到了，对于同一条策略，我们也许可以分别在本地和在域中给出不同的设置。

那么如果域中的设置和本地的设置互相冲突了，系统该以哪个设置为准？

其实策略的应用是有一定顺序的，先后顺序如下：

（1）本地组策略对象中的设置

（2）站点组策略对象中的设置

　　（3）域组策略对象中的设置

　　（4）管理单元组策略对象中的设置

　　由于最后被应用的策略设置将会覆盖之前应用的设置，这意味着在设置互相冲突的情况下，最高级别的活动目录下组策略设置将会取得优先权，也就是说，最终的结果是，域中设置的策略将会覆盖本地策略。

三、启动组策略

在Windows2000/XP中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序。

（“组策略”程序位于“WINNT\SYSTEM32”文件夹中，其名为“gpedit.msc”）

　　使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

　　单击“开始”菜单的“运行”项，输入“mmc”并确定，弹出控制台窗口。

单击控制台主菜单的“控制台”项，选择“添加/删除管理单元”菜单项，如下图所示。

　　在“添加/删除管理单元”对话框中，单击“添加”按钮，弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”条目，单击“添加”按钮。

因为是将组策略应用到本地计算机中，所以在接下来弹出的“选择组策略对象”对话框中，“组策略对象”中默认的是本地计算机，单击“完成”按钮，返回到“添加独立管理单元”对话框，单击“关闭”按钮。

这时“本地计算机”策略条目就添加到“添加/删除管理单元”对话框的列表中，单击“确定”按钮，“组策略”就添加到控制台中了。

如下面两个图所示。

七、课程小结：

今天我们主要学习Windows2000组策略管理、组策略的应用顺序和组策略应用，同学习使大家了解组策略并使用组策略。

八、作业（书面作业或上机作业要说明）：

练习题：

自己试着应有组策略？

课题：

组策略

（二）

课时

第周第课时200年　月　日

一、教学目的：

1、了解组策略安全概述

2、理解组策略工作原理

3、理解组策略的安全设置

4、理解组策略中的管理模板

5、理解设置组策略

二、教学重点：

1、组策略工作原理

2、理解组策略的安全设置

3、理解设置组策略

三、教学难点：

1、组策略工作原理

2、实施组策略安全管理

3、理解设置组策略

四、教学方法：

讲授+演示

五、教学用具：

多媒体教室/电脑室、

六、教学过程：

一、组策略安全概述

　　组策略包括应用于域或计算机组的大量安全权限配置文件。

一个组策略对象可以应用到局域网内的所有计算机。

单个计算机启动时，组策略得以应用，如果作出改动时没有重新启动计算机，组策略会得到定期刷新。

　　1、组策略工作原理

　　组策略与ActiveDirectory用户中的域和文件夹以及MMC管理单元相关联。

组策略授予的权限应用到存储于该文件夹中的计算机上。

使用ActiveDirectory站点和服务管理单元还可将组策略应用到站点。

子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象。

指派给一个文件夹的组策略可能不止一个。

组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上。

它加强了一致性并易于管理。

组策略对象包含实现多种类型安全策略的权限和参数。

总之，组策略可由父站点传递到子站点和局域网。

如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象。

　　2、组策略的安全设置

　　位于组策略对象“安全设置”节点的容器包括：

账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、ActiveDirectory中的网际协议安全策略等。

有些策略只应用于域的范围，也就是说，策略设置是在域范围内进行的。

例如账户策略一律应用于域内的所有用户账户。

不能为同一域内的不同部门定义不同账户策略。

至于安全策略范围，账户策略和公钥策略都具有域范围。

所有其它策略范围都可在部门等级设定。

　　3、安全模板

　　Windows2000为在网络环境设置中的使用提供了一套安全模板。

“安全模板”是Windows2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件。

例如，hisecdc模板包括适合高安全性域控制器的设置。

可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上。

把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略。

二、组策略中的管理模板

　　在Windows2000/XP/2003目录中包含了几个.adm文件。

这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。

　　在Windows9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。

而在Windows2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为：

　　　1）System.adm：

默认情况下安装在“组策略”中，用于系统设置。

　　　2）Inetres.adm：

默认情况下安装在“组策略”中；用于InternetExplorer策略设置。

　　　3）Wmplayer.adm：

用于WindowsMediaPlayer设置。

　　　4）Conf.adm：

用于NetMeeting设置。

　　在Windows2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows9X下，则只允许当前打开一个策略模板。

