1、【项目导入项目导入】 在在 Windows Server 2003 中关于系统中关于系统的设置可分为安全策略和组策略两种。的设置可分为安全策略和组策略两种。 安全策略是安全策略是 一个事先定义好的一系列一个事先定义好的一系列应用计算机的行为准则,应用这些安全策应用计算机的行为准则,应用这些安全策略可以保证用户有一致的略可以保证用户有一致的 工作方式。工作方式。 防止用户破坏计算机上的各种重要防止用户破坏计算机上的各种重要的配置,保护网络上的敏感数据。的配置,保护网络上的敏感数据。 组策略是管组策略是管 理员为用户和计算机定理员为用户和计算机定义并控制程序、网络资源及操作系统行义并控制程序、网络
2、资源及操作系统行为的主要工具,通过使用组策为的主要工具,通过使用组策 略可以设略可以设置各种软件、计算机和用户策略。置各种软件、计算机和用户策略。掌握账户策略的使用,能根据实际需求掌握账户策略的使用,能根据实际需求设置用户的密码使用规则。设置用户的密码使用规则。 掌握本地策略的使用,能针对用户设置掌握本地策略的使用,能针对用户设置其在系统中的各种操作权限,并能审核其在系统中的各种操作权限,并能审核所有用户所有用户 对指定文件的访问情况。对指定文件的访问情况。 能通过组策略掌握简单的控制用户和计能通过组策略掌握简单的控制用户和计算机的程序、网络资源等的使用规则。算机的程序、网络资源等的使用规则。
3、 【任务描述任务描述】 【预备知识预备知识】 1安全策略安全策略 安全策略集中管理了计算机中的安全安全策略集中管理了计算机中的安全设置原则,用以提高系统的安全性。设置原则,用以提高系统的安全性。 安全策略主要包含安全策略主要包含“账户策略账户策略”和和“本本地策略地策略”,账户策略主要管理用户的密码安,账户策略主要管理用户的密码安全,本全,本 地策略主要管理计算机中各项任务的地策略主要管理计算机中各项任务的使用权限。使用权限。图图4-1 4-1 安全策略安全策略 安全策略根据管理对象的不同科分安全策略根据管理对象的不同科分为为 3 种:种:l本地安全策略。本地安全策略。l域安全策略。域安全策略
4、。l域控制器策略。域控制器策略。(1)本地安全策略。)本地安全策略。(2)域安全策略。)域安全策略。(3)域控制器安全策略。)域控制器安全策略。图图4-2 4-2 本地安全策略本地安全策略 图图4-3 4-3 域安全策略域安全策略 图图4-4 4-4 域控制器安全策略域控制器安全策略 以上以上 3 者会按照者会按照“本地安全策略本地安全策略”“域域安全策略安全策略”“域控制器安全策略域控制器安全策略”的顺序将的顺序将 策略依次应用到计算机中,当设置冲突的情况策略依次应用到计算机中,当设置冲突的情况下,后者的设置会覆盖前者的设置。下,后者的设置会覆盖前者的设置。 账户策略主要对用户的密码安全进账
5、户策略主要对用户的密码安全进行管理,它主要有两个子文件夹行管理,它主要有两个子文件夹“密码密码策略策略”和和“账账 户锁定策略户锁定策略”。 常用设置如下:常用设置如下:(1)密码策略)密码策略 密码必须符合复杂性要求:密码必须由密码必须符合复杂性要求:密码必须由数字、英文、符号数字、英文、符号 3 种字符组成。种字符组成。 密码长度小值:设置密码的小长度值。密码长度小值:设置密码的小长度值。 密码长使用期限:密码使用多少时间密码长使用期限:密码使用多少时间后必须修改。后必须修改。 强制密码历史:系统记忆后数次使用强制密码历史:系统记忆后数次使用过的密码,在修改密码时不允许重复使过的密码,在修
6、改密码时不允许重复使用。用。 图图4-5 4-5 密码策略密码策略 (2)账户锁定策略)账户锁定策略 账户锁定阈值:允许用户输错密码的账户锁定阈值:允许用户输错密码的次数,超过次数时账户会被锁定。次数,超过次数时账户会被锁定。 账户锁定时间:因输错密码导致账户账户锁定时间:因输错密码导致账户锁定的锁定时间。锁定的锁定时间。 复位账户锁定计数器:用户输错密码复位账户锁定计数器:用户输错密码次数复位回次数复位回 0 的时间。的时间。 图图4-6 4-6 账户锁定策略账户锁定策略 准备准备 2 个虚拟机镜像,一个作为域个虚拟机镜像,一个作为域控制器用于设置账户策略,另一个作为控制器用于设置账户策略,
