windows系统安全10,11,12(组策略,安全配置和安全审计).pptVIP

第十章：组策略 概述 组策略简介 组策略的构成 组策略处理和优先级 实现组策略（实验） 通过组策略使管理员可以集中控制用户环境，减轻管理负担. 组策略是管理员针对于网络中的用户和计算机所作的一系列设置. 计算机设置: 提供计算机的基本设置 生效时间：当计算机启动时生效 用户的设置: 设置用户的环境 生效时间：当用户登陆到计算机时生效 组策略对象（Group Policy Object:GPO) 它存储了组策略的具体配置，每一个GPO都链接到一个具体的活动目录容器，包括站点，域，组织单元。 组策略与活动目录的结合 如果组策略与活动目录联合使用，则可实现策略的集中与分散管理，适应从小到大的各种规模。 组策略管理单元提供了管理组策略的集成工具，并提供了对“AD用户和计算机““AD站点和服务 插件等MMC管理工具的扩展。” 我们可以针对于站点，域，OU设置组策略 可以将一个组策略链接多个站点，域，OU 可将多个策略链接到同一个站点，域，OU 如果不在域中的计算机可以利用本地组策略（本地策略）管理计算机。 概述 组策略简介 组策略的构成 组策略处理和优先级 实现组策略（实验） 组策略的组成 策略设置的类型 软件设置 管理模板 Windows设置 1 Windows设置(了解) 脚本：含有计算机特殊脚本的信息 启动和关闭脚本存在于计算机配置节点中 登录和注销脚本存在于用户配置节点中 安全设置： 含有登录到计算机的所有用户的安全设置 目录重定向： 可以重定向My Documents、应用数据桌面及开始菜单等文件夹到 网络上一个可选的位置。 Internet Explorer维护 远程安装服务 2 软件设置（了解） 这个选项允许你使用Microsoft Installer(MSI)功能集中管理公司中的软件发布。 通过【计算机配置】制定，将导致在启动计算机时自动安装软件 通过【用户配置】制定 还可以有两个选项 【发布】使系统在启动时自动安装应用程序 【指派】允许用户通过【添加/删除程序】有选择的安装应用程序 3 管理模板（了解） 是供组策略用来生成计算机管理和用户界面设置的文件 这些文件由分层的目录和子目录所组成，目录定义了哪些选项将显示在组策略中以及显示哪些可由组策略进行修改的注册表设置。管理模扳通过修改注册表实现对用户环境的控制 管理模扳主要修改以下两个注册表树的值 HKEY_LOCAL_MACHINE 计算机配置 HKEY_CURRENT_USER 用户配置 组策略的应用 计算机策略是在计算机引导的时候加载，而用户策略是在用户登录的时候加载。 计算机和用户是仅有的接收组策略的活动目录对象类型，安全组不需要应用策略。 概述 组策略简介 组策略的构成 组策略处理和优先级 实现组策略（实验） 组策略的继承关系 总的来说 组策略具有继承性 子容器的设置优于与从父容器继承下来的设置 具体来说 父容器配置了某个策略，子容器将继承该设置 父容器和子容器都配置了某个策略，但策略兼容，那么子容器将继承父容器的设置，并与自身的设置合并。 父容器和子容器都配置了某个策略，但策略不兼容，那么子容器将覆盖父容器的设置。 2 组策略的处理 应用于用户（计算机）的组策略对象（GPO）并不是全都具有相同的优先级。后面应用的设置可以覆盖先前应用的设置。 组策略的处理顺序 本地策略对象 链接在站点上的GPO对象 链接在域上的GPO对象 链接在OU上的GPO对象 注意： 排在最后的GPO被最后处理，因此具有最高的优先级。 工作组成员只处理本地组策略对象 组策略的应用顺序 默认处理顺序的例外 1“禁止替代”(No override)选项（强制） （组策略对象GPO属性上设置） 链接到站点、域或组织单元（不包括本地）的任何一个组策略对象都可以使用该选项，来防止随后处理的组策略对象覆盖该组策略对象中的所有策略设置。 如果有多个组策略对象设置为”禁止替代“时，那么就会优先采用在活动目录层次结构中处于更高层的那一个。 2 禁用部分配置 （组策略对象GPO属性上设置） GPO可以禁用其用户设置，计算机设置或所有设置，默认情况下，在GPO上，两者都不禁用。 3“阻止策略继承“（Block Policy Inheritance）选项 (容器属性上设置) 在任何一个站点、域或组织单元上，组策略继承都可以被选择性的标记为”阻止策略继承“，来禁止从父目录容器继承组策略。 但是，设置为”禁止替代“的组策略对象链接将始终都会被采用，且不能阻止。 ”阻止策略继承“设置直接应用于站点，域或组织单元，而不应用于组策略对象，也不应用于组策略对象链接。 4 环回 (Loopback)选项(组策略属性/内容中设置) （计算机配置/管理模板/系统/组策略/用户组