windows 2003组策略与安全配置

windows 2003组策略与安全配置

第8章 组策略与安全配置本章要点●组策略可实现的功能与基本配置 组策略可实现的功能与基本配置 帐户策略、用户指派权利、 ●帐户策略、用户指派权利、使用组策略部署软件 安全模板、安全配置和分析、 ●安全模板、安全配置和分析、安全配置向导 Windows防火墙 ●Windows防火墙 IP安全策略 ●IP安全策略 ●证书服务

windows 2003组策略与安全配置

目

录

8.1 组策略概述 8.2 组策略的基本配置与实例 8.3 使用组策略配置用户环境 8.4 使用组策略部署软件 综合实训7 2003服务器 ☆综合实训7:Windows Server 2003服务器 安全配置——本地安全策略 安全配置 本地安全策略 8.5 安全配置和分析 8.6 安全配置向导 2003防火墙 8.7 Windows Server 2003防火墙 IP安全设置 8.8 IP安全设置 8.9 证书服务 综合实训8: ☆综合实训8: 安全配置首页 目录 实训案例1 实训案例2

windows 2003组策略与安全配置

8.1 组策略概述组策略是管理员为计算机和用户定义的，是用来控制应用程序、 组策略是管理员为计算机和用户定义的，是用来控制应用程序、 系统设置和管理模板的一种机制。简单地说， 系统设置和管理模板的一种机制。简单地说，组策略就是介于控制面 板和注册表之间的一种修改系统、设置程序的工具。 板和注册表之间的一种修改系统、设置程序的工具。 组策略高于注册表，组策略使用更完善的管理组织方法， 组策略高于注册表，组策略使用更完善的管理组织方法，可以对 各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活， 各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活， 功能也更加强大。 功能也更加强大。 1.使用组策略可以实现的功能 1.使用组策略可以实现的功能 帐户策略的设定 本地策略的设定 脚本的设定 用户工作环境的定制 软件的安装与删除 限制软件的运行 文件夹的转移 其他系统设定首页 目录 实训案例1 实训案例2

windows 2003组策略与安全配置

8.1 组策略概述2.启动组策略的方法 2.启动组策略的方法方法1 单击【开始】 方法1:单击【开始】|【运行】命令，输入gpedit.msc,单击 运行】命令，输入gpedit.msc gpedit.msc, 【确定】按钮，打开当前计算机的组策略，如图8-1所示。 确定】按钮，打开当前计算机的组策略，如图8 所示。 方法2 单击【开始】 方法2:单击【开始】|【运行】命令，输入MMC,单击【确定】 运行】命令，输入MMC 单击【确定】 MMC, 按钮，打开 Microsoft 管理控制台，添加【组策略对象编辑器】, 按钮， 管理控制台，添加【组策略对象编辑器】 选择所需的组策略对象，打开要编辑的组策略对象，如图8-2所示。 选择所需的组策略对象，打开要编辑的组策略对象，如图8 所示。

图8-1 本地

组策略窗口

图8-2 MMC中的组策略管理单元

首页

目录

实训案例1

实训案例2

windows 2003组策略与安全配置

8.1 组策略概述3.组策略界面 3.组策略界面组策略主界面共分为左右两个窗格，左边窗格中的【“本地计算机”策 组策略主界面共分为左右两个窗格，左边窗格中的【 本地计算机” 计算机配置】 用户配置】两个子项构成， 略】由【计算机配置】和【用户配置】两个子项构成，右边窗格中是针对左 边某一配置可以设置的具体策略。 边某一配置可以设置的具体策略。

4.组策略对象 4.组策略对象组策略的基本单元是组策略对象GPO,它是一组设置的组合。 组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类 GPO,它是一组设置的组合 型的组策略对象：本地组策略对象和非本地组策略对象。 型的组策略对象：本地组策略对象和非本地组策略对象。 组策略作用范围：由它们所链接的站点、域或组织单元启用。

5.组策略的应用时机 5.组策略的应用时机计算机配置：计算机开机时自动启用，域控制器默认每隔5分钟自动启 计算机配置：计算机开机时自动启用，域控制器默认每隔5 非域控制器默认每隔90 120分钟自动启动 90分钟自动启动， 用，非域控制器默认每隔90-120分钟自动启动，此外不论策略是否有变动系 统每隔16小时自动启动一次。 16小时自动启动一次 统每隔16小时自动启动一次。 用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动，此 用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动， 90分钟自动启动 外不论策略是否有变动系统每隔16小时自动启动一次。 16小时自动启动一次 外不论策略是否有变动系统每隔16小时自动启动一次。 手动启动组策略的命令是： 手动启动组策略的命令是：gpupdate /target:compute /force

6.组策略的处理顺序 6.组策略的处理顺序组策略的配置是累加的。 组策略的配置是累加的。 应用的顺序：本地组策略对象→站点的组策略对象→ 应用的顺序：本地组策略对象→站点的组策略对象→域的组策略对象 →组织单元的组策略对象。后面策略覆盖前面策略。 组织单元的组策略对象。后面策略覆盖前面策略。首页 目录 实训案例1 实训案例2

windows 2003组策略与安全配置

8.2 组策略的基本配置与实例8.2.1组策略的基本配置 8.2.1组策略的基本配置1.计算机配置 1.计算机配置 计算机配置包括所有与计算机相关的策略设置， 计算机配置包括所有与计算机相关的策略设置，它们用来指 定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、 定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、 指定的计算机应用选项以及应用设置

。 指定的计算机应用选项以及应用设置。 2.用户配置 2.用户配置 用户配置包括所有与用户相关的策略设置， 用户配置包括所有与用户相关的策略设置，它们用来指定操 作系统行为、桌面设置、安全设置、指定和发布的应用选项、 作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用 设置、文件夹重定向选项、用户登录与注销脚本等。 设置、文件夹重定向选项、用户登录与注销脚本等。 3.组策略插件扩展 3.组策略插件扩展 (1)软件设置 Windows设置 (2)Windows设置 账号策略、本地策略、事件日志、受限组、系统服务、 账号策略、本地策略、事件日志、受限组、系统服务、注册 文件系统、 IP安全策略 安全策略、 表、文件系统、 IP安全策略、公钥策略 (3)管理模板首页 目录 实训案例1 实训案例2

windows 2003组策略与安全配置

8.2 组策略的基本配置与实例组策略实例1 8.2.2 组策略实例1:计算机配置Windows的上网速率提升 的上网速率提升20% 1.让Windows的上网速率提升20% 操作步骤： 操作步骤： 组策略编辑器】控制台中，展开【计算机配置】 管理模板】 在【组策略编辑器】控制台中，展开【计算机配置】|【管理模板】 网络】 数据包调度程序】 在右窗格双击【 |【网络】|【QoS 数据包调度程序】项，在右窗格双击【限制可保留 带宽】策略，在属性对话框中，选择【已启用】单选按钮，并将【 带宽】策略，在属性对话框中，选择【已启用】单选按钮，并将【带 宽限制】值设置为0% 单击【确定】按钮。 0%, 宽限制】值设置为0%,单击【确定】按钮。

首页

目录

实训案例1

实训案例2

windows 2003组策略与安全配置

8.2 组策略的基本配置与实例组策略实例1 8.2.2 组策略实例1:计算机配置2.关闭系统还原功能 操作步骤： 操作步骤： 在【组策略】控制台中，展开【计算机配置】 …… 此处隐藏：3091字，全部文档内容请下载后查看。喜欢就下载吧 ……