第 6章 组策略的管理
上一页 下一页 返回本章首页
第 6章 组策略的管理
6.1组策略
6.2组策略的设置
6.3软件设置
上一章 返回目录
第 6章 组策略的管理
上一页 下一页 返回本章首页
内容提要,
? 组策略的概念、应用顺序
? 组策略的作用和定义组策略的要求
? 设置、管理、测试、优化组策略
? Windows 2000中组策略引入模板策略、访问
组策略
? Windows 2000中创建需要的组策略模板
? Windows 2000中桌面、任务栏,IE设置、计
算机和用户的安全设置等实际操作
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1组策略
6.1.1组策略概述
6.1.2引入模板策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
1,组策略概念
组策略是管理员为计算机和用户定义的,用
来控制应用程序和管理模板的一种机制。可以这
样理解:组策略是介于控制面板和注册表之间的
一种修改系统、设置程序的工具。
( 1)组策略的应用顺序与规则
( 2)阻止策略的继承
( 3)强迫继承策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
2,组策略的作用
3,组策略的版本
4,使用, 组策略, 管理单元可进行的策略设置
( 1) 基于注册表的策略 。 包括 Windows 2000 操
作系统及其组件以及应用程序的组策略 。 要管理这些设
置, 可以使用, 组策略, 管理单元的 【 管理模板 】 节点 。
( 2) 安全性选项 。 包括针对本地计算机, 域和网
络安全设置的选项 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 软件安装和维护选项 。 用来集中管理应用程
序的安装, 更新和删除 。
( 4) 脚本选项 。 包括用于计算机启动和关闭, 以
及用户登录和注销的脚本 。
( 5) 文件夹重定向选项 。 允许将用户的特殊文件
夹重定向到网络 。
5,定义组策略要求
( 1) 要确定所需策略设置的类型 。
( 2) 确定目录中哪些类型的对象 ( 用户, 计算机 )
将应用这些设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
域
工作站
用户
域控制器
服务器
安全性
密码, 账户,
Kerberos 策
略, PK 信任
列表
用户权限,
文件和注册
表 ACL,审核
和事件日志,
本地设置
EFS 策略
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
应用程序部署
必需的核心
应用程序
发布可选应
用程序和组
件
管理工具
管理工具
计算机设置
启动脚本,
登录, 磁盘
配额, 脱机
文件
磁盘配额
打印机删除
用户设置
登录脚本,
Internet
Explorer 设
置, RAS,文
件夹重定向,
桌面锁住,
网络系统
( 环回 ) 禁
用标准用户,
桌面设置
( 环回 ) 禁
用标准用户,
桌面设置
应用程序设
置
Office 2000、
待发布的内
部应用程序
表 6-1 组策略要求示例
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 产生的组策略对象列表
6,确定设置的作用域
( 1) 各目标对象 ( 如计算机, 用户或域 ) 的设置对
组织中的所有对象是否通用的? 或者说, 这些对象中不同
的分组是否需要应用不同的设置?
( 2) 组策略作用域另一个需考虑的方面是, 某一特
定的设置组是否需要对所有从属容器强制实施, 或者相反,
是否需要阻止某些设置的继承 。 在后面的 【 管理组策略 】
一节讨论这一问题 。
7,验证 Active Directory 域 /OU 设计
( 1) 需要考虑下面几个问题,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
① 域设计能否支持组策略的有效使用和管理? 如不能, 需做何
更改?
