第 6章 组策略的管理
上一页 下一页 返回本章首页
第 6章 组策略的管理
6.1组策略
6.2组策略的设置
6.3软件设置
上一章 返回目录
第 6章 组策略的管理
上一页 下一页 返回本章首页
内容提要,
? 组策略的概念、应用顺序
? 组策略的作用和定义组策略的要求
? 设置、管理、测试、优化组策略
? Windows 2000中组策略引入模板策略、访问
组策略
? Windows 2000中创建需要的组策略模板
? Windows 2000中桌面、任务栏,IE设置、计
算机和用户的安全设置等实际操作
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1组策略
6.1.1组策略概述
6.1.2引入模板策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
1,组策略概念
组策略是管理员为计算机和用户定义的,用
来控制应用程序和管理模板的一种机制。可以这
样理解:组策略是介于控制面板和注册表之间的
一种修改系统、设置程序的工具。
( 1)组策略的应用顺序与规则
( 2)阻止策略的继承
( 3)强迫继承策略
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
2,组策略的作用
3,组策略的版本
4,使用, 组策略, 管理单元可进行的策略设置
( 1) 基于注册表的策略 。 包括 Windows 2000 操
作系统及其组件以及应用程序的组策略 。 要管理这些设
置, 可以使用, 组策略, 管理单元的 【 管理模板 】 节点 。
( 2) 安全性选项 。 包括针对本地计算机, 域和网
络安全设置的选项 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 软件安装和维护选项 。 用来集中管理应用程
序的安装, 更新和删除 。
( 4) 脚本选项 。 包括用于计算机启动和关闭, 以
及用户登录和注销的脚本 。
( 5) 文件夹重定向选项 。 允许将用户的特殊文件
夹重定向到网络 。
5,定义组策略要求
( 1) 要确定所需策略设置的类型 。
( 2) 确定目录中哪些类型的对象 ( 用户, 计算机 )
将应用这些设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页

工作站
用户
域控制器
服务器
安全性
密码, 账户,
Kerberos 策
略, PK 信任
列表
用户权限,
文件和注册
表 ACL,审核
和事件日志,
本地设置
EFS 策略
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
用户权限,
文件和注册
表, ACL、
审核和事件
日志, 本地
设置
应用程序部署
必需的核心
应用程序
发布可选应
用程序和组

管理工具
管理工具
计算机设置
启动脚本,
登录, 磁盘
配额, 脱机
文件
磁盘配额
打印机删除
用户设置
登录脚本,
Internet
Explorer 设
置, RAS,文
件夹重定向,
桌面锁住,
网络系统
( 环回 ) 禁
用标准用户,
桌面设置
( 环回 ) 禁
用标准用户,
桌面设置
应用程序设

Office 2000、
待发布的内
部应用程序
表 6-1 组策略要求示例
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 产生的组策略对象列表
6,确定设置的作用域
( 1) 各目标对象 ( 如计算机, 用户或域 ) 的设置对
组织中的所有对象是否通用的? 或者说, 这些对象中不同
的分组是否需要应用不同的设置?
( 2) 组策略作用域另一个需考虑的方面是, 某一特
定的设置组是否需要对所有从属容器强制实施, 或者相反,
是否需要阻止某些设置的继承 。 在后面的 【 管理组策略 】
一节讨论这一问题 。
7,验证 Active Directory 域 /OU 设计
( 1) 需要考虑下面几个问题,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
① 域设计能否支持组策略的有效使用和管理? 如不能, 需做何
更改?