7、另一个作为域成员用于测域成员用于测 试设置的效果。试设置的效果。 步骤步骤 1:在域控制器中依次单击:在域控制器中依次单击“开始开始” “程序程序”“管理工具管理工具”“域安全策略域安全策略”, 打开打开“域安全策略域安全策略”对域成员和计算机进行统对域成员和计算机进行统一的设置。再依次单击一的设置。再依次单击“安全设置安全设置” “账户账户 策略策略”。图图4-7 4-7 打开账户策略设置界面打开账户策略设置界面 步骤步骤 2:单击:单击“账户策略账户策略”下的下的“密码密码策略策略”,在窗口右侧双击打开,在窗口右侧双击打开“密码长度小密码长度小值值” 的设置,输入密码长度小值的设置,输入密
8、码长度小值“6”。图图4-8 4-8 设置密码长度最小值设置密码长度最小值 步骤步骤 3:其余的选项,如:其余的选项,如“密码必密码必须符合复杂性要求须符合复杂性要求”可根据情况设为启可根据情况设为启用或禁用。用或禁用。图图4-9 4-9 设置密码复杂性设置密码复杂性 步骤步骤 4:单击:单击“账户策略账户策略”下的下的“账账户锁定策略户锁定策略”,双击右侧窗口中的,双击右侧窗口中的“账户账户锁定阈值锁定阈值”, 设置用户密码输入错误多少设置用户密码输入错误多少次后账户被锁定。锁定的时间和计数器复次后账户被锁定。锁定的时间和计数器复位时间可根据情况设位时间可根据情况设 定。定。图图4-10 4
9、-10 设置账户锁定阈值设置账户锁定阈值 步骤步骤 5:完成设置后重启计算机或在:完成设置后重启计算机或在“运行运行”对话框中输入对话框中输入“gpupdate”,使,使安全策略的安全策略的 设置生效。设置生效。图图4-11 4-11 使设置生效的命令使设置生效的命令 【任务描述任务描述】【预备知识预备知识】 账号策略用于控制登录过程,要控账号策略用于控制登录过程,要控制用户登录之后的操作,需要使用本地制用户登录之后的操作,需要使用本地策略。策略。 利用本利用本 地策略可以实现审核,指定地策略可以实现审核,指定用户权利和设置安全选项。用户权利和设置安全选项。 本地策略有本地策略有 3 个子文件
10、夹:审核策个子文件夹:审核策略,用户权限分配,安全选项,主要作略,用户权限分配,安全选项,主要作用和常用设置用和常用设置 如下:如下: (1)用户权限分配。)用户权限分配。 更改系统时间:允许指定的用户修改更改系统时间:允许指定的用户修改系统时间。系统时间。 关闭系统:允许指定的用户具有关闭关闭系统:允许指定的用户具有关闭系统的操作权限。系统的操作权限。 拒绝本地登录:拒绝指定的用户以本拒绝本地登录:拒绝指定的用户以本地方式登录计算机。地方式登录计算机。 从网络访问此计算机:允许指定的用从网络访问此计算机:允许指定的用户通过网络访问计算机。户通过网络访问计算机。 拒绝从网络访问这台计算机:拒绝
11、指拒绝从网络访问这台计算机:拒绝指定的用户通过网络访问计算机。定的用户通过网络访问计算机。 图图4-12 4-12 用户权限分配用户权限分配 用户权限设置的方法是双击打开指用户权限设置的方法是双击打开指定的策略,在窗口中添加具有该权限的定的策略,在窗口中添加具有该权限的用户或组,该用户或组,该 项中没有设置的用户将没项中没有设置的用户将没有对应的操作权限。有对应的操作权限。 而在域安全策略中没有定义的策略而在域安全策略中没有定义的策略将采用本地将采用本地 安全策略中的设置。安全策略中的设置。图图4-13 4-13 用户权限设置的方法用户权限设置的方法 (2)安全选项:)安全选项: 账户:管理员