② 【 Active Directory 网络和委派 】 要求与 【 组策略 】 要求之间
有何冲突? 为消除目录结构与 GPO 要求之间的冲突, 往往需要用安
全组来筛选 GPO。
③ 组策略不能跨域继承, 也不能从一个域复制到另一个域 。 一
个域中的 GPO 可以从另一个域中链接, 但在此特定的域模型中, 这
样做会使性能大大降低 ( 因为 GPO 将通过洲际 WAN 链路加载 ) 。
④ 拟设计的 OU 结构可能不能与 GPO 的作用域很好地对应 。
例如, 用户对象 OU 可能按地理位置组织以符合地区管理委派结构,
而策略则需要按部门或业务单位来应用 。 解决办法是, 在一个更高的
级别应用组策略对象并使用安全组 ( 与要求的业务单位结构匹配 ) 来
筛选这些 GPO。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 2) 组策略对象的更改
( 3) GPO 筛选安全组
以下列举了两个一般类型的 GPO 筛选安全组,
? 每部门用户 /应用程序 GPO 组
? 服务器类型 GPO 组
8,管理组策略
( 1) 管理结构影响 GPO 结构 。 例如, 尽管安全设置与其他工
作站设置有相同的作用域, 但控制它们的管理组可能不同 。 这可能要
求对单个 GPO 拆分 。
( 2) 应用到 【 组策略 】 对象的访问控制列表 (ACL) 应反映出
应由谁来管理这些对象 。 类似地, 所有域和 OU 上的 ACL 应限制谁
可以将 GPO 链接到这些容器 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 包含必须应用到子 OU 中所有对象的设置的
GPO 可能需要强制实施, 以防这些设置被在 OU 层次结构
中较低层次应用的 GPO 所覆盖 。 某些全局安全策略设置
通常都要求这样 。
( 4) 委派对一个 GPO 中部分设置的控制权这一需要,
可能要求拆分 GPO 并让适当的 ACL 应用到各个新的 GPO。
( 5) 委派对 GPO 设置的控制权和在 OU 上创建 /删
除组策略链接的能力 。
( 6) 将需要创建 【 自定义组策略编辑器 】 控制台 。
( 这可能包括在策略中指定谁可以加载哪些 【 组策略 】 管
理单元 ) 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
表 6-2 对组策略对象结构的可能更改
现有 GPO
新的 GPO
域安全性
域安全性
全局工作站安全性和系统设置
全局工作站安全性
全局工作站系统设置
站点工作站安全性
站点工作站安全性
全局用户系统设置
全局用户系统设置
安全设置, 应用程序和应用程序设置, 桌面
设置 ( 每部门 )
全局用户安全设置
部门用户安全性
部门应用程序和应用程序设置
域控制器安全性, 应用程序和系统设置
域控制器安全性
域控制器系统和应用程序设置
服务器应用程序
服务器应用程序
安全性与系统设置 —每服务器类型一个 GPO
服务器安全性
系统设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
9,测试和优化组策略
( 1) 如果用户在不断换用计算机, 那么组策略的组
合在所有不同的排列中是否表现出预期的行为?
( 2) 如果移动电脑不断变换站点, 那么站点和域
/OU 策略设置的组合是否表现出预期的行为?
10,维护组策略
随着单位需要改变, 如何排除组策略的问题和维护组
策略 。 错误的 GPO 设置会带来大范围的严重的后果 。 每
一个更改都应在实验室中经过测试, 然后才能部署到生产
环境中 。 GPO 目前尚不能在域间复制或移动, 所以在实验
室测试的 GPO 要复制到生产环境中时, 需要手动编辑
GPO 设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
1,基本模板
① Basicwk.inf,适用于 Windows 2000
Professional,是系统安装后的 Windows 2000
Professional默认模板 。
② Basicsw.inf,适用于 Windows 2000
Server,是系统安装后的 Windows 2000 Server
默认模板 。
③ Basicdc.inf:适用于 Windows 2000的域
控制器,是系统 Windows 2000 的域控制器安装
后的默认模板。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
2,增量模板
① Securedc.inf 和 Hisecdc.inf:适用于域控制
器, 使用此模板提供 Windows 2000的完全的安全特征,
施加此模板后系统不能和非 Windows 2000的计算机通信 。
② Securews.inf 和 Hisecws.inf:适用于成员服务器
和工作站,施加此模板后系统不能和非 Windows 2000的
计算机通信。
3,访问组策略
有两种方法可以访问组策略:一是通过 gpedit.msc
命令直接进入组策略窗口;二是打开控制台,将组策略
添加进去。
第 6章 组策略的管理
上一页 下一页 返回本章首页
( 1) 输入 gpedit.msc命令访问
图 6-2 组策略窗口
( 2) 通过控制台访问组策略
图 6-3 控制台窗口 图 6-4添加 /删除管理单元窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-5 添加独立管理单元窗口 图 6-6 选择组策略对象窗口
4,创建需要的组策略模板
