域的管理组策略-其应用.pptVIP

主讲教师:谭鸣钟;第10章 组策略及其应用 ;一　组策略概述 ; 组策略只允许用户一次性地规定自己的环境，在这之后，依赖操作系统来强制实施。 组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行更改，如：桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的，系统管理员使用（MMC，Microsoft Manage Controller）工具来对用户组和计算机组设置策略。; 默认情况下，组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象（把它们链接到它们的目标上）的顺序和级别决定了用户或计算机实际能收到的组策略设置。另外，组策略能够在站点、域、组织单元这些级别上被阻塞；组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上，然后将链接设置为非覆盖方式来实现。 默认情况下，组策略影响站点、域、或组织单元中所有用户和计算机，而不影响站点、域、或组织单元中的其他对象。; 组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中，也可以从属于任何非本地（即基于活动目录）的组策略对象。使用组策略指定的策略设置是Windows Server 2003中启用中心化的更新和配置管理的首选方式。;组策略设置能够：;二 活动目录结构和组策略 ; 组策略对象存储在Windows Server 2003的域中，其作用由它们所链接的站点、域或组织单元启用。 ; 不可能将一组策略对象链接到通常的活动目录容器中。（通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个组织单元中的图标是类似的，除了有一本小书的图形叠放在文件夹上）然而，通常的活动目录容器中的用户和计算机接收这些类型的策略，这些策略继承于链接到较高层次的活动目录的组策略对象。例如，在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们，但是它们可以通过继承接收链接到域的组策略对象。; 本地组策略对象首先被应用，然后是链接到站点的组策略对象，再然后是链接到域的组策略对象以特定顺序被应用，最后是链接到组织单元的组策略对象，其顺序是开始于最高层（在活动目录层次）的组织单元（它包含用户或计算机帐户），终止于最低层（最接近用户和计算机）的组织单元（它包含用户和计算机）。在每个组织单元中，任何链接到它的组策略对象以指定的管理顺序被应用。; 应用的顺序（本地、站点、域和组织单元）对于活动目录体系结构非常有意义。因为缺省情况下，对每种设置而言，后来被应用的策略覆盖前面应用的策略，而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西（任何早期被应用的设置），“打开”或“关闭”允许保留。 组策略编辑器是如下图所示的MMC插件，它分为两个节点：【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一。;组策略编辑器 ;3、配置安全策略 安全策略用于Windows Server 2003网络的安全设置。安全配置包含有应用到一个或多个Windows Server 2003支持的安全领域的设置。指定的安全配置被应用到计算机作为组策略强制的一部分。组策略插件的安全设置扩展对已存在的系统安全工具进行了补充。 能为计算机配置安全领域的包括： （1） 帐户策略 它们是Windows Server 2003域中关于密码策略、帐户锁定策略的计算机安全设置。;（2） 本地策略 包括有关审核策略（试图登录时审计成功或失败）、用户权限分配（他们连接到网上）、以及安全选项（以匿名连接到计算机的能力）。 （3） 事件日志 它控制如应用的大小和保持方法、安全、系统事件日志等设置。可以通过事件浏览器来访问这些日志。;（4） 受限组 允许用来控制是否需要属于安全敏感组，以及哪些其他组需要属于安全敏感组。这就允许系统管理员强制有关敏感组的成员关系策略，这种敏感组的例子有企业管理员、薪水册等。例如，有可能决定仅仅有两个用户成为企业管理员组，这样就定义企业行政组为一个受限组，它仅包含两个成员。如果第三个人添加到这个组（例如，在紧急情况下处理某