12、账户状态:决定账户:管理员账户状态:决定 Administrator 账号是否被启用或禁用。账号是否被启用或禁用。 账户:来宾账户状态:决定账户:来宾账户状态:决定 Guest 账号是否账号是否被启用或禁用。被启用或禁用。 账户:使用空白密码的本地账户只允账户:使用空白密码的本地账户只允许进行控制台登录:如果启用,使用空许进行控制台登录:如果启用,使用空白密码白密码 的用户不允许通过网络登录计算的用户不允许通过网络登录计算机。机。 交互式登录:无须按交互式登录:无须按 Ctrl+Alt+Del:在登:在登录界面中不需要按组合键录界面中不需要按组合键 Ctrl+Alt+Del。 交互式登录:不显
13、示后的用户名:登录交互式登录:不显示后的用户名:登录系统时不显示上一次登录用户的名称。系统时不显示上一次登录用户的名称。 图图4-14 4-14 安全选项安全选项 与用户权限分配不同,用户权限应用于与用户权限分配不同,用户权限应用于用户或组,而安全选项应用于计算机。用户或组,而安全选项应用于计算机。 设置方法设置方法 主要为启用或禁用该策略。主要为启用或禁用该策略。图图4-15 4-15 安全选项设置的方法安全选项设置的方法 (3)审核策略:)审核策略: 审核登录事件:记录用户何时登录,注审核登录事件:记录用户何时登录,注销和本地系统账户的远程登录。销和本地系统账户的远程登录。 审核对象访问:
14、记录用户对指定对象的审核对象访问:记录用户对指定对象的访问(例如文件、文件夹、注册表项、打访问(例如文件、文件夹、注册表项、打印印 机等)。机等)。 审核系统事件:记录重新启动、启动审核系统事件:记录重新启动、启动或关机等系统事件,或影响系统安全或或关机等系统事件,或影响系统安全或安全日安全日 志的事件。志的事件。 审核账户登录事件:记录用户账户的审核账户登录事件:记录用户账户的登录或退出。登录或退出。 图图4-16 4-16 审核策略审核策略 审核策略主要设置审核对象的成功操审核策略主要设置审核对象的成功操作或失败操作,可审核每一个事件,但不作或失败操作,可审核每一个事件,但不推荐开启推荐开
15、启 所有审核,这样会使服务器超所有审核,这样会使服务器超载。载。 也不建议完全关闭审核,应该有选也不建议完全关闭审核,应该有选择的审核关键的用户、择的审核关键的用户、 关键的文件、关关键的文件、关机的事件。机的事件。图图4-17 4-17 审核策略的设置方法审核策略的设置方法 依次单击依次单击“开始开始”“程序程序”“管管理工具理工具”“事件查看器事件查看器”,可打开事件,可打开事件查看器。查看器。 在在 “安全性安全性”中记录了审核的记录,中记录了审核的记录,包括审核的类型、日期时间、来源分类、包括审核的类型、日期时间、来源分类、用户、计算机等用户、计算机等 信息,信息,图图4-18 4-1
16、8 事件查看器事件查看器 如果记录太多,可单击菜单如果记录太多,可单击菜单“查看查看”“筛选筛选”,搜索出指定的审核记录。,搜索出指定的审核记录。图图4-19 4-19 事件查看器的筛选功能事件查看器的筛选功能 步骤步骤 1:为了记录所有用户对文件夹:为了记录所有用户对文件夹 data 的访问情况,需要将该文件夹设置为审核策略的访问情况,需要将该文件夹设置为审核策略审审 核的对象,打开该文件夹的核的对象,打开该文件夹的“属性属性”,再,再依次单击依次单击“安全安全”“高级高级”按钮。按钮。图图4-20 4-20 将文件夹设置为审核对象将文件夹设置为审核对象 步骤步骤 2:在弹出的对话框中单击:
17、在弹出的对话框中单击“审核审核”选项卡,再单击选项卡,再单击“添加添加”按钮,添加需要记录按钮,添加需要记录 访问情况的用户名。由于需要记录所有用户,访问情况的用户名。由于需要记录所有用户,可直接输入可直接输入“everyone”代表所有用户。代表所有用户。图图4-21 4-21 添加审核对象添加审核对象 步骤步骤 3:之后选择需要审核的内容,记:之后选择需要审核的内容,记录用户的所有操作则将录用户的所有操作则将“完全控制完全控制”选项勾选项勾选上。选上。图图4-22 4-22 设置审核的内容设置审核的内容 步骤步骤 4:确定后打开该计算机的:确定后打开该计算机的“本地本地安全策略安全策略”,