图 6-7 Active Directory用户和计算机窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-10 组策略操作窗口 1 图 6-11 组策略操作窗口 2
图 6-8常规选项卡窗口 图 6-9组策略选项卡窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-12 组策略导入来源
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
1.“桌面”设置
( 1)隐藏桌面的系统图标
图 6-13 组策略桌面操作窗口
( 2)退出时不保存桌面设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 3)启用 /禁用“活动桌面”( Windows 2000/XP/2003)
图 6-14 起用 /禁用活动桌面窗口
2,个性化“任务栏”和“开始”菜单
( 1)给“开始”菜单减肥
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-15 任务栏和开始菜单窗口
( 2)保护好, 任务栏, 和, 开始, 菜单
( 3)禁止, 注销, 和, 关机, ( Windows 2000/XP/2003)
( 4)利用组策略保护个人文档隐私
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
3,IE设置
( 1)禁用 【 在新窗口中打开 】 菜单项
图 6-16 组策略浏览器菜单窗口
( 2)限制 IE浏览器的保存功能
( 3)禁用, Internet 选项, 控制面板
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-17组策略 Internet 控制面板窗口
4,组策略的安全设置
( 1)隐藏, 我的电脑, 中指定的驱动器( Windows XP/2003)
此组策略可以从 【 我的电脑 】 和 【 Windows 资源管理器 】 上删除
代表所选硬件驱动器的图标,并且驱动器号代表的所有驱动器不
出现在标准的打开对话框上。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-18 组策略 Windows资源管理器窗口
( 2)防止从, 我的电脑, 访问驱动器
( 3)禁止使用命令提示符
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-19 组策略系统窗口
( 4)禁止更改显示属性
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-20 组策略显示窗口
( 5)禁用注册表编辑器
( 6)彻底禁止访问, 控制面板,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-21 组策略控制面板窗口
( 7)禁止建立新的拨号连接
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 8)禁用, 添加 /删除程序,
图 6-22 组策略网络及拨号连接窗口图 6-23组策略添加 /删除程序窗口
( 9)限制使用应用程序
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
5,计算机和用户的安全设置
( 1)计算机的安全设置
图 6-25组策略安全设置窗口
( 2)用户的安全策略
图 6-26 组策略密码策略窗口 图 6-27 本地安全策略设置窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.3软件设置
组策略中存在两个软件设置节点。 【 软件设置 】
可以在组策略控制台树中的 【 用户配置 】 和 【 计算机
配置 】 下找到。
1,计算机的软件设置
2,软件安装
当信息教研部组策略对象管理的用户登录到运行
Microsoft Excel的计算机时,Microsoft Excel将出现在
开始菜单中。当用户第一次从开始菜单选择 Microsoft
Excel时,将安装 Microsoft Excel。用户也可通过单击
与应用程序(使用文件扩展名或基于,COM的激活)
相关联的文档来安装广告的应用程序。不能删除指定
的应用程序。这样做将在瑕疵登录到运行 Windows
2000的计算机时再次运行指定的应用程序。
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
组策略是介于控制面板和注册表之间的一种修改系
统、设置程序的工具。在 Windows 2000中组策略
可以为用户进行个性化设置和安全性设置。本章
的开始部分介绍了组策略的基本概念,定义组策
略的要求,设置、管理维护、测试、优化组策略
的基础知识。本章的后部分主要以 Windows 2000
为网络操作系统介绍如何设置个性化桌面、任务
栏、开始菜单,对 IE的许多安全设置以及对计算
机和用户的安全设置等实际操作过程。
Questions?
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
1,什么是组策略?
2,组策略应用顺序的规则是什么?
3,组策略的作用和定义组策略的要求各是什么?
4,如何设置组策略?
5.管理组策略的指导原则有哪些?
6.测试, 优化组策略时应检验哪些内容?
7,Windows 2000的基本模板和增量模板各包括哪些程序?
