第4章組策略的配置與管理任務(wù)1組策略任務(wù)2本地組策略的配置與管理任務(wù)3域組策略的配置與管理任務(wù)1組策略任務(wù)引入隨著公司網(wǎng)絡(luò)訪問(wèn)用戶的不斷增多，隨之出現(xiàn)了很多問(wèn)題，經(jīng)常會(huì)受到網(wǎng)絡(luò)攻擊以及公司重要資源的泄露，為了提高計(jì)算機(jī)的安全性，公司領(lǐng)導(dǎo)要求小明利用組策略來(lái)管理公司的賬戶，配置服務(wù)器組策略，使一些組策略應(yīng)用于所有域?qū)ο?，為此小明通過(guò)上網(wǎng)查閱相關(guān)資料來(lái)了解組策略，那么什么是組策略呢？知識(shí)準(zhǔn)備一、組策略概述系統(tǒng)管理員可以利用組策略來(lái)控制用戶賬戶和計(jì)算機(jī)賬戶的工作環(huán)境，組策略是系統(tǒng)管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具，通過(guò)使用組策略可以設(shè)置計(jì)算機(jī)和用戶策略。組策略包含計(jì)算機(jī)配置和用戶配置，可以通過(guò)以下兩種方法設(shè)置。本地組策略：域組策略：組策略的執(zhí)行順序依次是本地、站點(diǎn)、域和組織單位，如果策略之間產(chǎn)生沖突，則后應(yīng)用的生效。本地：站點(diǎn)：域：組織單位：二、注冊(cè)表與組策略注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊(cè)表的各個(gè)角落，如果是手工修改會(huì)比較困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，方便系統(tǒng)管理員管理計(jì)算機(jī)。組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，比手工修改注冊(cè)表更方便、靈活，功能也更加強(qiáng)大。任務(wù)2本地組策略的配置與管理任務(wù)引入小明已經(jīng)對(duì)組策略有了更深入的了解，接下來(lái)就可以根據(jù)公司的需求設(shè)置相關(guān)的組策略，首先設(shè)置本地組策略，那么什么是本地組策略，本地組策略具體包括哪些，又該如何設(shè)置呢？知識(shí)準(zhǔn)備一、本地組策略概述本地組策略主要針對(duì)獨(dú)立的并非域環(huán)境中的計(jì)算機(jī)，影響的是本地計(jì)算機(jī)的環(huán)境，也可以應(yīng)用到域組中的計(jì)算機(jī)。本地組策略包括計(jì)算機(jī)配置和用戶配置，都包括軟件設(shè)置、Windows設(shè)置和管理模板三部分，打開(kāi)“運(yùn)行”對(duì)話框輸入“gpedit.msc”，按回車鍵打開(kāi)“本地組策略編輯器”對(duì)話框，如圖所示。二、配置本地組策略打開(kāi)“服務(wù)器管理器”對(duì)話框，選擇右上角“工具”“本地安全策略”選項(xiàng)，打開(kāi)“本地安全策略”對(duì)話框，如圖4-2所示，本地安全策略主要包括賬戶策略和本地策略，其中賬戶策略包括密碼策略和賬戶鎖定策略，本地策略包括審核策略、用戶權(quán)限分配和安全選項(xiàng)，這里我們主要介紹用戶權(quán)限分配和安全選項(xiàng)。1．設(shè)置密碼策略

“本地安全策略”對(duì)話框

密碼策略2．設(shè)置賬戶鎖定策略3．設(shè)置用戶權(quán)限分配4．設(shè)置安全選項(xiàng)賬戶鎖定策略用戶權(quán)限分配

安全選項(xiàng)案例——設(shè)置本地安全策略在安裝域控制器之前，設(shè)置本地安全策略，要求如下：（1）配置密碼策略（2）賬戶鎖定策略（3）只允許Administrators組的用戶更改系統(tǒng)時(shí)間“密碼長(zhǎng)度最小值屬性”對(duì)話框“密碼最短使用期限屬性”對(duì)話框“密碼最長(zhǎng)使用期限屬性”對(duì)話框

“強(qiáng)制密碼歷史屬性”對(duì)話框“賬戶鎖定閾值屬性”對(duì)話框“建議的數(shù)值改動(dòng)”提示對(duì)話框“賬戶鎖定時(shí)間屬性”對(duì)話框