18、或在域控制器中打开,或在域控制器中打开“域安全域安全策略策略”, 再依次单击再依次单击“安全设置安全设置”“本本地策略地策略”“审核策略审核策略”。图图4-23 4-23 审核策略审核策略 步骤步骤 5:双击打开右侧的:双击打开右侧的“审核对象审核对象访问访问”,将,将“成功成功”和和“失败失败”选项勾选选项勾选上,完成设置。上,完成设置。图图4-24 4-24 设置审核对象访问设置审核对象访问 步骤步骤 6:以后可打开:以后可打开“开始开始”“程序程序” “管理工具管理工具”“事件查看器事件查看器”,在,在“安安全性全性” 中查询该文件夹的访问情况。中查询该文件夹的访问情况。图图4-25 4
19、-25 查询文件夹的访问情况查询文件夹的访问情况【任务描述任务描述】【预备知识预备知识】 组策略是管理员为用户和计算机定组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行义并控制程序、网络资源及操作系统行为的主要工具。为的主要工具。 组策略中分为组策略中分为“计算机配置计算机配置”和和“用用户配置户配置”两部分,两部分,“计算机配置计算机配置”是以计是以计算机为对象算机为对象 的设置,的设置,“用户配置用户配置”是以用是以用户为对象的设置。户为对象的设置。图图4-26 4-26 组策略组策略 组策略根据管理对象的不同主要可分组策略根据管理对象的不同主要可分为本地组策略、域组策略、
20、为本地组策略、域组策略、OU 组策略。组策略。 (1)本地组策略。)本地组策略。(2)域组策略。)域组策略。(3)OU 组策略。组策略。图图4-27 4-27 域组策略域组策略 图图4-28 OU 4-28 OU 组策略组策略 组策略的应用规则与安全策略类似,规组策略的应用规则与安全策略类似,规则总结为以下几点。则总结为以下几点。 (1)组策略按)组策略按“本地组策略本地组策略”“域组域组策略策略”“OU 组策略组策略”的顺序将策略依的顺序将策略依次应用次应用 到计算机或用户中。在多个组策到计算机或用户中。在多个组策略设置不冲突的情况下,前者的组策略略设置不冲突的情况下,前者的组策略设置会被后
21、者继承。设置会被后者继承。 (2)当多个组策略设置冲突的情况下,)当多个组策略设置冲突的情况下,后者的组策略设置会覆盖前者的设置。后者的组策略设置会覆盖前者的设置。 (3)通过设置可阻止继承前者的组策略,完)通过设置可阻止继承前者的组策略,完全使用自己的策略设置。设置方法是在当前全使用自己的策略设置。设置方法是在当前 的组策略设置中,将下方的的组策略设置中,将下方的“阻止策略继承阻止策略继承”勾选上,如图勾选上,如图 4-29 所示,域控制器的组策略所示,域控制器的组策略将将 不会继承域组策略的所有设置。不会继承域组策略的所有设置。 图图4-29 4-29 阻止策略继承阻止策略继承 (4)不需
22、要的组策略可以被删除或禁用。设置)不需要的组策略可以被删除或禁用。设置方法是在当前的组策略设置中,选择需要方法是在当前的组策略设置中,选择需要 操作操作的组策略对象,单击的组策略对象,单击“删除删除”或单击或单击“选项选项”铵钮禁用组策略对象。铵钮禁用组策略对象。图图4-30 4-30 禁用组策略禁用组策略 (5)使用筛选可以阻止一个组策略对象)使用筛选可以阻止一个组策略对象应用于容器内的特定计算机和用户。设应用于容器内的特定计算机和用户。设置方法是置方法是 在当前的组策略设置中,选择在当前的组策略设置中,选择需要操作的组策略对象。需要操作的组策略对象。 打开它的打开它的“属性属性”对话框,单
