实验十三 组策略与磁盘配额管理.docx

实验十三 组策略与磁盘配额管理.docx

《实验十三 组策略与磁盘配额管理.docx》由会员分享，可在线阅读，更多相关《实验十三 组策略与磁盘配额管理.docx（13页珍藏版）》请在冰豆网上搜索。

实验十三组策略与磁盘配额管理

实验十三组策略与磁盘配额管理

一、实验目的

（1）掌握创建、更改组策略的具体步骤。

⑵掌握组策略管理模板策略的管理。

⑶掌握组策略Windows设置策略的管理。

（4）掌握为用户账户配置磁盘配额的方法

二、实验环境

三台计算机，一台安装Windows98或XP，二台已安装WindowsServer2003的计算机，其中一台计算机配置成Windows2003域控制器，另一台已计算机登录到域且已安装管理工具。

三、实验内容与步骤

⒈更改组策略

ⅰ、将域内的所有用户账户设置成都可以在域控制器上登录，也就是更改“DefaultDomainControllersPolicy”，让“DomainUsers”组内的所有成员都具备“在本地登录”的权利。

⑴　依次选择“开始”→“管理工具”→“ActiveDirectory用户和计算机”选项，并从弹出的对话框中选中DomainControllers,单击鼠标右键，再从弹出的快捷菜单中选择“属性”→“组策略”命令，如图13.1所示。

图13.1“DomainControllers属性”窗口

⑵　选定“DefaultDomainControllersPolicy”，然后单击“编辑”按钮。

⑶　打开“组策略”窗口后，依次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，如图13.2所示。

然后双击窗口右侧的“允许在本地登录”，如图13.3所示。

图13.2“组策略编辑器”窗口

（1）

图13.3“允许在本地登录属性”窗口

⑷　单击“添加”按钮，选择DomainUsers组以便让所有的域用户都具备“在本地登录”的权利。

完成后单击“确定”按钮关闭此对话框。

⑸　返回“组策略”窗口时，请关闭此窗口。

⑹　返回“DomainControllers属性”对话框，单击“确定”按钮关闭此对话框即可。

ⅱ、验证更改组策略的有效性

更改组策略后，并不是立刻生效，WindowsServer2003域控制器的组策略更新时间，默认为5分钟；WindowsServer2003工作站、成员服务器的组策略更新时间，默认为90分钟。

为了使此组策略能够立刻生效，必须注销，稍等片刻即可生效（要使生效最好重新启动计算机）。

⑴　在服务器端，以administrator账户登录。

⑵　依次选择“开始”→“管理工具”→“ActiveDirectory用户和计算机”选项，从弹出的对话框中选中Users组织单位并单击鼠标右键，然后从弹出的快捷菜单中选择“新建”→“用户”命令添加一个一般的用户账户。

（操作方法见实验六）

⑶　完成后，注销administrator,然后等待此组策略生效；或者干脆重新启动。

⑷　重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。

2、实现计算机的管理模板策略

ⅰ、建立一个组策略，实现：

启动磁盘配额，防止强制实施磁盘配额限制，防止用户运行“新任务向导”。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“ActiveDirectory用户和计算机”控制台。

②在“ActiveDirectory用户和计算机”控制台中选中“DomainControllers”,单击鼠标右键，然后从弹出的快捷菜单中选择“属性”项，再单击“组策略”选项卡，如图13.1所示。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“AdminiTemplatePolicy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“计算机配置”→“管理模板”→“系统”选项，单击““磁盘配额”，打开如图13.4所示的窗口。

图13.4“组策略编辑器”窗口

（2）

⑥在图13.4“磁盘配额”的详细信息面板中，双击“启用磁盘配额”，打开“启用磁盘配额属性”对话框，如图13.5所示，在“启用磁盘配额属性”对话框中，单击“已启用”，然后单击“确定”按钮即可。

图13.5“启用磁盘配额属性”对话框

⑥在图13.4“磁盘配额”的详细信息面板中，双击“强制磁盘配额限制”，打开“强制磁盘配额限制属性”对话框，在“强制磁盘配额限制属性”对话框中，单击“已禁用”，然后单击“确定”按钮。

⑧在“管理模板”下展开“Windows组件”，单击“任务计划程序”，打开如图13.6所示的窗口。

图13.6“组策略编辑器”窗口（3）

⑨在“任务计划程序”的详细信息面板中，双击“禁用‘创建新任务’”，打开“禁用‘创建新任务’属性”对话框，然后单击“已启用”，再单击“确定”按钮。

关闭“组策略编辑器”窗口，关闭“DmainControllers属性”窗口即可。

ⅱ、验证计算机管理模板策略

通过以下方法验证包含在“AdminTemplatePolicy”中的组策略是否被正确应用：

①利用administrator账户登录，双击“我的电脑”，右击驱动器（D：

或E：

）的图标，单击“属性”菜单项，打开驱动器属性窗口，单击“配额”选项卡，查看是否启用了磁盘配额及实施了磁盘配额限制。

②在“控制面板”中，双击“任务计划”，检查是否可以运行添加任务向导。

3、实现用户的管理模板策略

ⅰ、为组织单位“security”建立一个组策略，实现：

防止用户利用“网上邻居”浏览网络，防止用户更改“任务栏和[开始]菜单设置，防止用户访问“WindowsUpdate”，防止用户映射网络驱动器。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“ActiveDirectory用户和计算机”对话框。