下面介绍使用策略模板的方法。

首先在Windows2000/XP/2003组策略控制台中使用如下：

　　首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”，则弹出如下图所示的对话框。

　　然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。

单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

　　返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板文件的其它模板文件）。

　　再来看Windows9X下的组策略编辑器。

首先在组策略编辑器中的“文件”菜单中选择“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”，则弹出如下图所示的对话框。

然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm文件并单击“打开”按钮，则在编辑器中打开选定的脚本文件并等待用户执行。

四、Windows2000/XP/2003组策略控制台

　　如果是Windows2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序（界面如下图所示）。

（注：

这个“组策略”程序位于“C:

\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。

）

在打开的组策略窗口中，可以发现窗口左边是以树状结构给出的控制对象，右边是针对左边某一配置可以设置的具体策略。

另外，用户已经注意到，左边窗口中的“本地计算机”策略由“计算机配置”和“用户配置”两大子键构成，且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。

那么在不同子键下进行相同项目的设置有何区别呢？

这里“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。

如二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择的该功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。

设置时需注意这一点。

　　使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

　　1）打开Microsoft管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC并回车，运行控制台程序）。

　　2）在“文件”菜单上，单击“添加/删除管理单元”。

　　3）在“独立”选项卡上，单击“添加”。

　　4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

　　5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

　　6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

　　对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标签，而没有其他标签项目。

　　通过上面的方法，我们就可以使用Windows2000/XP/2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

　　在上面我们介绍了Windows9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：

已启用、未配置、已禁用。

五、实施组策略安全管理

　　在Windows2000局域网中实施组策略安全管理应分别从服务器和工作站两方面进行。

首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。

　　1、启动活动目录服务

　　在“程序→管理工具→配置服务器”选项中，选定左边的“ActiveDirectory”，启动活动目录安装向导。

设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定。

　　2、打开组策略控制台

　　启动“ActiveDirectory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。

六、策略更改，即时生效

　　无论是对于Windows2003域还是Windows2000域来说，一旦修改了域的默认安全策略后，新的安全策略还不能立即生效，一般情况下需要过5到15分钟左右的时间，Windows系统才会自动更新系统组策略中的设置。

那么有没有办法让修改后的安全策略，能够对用户或客户机立即生效呢?

答案是肯定的，你可以按照下面的步骤来实现:

　　对于Windows2000域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下;

　　接着在DOS命令提示符下，输入字符串命令“secedit/refreshpolicymachine_policy/enforce”，单击回车键后，新修改的安全策略将会立即生效;

　　如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“secedit/refreshpolicyuser_policy/enforce”就可以了。

　　对于Windows2003域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下;

　　接着在DOS命令提示符下，输入字符串命令“gpupdate/target:

computer”，单击回车键后，新修改的安全策略将会立即生效;

　　如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“gpupdate/target:

user”就可以了。

如果你想对计算机策略和用户策略同时进行更新的话，那你可以直接执行字符串命令“gpupdate”就行了。

七、设置组策略

　　Windows2000组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。

这里将几个常用策略的设置步骤介绍一下，作为策略设置的参考。

　　1、启用“登录屏幕”上不显示上次登录的用户名

　　2、启动“活动桌面墙纸”

　　　使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改。

因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面。

该选项所处的位置是“用户配置→管理模板→桌面→活动桌面”。

七、作业（书面作业或上机作业要说明）：

作业：

P180第二题

练习题：

P180第三题、第四题