8,实验项目
(1)在 Windows 2000中引入模板, 访问组策略 。
(2)在 Windows 2000中创建需要的组策略模板
(3)设置个性化桌面, 例如:隐藏桌面的系统图标,
退出时不保存桌面设置, 启用 /禁用, 活动桌面, 等 。
上一页 下一页 返回本章首页
第 6章 组策略的管理
6.1组策略
6.2组策略的设置
6.3软件设置
上一章 返回目录
第 6章 组策略的管理
上一页 下一页 返回本章首页
内容提要,
? 组策略的概念、应用顺序
? 组策略的作用和定义组策略的要求
? 设置、管理、测试、优化组策略
? Windows 2000中组策略引入模板策略、访问
组策略
? Windows 2000中创建需要的组策略模板
? Windows 2000中桌面、任务栏,IE设置、计
算机和用户的安全设置等实际操作
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1组策略
6.1.1组策略概述
6.1.2引入模板策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
1,组策略概念
组策略是管理员为计算机和用户定义的,用
来控制应用程序和管理模板的一种机制。可以这
样理解:组策略是介于控制面板和注册表之间的
一种修改系统、设置程序的工具。
( 1)组策略的应用顺序与规则
( 2)阻止策略的继承
( 3)强迫继承策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
2,组策略的作用
3,组策略的版本
4,使用, 组策略, 管理单元可进行的策略设置
( 1) 基于注册表的策略 。 包括 Windows 2000 操
作系统及其组件以及应用程序的组策略 。 要管理这些设
置, 可以使用, 组策略, 管理单元的 【 管理模板 】 节点 。
( 2) 安全性选项 。 包括针对本地计算机, 域和网
络安全设置的选项 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 软件安装和维护选项 。 用来集中管理应用程
序的安装, 更新和删除 。
( 4) 脚本选项 。 包括用于计算机启动和关闭, 以
及用户登录和注销的脚本 。
( 5) 文件夹重定向选项 。 允许将用户的特殊文件
夹重定向到网络 。
5,定义组策略要求
( 1) 要确定所需策略设置的类型 。
( 2) 确定目录中哪些类型的对象 ( 用户, 计算机 )
将应用这些设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
域
工作站
用户
域控制器
服务器
安全性
密码, 账户,
Kerberos 策
略, PK 信任
列表
用户权限,
文件和注册
表 ACL,审核
和事件日志,
本地设置
EFS 策略
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
应用程序部署
必需的核心
应用程序
发布可选应
用程序和组
件
管理工具
管理工具
计算机设置
启动脚本,
登录, 磁盘
配额, 脱机
文件
磁盘配额
打印机删除
用户设置
登录脚本,
Internet
Explorer 设
置, RAS,文
件夹重定向,
桌面锁住,
网络系统
( 环回 ) 禁
用标准用户,
桌面设置
( 环回 ) 禁
用标准用户,
桌面设置
应用程序设
置
Office 2000、
待发布的内
部应用程序
表 6-1 组策略要求示例
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 产生的组策略对象列表
6,确定设置的作用域
( 1) 各目标对象 ( 如计算机, 用户或域 ) 的设置对
组织中的所有对象是否通用的? 或者说, 这些对象中不同
的分组是否需要应用不同的设置?
( 2) 组策略作用域另一个需考虑的方面是, 某一特
定的设置组是否需要对所有从属容器强制实施, 或者相反,
是否需要阻止某些设置的继承 。 在后面的 【 管理组策略 】
一节讨论这一问题 。
7,验证 Active Directory 域 /OU 设计
( 1) 需要考虑下面几个问题,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
① 域设计能否支持组策略的有效使用和管理? 如不能, 需做何
更改?