②在“ActiveDirectory用户和计算机”对话框中选中“security”，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“security属性”窗口，单击“组策略”选项卡。

③在“组策略”选项卡上，单击“新建”按钮，添加一个GPO，并将其命名为“securityPolicy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”。

⑤在“组策略编辑器”窗口中，依次展开“用户配置”→“管理模板”→“Windows组件”，单击“Windows资源管理器”，打开如图13.7所示的窗口。

图13.7“组策略编辑器”窗口（4）

⑥在“Windows资源管理器”的详细信息面板中，双击“删除‘映射网络驱动器’和‘断开网络驱动器’”，打开“删除‘映射网络驱动器’和‘断开网络驱动器’属性”对话框，选中“已启用”，然后单击“确定”按钮。

⑦在“管理模板”下单击“桌面”，打开如图13.8所示的窗口，在“桌面”的详细信息面板中，双击“隐藏桌面上的‘网上邻居’”，打开“隐藏桌面上的‘网上邻居’属性”对话框，选中“已启用”，然后单击“确定”按钮。

图13.8“组策略编辑器”窗口（5）

⑧在“管理模板”下单击“任务栏和[开始]菜单”，打开如图13.9所示的窗口，在“任务栏和[开始]菜单”详细信息面板中，双击“阻止更改‘任务栏和[开始]菜单’设置”，打开“阻止更改‘任务栏和[开始]菜单’设置属性”对话框，选中“已启用”，然后单击“确定”按钮。

图13.9“组策略编辑器”窗口（6）

⑨在图13.9所示的“任务栏和[开始]菜单”详细信息面板中，双击“删除到‘WindowsUpdate’的访问和连接”，打开“删除到‘WindowsUpdate’的访问和连接属性”对话框，选中“已启用”，然后单击“确定”按钮。

关闭组策略，关闭所有窗口重新启动计算机。

ⅱ、验证计算机管理模板策略

验证包含在“securityPolicy”中的组策略是否被正确应用。

以组织单位“security”中的用户assi登录。

可以看到：

“网上邻居”没有在桌面上显示；不能修改“任务栏和[开始]菜单设置；任务栏不出现“WindowsUpdate”图标；不能映射网络驱动器。

表明包含在“securityPolicy”中的组策略设置已经实施。

4、实现安全策略

ⅰ、建立一个组策略，实现：

密码必须至少6个字符，在登录过程中显示对话框，提醒用户不允许进行非授权的访问，禁用Telnet服务。

①利用administrator账户登录，依次选择“开始”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“ActiveDirectory用户和计算机”对话框。

②在“ActiveDirectory用户和计算机”对话框中选中DomainControllers，单击鼠标右键，再从弹出的快捷菜单中选择“属性”菜单项，打开“DomainControllers属性”窗口，单击“组策略”选项卡。

③在“组策略”选项卡上，单击“新建”命令，添加一个GPO，并将其命名为“SecurityAdminPolicy”。

④选择新建的组策略，然后单击“编辑”按钮，打开“组策略编辑器”窗口。

⑤在“组策略编辑器”窗口中，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”，单击“密码策略”，打开如图13.10所示的窗口。

图13.10“组策略编辑器”窗口（7）

⑥在“密码策略”详细信息面板中，双击“密码长度最小值”，打开“密码长度最小值属性”对话框，选中“定义这个策略设置”，把密码长度最小值改为6，然后单击“确定”按钮。