② 【 Active Directory 网络和委派 】 要求与 【 组策略 】 要求之间
有何冲突? 为消除目录结构与 GPO 要求之间的冲突, 往往需要用安
全组来筛选 GPO。
③ 组策略不能跨域继承, 也不能从一个域复制到另一个域 。 一
个域中的 GPO 可以从另一个域中链接, 但在此特定的域模型中, 这
样做会使性能大大降低 ( 因为 GPO 将通过洲际 WAN 链路加载 ) 。
④ 拟设计的 OU 结构可能不能与 GPO 的作用域很好地对应 。
例如, 用户对象 OU 可能按地理位置组织以符合地区管理委派结构,
而策略则需要按部门或业务单位来应用 。 解决办法是, 在一个更高的
级别应用组策略对象并使用安全组 ( 与要求的业务单位结构匹配 ) 来
筛选这些 GPO。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 2) 组策略对象的更改
( 3) GPO 筛选安全组
以下列举了两个一般类型的 GPO 筛选安全组,
? 每部门用户 /应用程序 GPO 组
? 服务器类型 GPO 组
8,管理组策略
( 1) 管理结构影响 GPO 结构 。 例如, 尽管安全设置与其他工
作站设置有相同的作用域, 但控制它们的管理组可能不同 。 这可能要
求对单个 GPO 拆分 。
( 2) 应用到 【 组策略 】 对象的访问控制列表 (ACL) 应反映出
应由谁来管理这些对象 。 类似地, 所有域和 OU 上的 ACL 应限制谁
可以将 GPO 链接到这些容器 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.1组策略概述
( 3) 包含必须应用到子 OU 中所有对象的设置的
GPO 可能需要强制实施, 以防这些设置被在 OU 层次结构
中较低层次应用的 GPO 所覆盖 。 某些全局安全策略设置
通常都要求这样 。
( 4) 委派对一个 GPO 中部分设置的控制权这一需要,
可能要求拆分 GPO 并让适当的 ACL 应用到各个新的 GPO。
( 5) 委派对 GPO 设置的控制权和在 OU 上创建 /删
除组策略链接的能力 。
( 6) 将需要创建 【 自定义组策略编辑器 】 控制台 。
( 这可能包括在策略中指定谁可以加载哪些 【 组策略 】 管
理单元 ) 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
表 6-2 对组策略对象结构的可能更改
现有 GPO
新的 GPO
域安全性
域安全性
全局工作站安全性和系统设置
全局工作站安全性
全局工作站系统设置
站点工作站安全性
站点工作站安全性
全局用户系统设置
全局用户系统设置
安全设置, 应用程序和应用程序设置, 桌面
设置 ( 每部门 )
全局用户安全设置
部门用户安全性
部门应用程序和应用程序设置
域控制器安全性, 应用程序和系统设置
域控制器安全性
域控制器系统和应用程序设置
服务器应用程序
服务器应用程序
安全性与系统设置 —每服务器类型一个 GPO
服务器安全性
系统设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
9,测试和优化组策略
( 1) 如果用户在不断换用计算机, 那么组策略的组
合在所有不同的排列中是否表现出预期的行为?
( 2) 如果移动电脑不断变换站点, 那么站点和域
/OU 策略设置的组合是否表现出预期的行为?
10,维护组策略
随着单位需要改变, 如何排除组策略的问题和维护组
策略 。 错误的 GPO 设置会带来大范围的严重的后果 。 每
一个更改都应在实验室中经过测试, 然后才能部署到生产
环境中 。 GPO 目前尚不能在域间复制或移动, 所以在实验
室测试的 GPO 要复制到生产环境中时, 需要手动编辑
GPO 设置 。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
1,基本模板
① Basicwk.inf,适用于 Windows 2000
Professional,是系统安装后的 Windows 2000
Professional默认模板 。
② Basicsw.inf,适用于 Windows 2000
Server,是系统安装后的 Windows 2000 Server
默认模板 。
③ Basicdc.inf:适用于 Windows 2000的域
控制器,是系统 Windows 2000 的域控制器安装
后的默认模板。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.1.2引入模板策略
2,增量模板
① Securedc.inf 和 Hisecdc.inf:适用于域控制
器, 使用此模板提供 Windows 2000的完全的安全特征,
施加此模板后系统不能和非 Windows 2000的计算机通信 。
② Securews.inf 和 Hisecws.inf:适用于成员服务器
和工作站,施加此模板后系统不能和非 Windows 2000的
计算机通信。
3,访问组策略
有两种方法可以访问组策略:一是通过 gpedit.msc
命令直接进入组策略窗口;二是打开控制台,将组策略
添加进去。
第 6章 组策略的管理
上一页 下一页 返回本章首页
( 1) 输入 gpedit.msc命令访问
图 6-2 组策略窗口
( 2) 通过控制台访问组策略
图 6-3 控制台窗口 图 6-4添加 /删除管理单元窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-5 添加独立管理单元窗口 图 6-6 选择组策略对象窗口
4,创建需要的组策略模板