② 【 Active Directory 网络和委派 】 要求与 【 组策略 】 要求之间
有何冲突? 为消除目录结构与 GPO 要求之间的冲突, 往往需要用安
全组来筛选 GPO。
③ 组策略不能跨域继承, 也不能从一个域复制到另一个域 。 一
个域中的 GPO 可以从另一个域中链接, 但在此特定的域模型中, 这
样做会使性能大大降低 ( 因为 GPO 将通过洲际 WAN 链路加载 ) 。
④ 拟设计的 OU 结构可能不能与 GPO 的作用域很好地对应 。
例如, 用户对象 OU 可能按地理位置组织以符合地区管理委派结构,
而策略则需要按部门或业务单位来应用 。 解决办法是, 在一个更高的
级别应用组策略对象并使用安全组 ( 与要求的业务单位结构匹配 ) 来
筛选这些 GPO。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 2) 组策略对象的更改
( 3) GPO 筛选安全组
以下列举了两个一般类型的 GPO 筛选安全组,
? 每部门用户 /应用程序 GPO 组
? 服务器类型 GPO 组
8,管理组策略
( 1) 管理结构影响 GPO 结构 。 例如, 尽管安全设置与其他工
作站设置有相同的作用域, 但控制它们的管理组可能不同 。 这可能要
求对单个 GPO 拆分 。
( 2) 应用到 【 组策略 】 对象的访问控制列表 (ACL) 应反映出
应由谁来管理这些对象 。 类似地, 所有域和 OU 上的 ACL 应限制谁
可以将 GPO 链接到这些容器 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 包含必须应用到子 OU 中所有对象的设置的
GPO 可能需要强制实施, 以防这些设置被在 OU 层次结构
中较低层次应用的 GPO 所覆盖 。 某些全局安全策略设置
通常都要求这样 。
( 4) 委派对一个 GPO 中部分设置的控制权这一需要,
可能要求拆分 GPO 并让适当的 ACL 应用到各个新的 GPO。
( 5) 委派对 GPO 设置的控制权和在 OU 上创建 /删
除组策略链接的能力 。
( 6) 将需要创建 【 自定义组策略编辑器 】 控制台 。
( 这可能包括在策略中指定谁可以加载哪些 【 组策略 】 管
理单元 ) 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
表 6-2 对组策略对象结构的可能更改
现有 GPO
新的 GPO
域安全性
域安全性
全局工作站安全性和系统设置
全局工作站安全性
全局工作站系统设置
站点工作站安全性
站点工作站安全性
全局用户系统设置
全局用户系统设置
安全设置, 应用程序和应用程序设置, 桌面
设置 ( 每部门 )
全局用户安全设置
部门用户安全性
部门应用程序和应用程序设置
域控制器安全性, 应用程序和系统设置
域控制器安全性
域控制器系统和应用程序设置
服务器应用程序
服务器应用程序
安全性与系统设置 —每服务器类型一个 GPO
服务器安全性
系统设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
9,测试和优化组策略
( 1) 如果用户在不断换用计算机, 那么组策略的组
合在所有不同的排列中是否表现出预期的行为?
( 2) 如果移动电脑不断变换站点, 那么站点和域
/OU 策略设置的组合是否表现出预期的行为?
10,维护组策略
随着单位需要改变, 如何排除组策略的问题和维护组
策略 。 错误的 GPO 设置会带来大范围的严重的后果 。 每
一个更改都应在实验室中经过测试, 然后才能部署到生产
环境中 。 GPO 目前尚不能在域间复制或移动, 所以在实验
室测试的 GPO 要复制到生产环境中时, 需要手动编辑
GPO 设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
1,基本模板
① Basicwk.inf,适用于 Windows 2000
Professional,是系统安装后的 Windows 2000
Professional默认模板 。
② Basicsw.inf,适用于 Windows 2000
Server,是系统安装后的 Windows 2000 Server
默认模板 。
③ Basicdc.inf:适用于 Windows 2000的域
控制器,是系统 Windows 2000 的域控制器安装
后的默认模板。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
2,增量模板
① Securedc.inf 和 Hisecdc.inf:适用于域控制
器, 使用此模板提供 Windows 2000的完全的安全特征,
施加此模板后系统不能和非 Windows 2000的计算机通信 。
② Securews.inf 和 Hisecws.inf:适用于成员服务器
和工作站,施加此模板后系统不能和非 Windows 2000的
计算机通信。
3,访问组策略
有两种方法可以访问组策略:一是通过 gpedit.msc
命令直接进入组策略窗口;二是打开控制台,将组策略
添加进去。
第 6章 组策略的管理
上一页 下一页 返回本章首页
( 1) 输入 gpedit.msc命令访问
图 6-2 组策略窗口
( 2) 通过控制台访问组策略
图 6-3 控制台窗口 图 6-4添加 /删除管理单元窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-5 添加独立管理单元窗口 图 6-6 选择组策略对象窗口
4,创建需要的组策略模板
图 6-7 Active Directory用户和计算机窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-10 组策略操作窗口 1 图 6-11 组策略操作窗口 2