⑦在“安全设置”中，展开“本地策略”，单击“安全选项”，打开如图13.11所示的窗口。

图13.11“组策略编辑器”窗口（8）

⑧在图13.11的“安全选项”详细信息面板中，双击“交互式登录：

用户试图登录时消息文字”，打开“交互式登录：

用户试图登录时消息文字属性”对话框，选中“在模板中定义这个策略设置”，在文本框中输入“只允许授权用户登录”，如图13.12所示，然后单击“确定”按钮。

图13.12“交互式登录：

用户试图登录时消息文字属性”对话框

⑨在图13.11的“安全选项”详细信息面板中，双击“交互式登录：

用户试图登录时消息标题”，打开“交互式登录：

用户试图登录时消息标题属性”对话框，选中“定义这个策略设置”，在文本框中输入“警告”，然后单击“确定”按钮。

⑩在“安全设置”中，单击“系统服务”，打开如图13.13所示的窗口。

在“系统服务”详细信息面板中，双击“Telnet”，在“Telnet属性”对话框中，单击“定义这个策略设置”，选中“已禁用”，然后单击“确定”。

关闭所有窗口，重新启动计算机。

图13.13“组策略编辑器”窗口（9）

ⅱ、验证安全策略

验证包含在“SecurityAdminPolicy”中的组策略是否被正确应用

①利用administrator账户登录，看在登录时是否出现警告信息。

②把任一用户的密码改为“123”，看是否能修改。

③从“管理工具”菜单中打开“服务”菜单项，看Telnet服务的“启动类型”栏中的值是什么。

磁盘配额的配置

默认情况下，只有Administrators组的成员，才能设置NTFS卷上的磁盘配额。

在已包含文件的卷上启用配额时，Windows将计算到那个时间点为止在该卷复制文件、保存文件或取得文件所有权的所有用户使用的磁盘空间。

然后根据计算的结果将配额限度和警告级别应用于当前所有用户，以及从那个时间点开始使用卷的用户。

然后，您可以为某个或多个用户设置不同的配额或禁用配额。

也可以为那些还没有在卷上复制文件、保存文件和取得文件所有权的用户设置配额。

㈠、启用磁盘配额

（1）打开“我的电脑”窗口，用鼠标右键单击某驱动器图标（C：

）（驱动器的使用的文件系统应为NTFS），在快捷菜单中选择“属性”项，打开“本地磁盘（C：

）属性”窗口。

单击“配额”选项卡，显示如图13.14所示的属性窗口。

图13.14“本地磁盘（C：

）属性”窗口

（2）选中“启用配额管理”复选框，激活“配额”选项卡中的所有配额设置选项。

（3）选择下列一个或多个选项，然后单击“确定”按钮：

●拒绝将磁盘空间给超过配额限制的用户

超过其配额限制的用户将收到来自Windows的“磁盘空间不足”错误信息，并且在没有从中删除和移动一些现存文件的情况下，无法将额外的数据写入卷中。

●将磁盘空间限制为

输入允许卷的新用户使用的磁盘空间量，以及在将事件写入系统日志前已经使用的磁盘空间量。

管理员可以在“事件查看器”中查看这些事件。

可以在磁盘空间和警告级别中使用十进制数值（例如，20.5），并从下拉列表中选择适当的单位（如KB、MB、GB等）。

●将警告等级设为

指定了用户接近配额限制的点。

例如，设置用户磁盘配额限制是100MB，磁盘配额警告等级设置为90MB。

在此情况下，用户可在驱动器中存储不超过100MB的文件。

如果用户在驱动器中存储了超过90MB的文件，磁盘配额系统将记录日志事件。

●用户超出配额限制时记录事件

如果启用配额，则只要用户超过其配额限制，事件就会写入到本地计算机的系统日志中。

管理员可以用事件查看器，通过筛选磁盘事件类型来查看这些事件。

●用户超过警告等级时记录事件

如果启用配额，则只要用户超过其警告级别，事件就会写入到本地计算机的系统日志中。

㈡、对所有用户强制执行磁盘配额

（1）在“将磁盘空间限制为”和“将警告等级设为”框中，输入希望设置的限制值和警告等级。

（2）选中“拒绝将磁盘空间给超过配额限制的用户”复选框，如图13.15所示。

图13.15“本地磁盘（C：

）属性”窗口配额选项卡

（3）单击“确定”按钮即可，系统将监视磁盘使用情况，当用户超出限制时，将不允许其创建文件或文件夹。

㈢、对单个用户强制执行磁盘配额

（1）在图13.14中单击“配额项”按钮，打开“本地磁盘（C：

）的配额项目”窗口，如图13.16所示，通过该窗口，管理员可以新建配额项、删除已建立的配额项，或者将已建立的配额项信息导出并存储为文件，以后需要时管理员可直接导入该信息文件，获得配额项信息。

图13.16“本地磁盘（C：

）的配额项”窗口

（2）如果管理员需要创建一个新的配额项，可打开“配额”菜单，选择“新建配额项”命令，出现“选择用户”对话框，单击“高级”按钮，单击“立即查找”按钮，显示出用户列表。

管理员可以选定想要创建配额项的用户，然后单击“确定”按钮后，系统将自动把选定的用户添加到对象名称列表框。

如图13.17所示。

图13.17“选择用户”窗口

（3）单击“确定”按钮，打开“添加新配额项”对话框，如图13.18所示。

图13.18“添加新配额项”窗口

（4）在该对话框中，选中“将磁盘空间限制为”单选框，输入希望设置的限制值和警告等级。

然后单击“确定”按钮，完成新建配额项的所有操作并返回到“本地磁盘（C：

）的配额项”窗口。

在该窗口中可以监视所有用户的磁盘使用空间。

㈣、确定磁盘配额的状态

通过检查磁盘“属性”窗口上的交通灯图标和阅读其右边的状态信息，可以确定磁盘配额的状态，如图13.15所示。

交通灯的颜色和其所表示的状态如下：

●红色交通灯表明磁盘配额已被禁用

●黄色交通灯表明系统正在重建磁盘配额信息

●绿色交通灯表明磁盘配额系统已被激活

四、实验问题

1、默认情况下只有哪些用户才有“在本地登录”的权利。

2、如何验证包含在“AdminTemplatePolicy”中的组策略是否被正确应用。

3、如何验证包含在“SecurityPolicy”中的组策略是否被正确应用。

4、如何检验磁盘配额是否起作用？

五、实验报告

实验报告应包括如下内容：

（1）实验环境

（2）遇到的问题及解决方法

（3）回答实验问题

（4）实验心得和体会