图 6-7 Active Directory用户和计算机窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-10 组策略操作窗口 1 图 6-11 组策略操作窗口 2
图 6-8常规选项卡窗口 图 6-9组策略选项卡窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
图 6-12 组策略导入来源
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
1.“桌面”设置
( 1)隐藏桌面的系统图标
图 6-13 组策略桌面操作窗口
( 2)退出时不保存桌面设置
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 3)启用 /禁用“活动桌面”( Windows 2000/XP/2003)
图 6-14 起用 /禁用活动桌面窗口
2,个性化“任务栏”和“开始”菜单
( 1)给“开始”菜单减肥
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-15 任务栏和开始菜单窗口
( 2)保护好, 任务栏, 和, 开始, 菜单
( 3)禁止, 注销, 和, 关机, ( Windows 2000/XP/2003)
( 4)利用组策略保护个人文档隐私
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
3,IE设置
( 1)禁用 【 在新窗口中打开 】 菜单项
图 6-16 组策略浏览器菜单窗口
( 2)限制 IE浏览器的保存功能
( 3)禁用, Internet 选项, 控制面板
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-17组策略 Internet 控制面板窗口
4,组策略的安全设置
( 1)隐藏, 我的电脑, 中指定的驱动器( Windows XP/2003)
此组策略可以从 【 我的电脑 】 和 【 Windows 资源管理器 】 上删除
代表所选硬件驱动器的图标,并且驱动器号代表的所有驱动器不
出现在标准的打开对话框上。
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-18 组策略 Windows资源管理器窗口
( 2)防止从, 我的电脑, 访问驱动器
( 3)禁止使用命令提示符
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-19 组策略系统窗口
( 4)禁止更改显示属性
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-20 组策略显示窗口
( 5)禁用注册表编辑器
( 6)彻底禁止访问, 控制面板,
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
图 6-21 组策略控制面板窗口
( 7)禁止建立新的拨号连接
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
( 8)禁用, 添加 /删除程序,
图 6-22 组策略网络及拨号连接窗口图 6-23组策略添加 /删除程序窗口
( 9)限制使用应用程序
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.2组策略的设置
5,计算机和用户的安全设置
( 1)计算机的安全设置
图 6-25组策略安全设置窗口
( 2)用户的安全策略
图 6-26 组策略密码策略窗口 图 6-27 本地安全策略设置窗口
第 6章 组策略的管理
上一页 下一页 返回本章首页
6.3软件设置
组策略中存在两个软件设置节点。 【 软件设置 】
可以在组策略控制台树中的 【 用户配置 】 和 【 计算机
配置 】 下找到。
1,计算机的软件设置
2,软件安装
当信息教研部组策略对象管理的用户登录到运行
Microsoft Excel的计算机时,Microsoft Excel将出现在
开始菜单中。当用户第一次从开始菜单选择 Microsoft
Excel时,将安装 Microsoft Excel。用户也可通过单击
与应用程序(使用文件扩展名或基于,COM的激活)
相关联的文档来安装广告的应用程序。不能删除指定
的应用程序。这样做将在瑕疵登录到运行 Windows
2000的计算机时再次运行指定的应用程序。
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
组策略是介于控制面板和注册表之间的一种修改系
统、设置程序的工具。在 Windows 2000中组策略
可以为用户进行个性化设置和安全性设置。本章
的开始部分介绍了组策略的基本概念,定义组策
略的要求,设置、管理维护、测试、优化组策略
的基础知识。本章的后部分主要以 Windows 2000
为网络操作系统介绍如何设置个性化桌面、任务
栏、开始菜单,对 IE的许多安全设置以及对计算
机和用户的安全设置等实际操作过程。
Questions?
第 6章 组策略的管理
上一页 下一页 返回本章首页
小结,
1,什么是组策略?
2,组策略应用顺序的规则是什么?
3,组策略的作用和定义组策略的要求各是什么?
4,如何设置组策略?
5.管理组策略的指导原则有哪些?
6.测试, 优化组策略时应检验哪些内容?
7,Windows 2000的基本模板和增量模板各包括哪些程序?
8,实验项目
(1)在 Windows 2000中引入模板, 访问组策略 。
(2)在 Windows 2000中创建需要的组策略模板
(3)设置个性化桌面, 例如:隐藏桌面的系统图标,
退出时不保存桌面设置, 启用 /禁用, 活动桌面, 等 。