刪除其余組任務(wù)3域組策略的配置與管理任務(wù)引入小明已經(jīng)在公司的服務(wù)器配置了本地組策略，完成了對(duì)用戶和計(jì)算機(jī)賬戶的集中化管理，現(xiàn)在在該服務(wù)器上安裝了域控制器，需要對(duì)域環(huán)境中的用戶和計(jì)算機(jī)進(jìn)行集中管理和配置，那么如何創(chuàng)建域環(huán)境中的組策略呢？知識(shí)準(zhǔn)備一、域組策略概述管理員針對(duì)站點(diǎn)、域或組織單位來(lái)設(shè)置組策略，通過(guò)使用組策略，管理員可以根據(jù)管理要求設(shè)置相應(yīng)的策略，并應(yīng)用到ActiveDirectory域服務(wù)中的用戶和計(jì)算機(jī)。針對(duì)域的組策略會(huì)應(yīng)用到域內(nèi)的所有計(jì)算機(jī)和用戶，針對(duì)組織單位的組策略會(huì)應(yīng)用到該組織單位內(nèi)的所有計(jì)算機(jī)和用戶，組織單位會(huì)繼承域的策略設(shè)置，如果組織單位的策略設(shè)置與域的策略設(shè)置發(fā)生沖突，默認(rèn)以組織單位的策略設(shè)置優(yōu)先。二、創(chuàng)建域環(huán)境中的組策略組策略的設(shè)置存儲(chǔ)在域控制器的GPO中，管理員可以通過(guò)組策略管理控制臺(tái)（GPMC）來(lái)創(chuàng)建和編輯GPO，系統(tǒng)有兩個(gè)內(nèi)置的GPO:DefaultDomainPolicy：此GPO鏈接到域，其設(shè)置會(huì)被應(yīng)用到域內(nèi)的所有用戶和計(jì)算機(jī)。DefaultDomainControllersPolicy：此GPO鏈接到組織單位，其設(shè)置會(huì)被應(yīng)用到DomainControllers內(nèi)的所有用戶和計(jì)算機(jī)。案例——設(shè)置域的組策略

控制臺(tái)界面選擇“添加/刪除管理單元”命令

添加“組策略管理”管理單元

設(shè)置“技術(shù)科”組織單位組策略“新建GPO”對(duì)話框

編輯組策略“技術(shù)科”選擇“創(chuàng)建默認(rèn)規(guī)則”

選擇“創(chuàng)建新規(guī)則”“在你開(kāi)始前”界面

“權(quán)限”界面

“條件”界面

“路徑”界面“名稱和描述”界面新創(chuàng)建的規(guī)則項(xiàng)目總結(jié)理論練習(xí)一、選擇題（1）組策略的執(zhí)行順序依次是（）。A.本地、組織單位、站點(diǎn)、域B.本地、站點(diǎn)、域、組織單位C.本地、站點(diǎn)、組織單位、域D.本地、組織單位、域、站點(diǎn)（2）在“運(yùn)行”對(duì)話框輸入（）命令可以打開(kāi)組策略管理對(duì)話框。A.gpedit.mscB.regeditC.mmcD.admin（3）為了加強(qiáng)域的安全性，需要設(shè)置域組策略中的安全策略，下列策略與密碼策略無(wú)關(guān)的是（）。A.賬戶鎖定閾值B.密碼必須符合復(fù)雜性要求C.密碼長(zhǎng)度最小值D.密碼最短使用期限二、問(wèn)答題1.簡(jiǎn)述本地組策略中的賬戶策略。2.簡(jiǎn)述本地組策略和域組策略的區(qū)別。項(xiàng)目實(shí)戰(zhàn)實(shí)戰(zhàn)一設(shè)置本地組策略在服務(wù)器配置為域控制器之前，設(shè)置本地安全策略。要求如下：密碼必須符合復(fù)雜性要求密碼長(zhǎng)度最小值：7只允許Administrators組的用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程到服務(wù)器上。（1）在“本地安全策略”窗口中，選擇“賬戶策略”“密碼策略”選項(xiàng)，啟用“密碼必須符合復(fù)雜性要求“策略。（2）啟用“密碼長(zhǎng)度最小值”策略，將其值設(shè)置為“7”。（3）選擇“本地策略”“用戶權(quán)限分配”選項(xiàng)，打開(kāi)“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)屬性”對(duì)話框，刪除其余組，僅保留“Administrators”組。實(shí)戰(zhàn)二設(shè)置域的組策略在域“mac.om”中設(shè)置組策略，為所有用戶設(shè)置統(tǒng)一的桌面。（1）選擇“控制臺(tái)根節(jié)點(diǎn)”列表下的選擇“組策