23、击对话框,单击 “安全安全”选项卡,添加需要禁止应用组策略的用户或组,选项卡,添加需要禁止应用组策略的用户或组,后将下方权限后将下方权限“应用组策略应用组策略”的禁止的禁止 勾选上。勾选上。图图4-31 4-31 对特定计算机和用户的组策略设置对特定计算机和用户的组策略设置 步骤步骤 1:通过在人事部:通过在人事部 OU 中设置中设置 OU 组策组策略,可一次性对整个部门完成设置。在略,可一次性对整个部门完成设置。在“Active Directory 用户和计算机用户和计算机”中打开人事部中打开人事部 OU 的的属性,单击属性,单击“组策略组策略”选项卡。选项卡。图图4-32 4-32 设置设
24、置 OU OU 组策略组策略 步骤步骤 2:单击:单击“新建新建”按钮,添加按钮,添加新的组策略对象,双击打开进行设置。新的组策略对象,双击打开进行设置。图图4-33 4-33 添加新的组策略对象添加新的组策略对象 步骤步骤 3:依次展开左侧的:依次展开左侧的“用户配用户配置置”“管理模板管理模板”“系统系统”,在右,在右侧找到侧找到“不要运不要运 行指定的行指定的 Windows 应应用程序用程序”并双击打开其属性对话框。并双击打开其属性对话框。图图4-34 4-34 设置禁止运行的程序设置禁止运行的程序 步骤步骤 4:在对话框中选择:在对话框中选择“已启用已启用”选选项,再单击项,再单击“
25、显示显示”按钮,添加禁止运行的按钮,添加禁止运行的 IE 程序名程序名“IEXPLORE.EXE”,确定后完成,确定后完成设置。设置。图图4-35 4-35 设置禁止运行的程序设置禁止运行的程序 步骤步骤 5:用部门成员的身份登录计算机,:用部门成员的身份登录计算机,尝试打开尝试打开 IE 浏览器,如果出现图浏览器,如果出现图 4-36所示提所示提示,示, 代表设置成功。代表设置成功。 图图4-36 4-36 测试效果测试效果 步骤步骤 6:为了避免特殊的用户,如部门:为了避免特殊的用户,如部门经理的账户也被禁止使用经理的账户也被禁止使用 IE,可使用筛选排,可使用筛选排除指除指 定的用户应用
26、组策略的设置。打开组策定的用户应用组策略的设置。打开组策略对象的略对象的“属性属性”对话框,单击对话框,单击“安全安全”选选项卡。项卡。图图4-37 4-37 使用筛选排除指定的用户的设置使用筛选排除指定的用户的设置 步骤步骤 7:添加需要禁止应用组策略的指:添加需要禁止应用组策略的指定用户,后将下方权限定用户,后将下方权限“应用组策略应用组策略”的禁的禁止勾选上。止勾选上。图图4-38 4-38 使用筛选排除指定的用户的设置使用筛选排除指定的用户的设置 步骤步骤 8:同样使用:同样使用 OU 组策略设置组策略设置员工计算机的壁纸,先制作好一张写有员工计算机的壁纸,先制作好一张写有部门规章制度
27、部门规章制度 的桌面壁纸,并将其放入的桌面壁纸,并将其放入到共享文件夹中,以后每次计算机在启到共享文件夹中,以后每次计算机在启动后都会读取该文件作为桌动后都会读取该文件作为桌 面壁纸。面壁纸。图图4-39 4-39 将壁纸放入共享文件夹中将壁纸放入共享文件夹中 步骤步骤 9:依次展开:依次展开 OU 组策略左侧的组策略左侧的“用户配置用户配置”“管理模板管理模板”“桌面桌面”“ Active Desktop”,在右侧窗口找到,在右侧窗口找到“Active Desktop 墙纸墙纸”并双击打开其属性对话框。并双击打开其属性对话框。图图4-40 4-40 设置成员的固定壁纸设置成员的固定壁纸 步骤步骤 10:在对话框中选择:在对话框中选择“已启动已启动”选选项,在项,在“墙纸名称墙纸名称”中输入墙纸图片中局域中输入墙纸图片中局域网中网中 的共享路径。的共享路径。图图4-41 4-41 设置壁纸的路径设置壁纸的路径 步骤步骤 11:同样用部门成员的身份登:同样用部门成员的身份登录计算机检查结果。录计算机检查结果。图图4-42 4-42 测试效果测试效果