图 6-8常规选项卡窗口 图 6-9组策略选项卡窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-12 组策略导入来源
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
1.“桌面”设置
( 1)隐藏桌面的系统图标
图 6-13 组策略桌面操作窗口
( 2)退出时不保存桌面设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 3)启用 /禁用“活动桌面”( Windows 2000/XP/2003)
图 6-14 起用 /禁用活动桌面窗口
2,个性化“任务栏”和“开始”菜单
( 1)给“开始”菜单减肥
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-15 任务栏和开始菜单窗口
( 2)保护好, 任务栏, 和, 开始, 菜单
( 3)禁止, 注销, 和, 关机, ( Windows 2000/XP/2003)
( 4)利用组策略保护个人文档隐私
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
3,IE设置
( 1)禁用 【 在新窗口中打开 】 菜单项
图 6-16 组策略浏览器菜单窗口
( 2)限制 IE浏览器的保存功能
( 3)禁用, Internet 选项, 控制面板
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-17组策略 Internet 控制面板窗口
4,组策略的安全设置
( 1)隐藏, 我的电脑, 中指定的驱动器( Windows XP/2003)
此组策略可以从 【 我的电脑 】 和 【 Windows 资源管理器 】 上删除
代表所选硬件驱动器的图标,并且驱动器号代表的所有驱动器不
出现在标准的打开对话框上。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-18 组策略 Windows资源管理器窗口
( 2)防止从, 我的电脑, 访问驱动器
( 3)禁止使用命令提示符
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-19 组策略系统窗口
( 4)禁止更改显示属性
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-20 组策略显示窗口
( 5)禁用注册表编辑器
( 6)彻底禁止访问, 控制面板,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-21 组策略控制面板窗口
( 7)禁止建立新的拨号连接
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 8)禁用, 添加 /删除程序,
图 6-22 组策略网络及拨号连接窗口图 6-23组策略添加 /删除程序窗口
( 9)限制使用应用程序
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
5,计算机和用户的安全设置
( 1)计算机的安全设置
图 6-25组策略安全设置窗口
( 2)用户的安全策略
图 6-26 组策略密码策略窗口 图 6-27 本地安全策略设置窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.3软件设置
组策略中存在两个软件设置节点。 【 软件设置 】
可以在组策略控制台树中的 【 用户配置 】 和 【 计算机
配置 】 下找到。
1,计算机的软件设置
2,软件安装
当信息教研部组策略对象管理的用户登录到运行
Microsoft Excel的计算机时,Microsoft Excel将出现在
开始菜单中。当用户第一次从开始菜单选择 Microsoft
Excel时,将安装 Microsoft Excel。用户也可通过单击
与应用程序(使用文件扩展名或基于,COM的激活)
相关联的文档来安装广告的应用程序。不能删除指定
的应用程序。这样做将在瑕疵登录到运行 Windows
2000的计算机时再次运行指定的应用程序。
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
组策略是介于控制面板和注册表之间的一种修改系
统、设置程序的工具。在 Windows 2000中组策略
可以为用户进行个性化设置和安全性设置。本章
的开始部分介绍了组策略的基本概念,定义组策
略的要求,设置、管理维护、测试、优化组策略
的基础知识。本章的后部分主要以 Windows 2000
为网络操作系统介绍如何设置个性化桌面、任务
栏、开始菜单,对 IE的许多安全设置以及对计算
机和用户的安全设置等实际操作过程。
Questions?
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
1,什么是组策略?
2,组策略应用顺序的规则是什么?
3,组策略的作用和定义组策略的要求各是什么?
4,如何设置组策略?
5.管理组策略的指导原则有哪些?
6.测试, 优化组策略时应检验哪些内容?
7,Windows 2000的基本模板和增量模板各包括哪些程序?
8,实验项目
(1)在 Windows 2000中引入模板, 访问组策略 。
(2)在 Windows 2000中创建需要的组策略模板
(3)设置个性化桌面, 例如:隐藏桌面的系统图标,
退出时不保存桌面设置, 启用 /禁用, 活动桌面, 等 。