《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第6章windows 2000組管理及組策略

1、第6章 Windows 2000組管理及組策略,教學(xué)提示：組是指訪問目的和權(quán)限相同的一系列活動目錄或本地計算機(jī)對象的集合，可以包含用戶、計算機(jī)和其他組等。在Windows 2000中，通過組可以管理用戶和計算機(jī)對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機(jī)隊列，還可以建立組策略。使用組，主要是為了方便管理，提高效率。,教學(xué)目標(biāo)：本章的主要目標(biāo)是學(xué)習(xí)Windows 2000賬戶的基本管理操作，并掌握用戶配置文件

2、的設(shè)置方法。,6.1 組 類 型,組是Windows 2000 從Windows NT 系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機(jī)對象的集合，可以包含用戶、計算機(jī)和其他組等。在Windows 2000中，組可以用來管理用戶和計算機(jī)對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機(jī)隊列，還可以篩選組策略。使用組，主要是為了方便管理訪問目的和權(quán)限相同的一系列用戶和計算機(jī)賬戶。 系統(tǒng)管理

3、員在賦予用戶或計算機(jī)賬戶權(quán)限時，如果它們的權(quán)限各不相同，必須分別為它們設(shè)置；但是，如果它們的權(quán)限相同，還要分別進(jìn)行設(shè)置，就多做許多重復(fù)性工作。有了組的概念之后，就可以將這些具有相同權(quán)限的用戶或計算機(jī)劃歸到一個組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來使這些用戶或計算機(jī)都具有相同的權(quán)限，這就大大減輕了系統(tǒng)管理員對賬戶和權(quán)限管理的工作。,6.2 組 的 管 理,注意：雖然可通過用戶賬戶登錄計算機(jī)，但不能通過組賬戶登錄計算機(jī)。,

4、使用組賬戶可以對同類用戶授予權(quán)限并簡化管理。如果用戶是可訪問某個資源的一個組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個用戶能訪問各種與工作相關(guān)的資源，只需將該用戶加入正確的組。 跟管理用戶賬戶一樣，Windows 2000使用惟一安全標(biāo)識符來跟蹤組賬戶，即在刪除組賬戶之后又重新創(chuàng)建該賬戶時，所有權(quán)限和特權(quán)都必須重新設(shè)置。 6.2.1 創(chuàng)建新組 6.2.2 設(shè)置組屬性

5、 6.2.3 刪除組 6.2.4 將組轉(zhuǎn)換為另一種組類型 6.2.5 更改組作用域 6.2.6 委派控制組,6.2.1 創(chuàng)建新組,雖然系統(tǒng)提供了一些內(nèi)置組用于權(quán)限和安全設(shè)置，但是它們不能滿足特殊安全和靈活性的需要。所以，要想很好的管理用戶和計算機(jī)賬戶，必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建之后，就可以像使用內(nèi)置組一樣使用它們，如賦予權(quán)限和進(jìn)行組成員的 添加。(1)

6、 打開Active Directory 用戶和計算機(jī)管理控制臺。(2) 在控制臺樹中，雙擊域節(jié)點(diǎn)。(3) 右擊要添加組的文件夾，單擊【新建】，然后單擊【組】。(4) 輸入新組的名稱。在默認(rèn)情況下，用戶輸入的名稱還將作為新組的 Windows 2000 以前版本的名稱。如圖6.1所示。(5) 單擊所需的【組作用域】。(6) 單擊所需的【組類型】。選擇【全局】，單擊【確定】完成。,注意：如果用戶目前創(chuàng)建的組所屬的域處于

7、混合模式，則只能選擇具有“域本地”或“全局”作用域的安全組。,返回,,圖6.1 創(chuàng)建新組,返回,6.2.2 設(shè)置組屬性,一個新組被創(chuàng)建好之后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理人，該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對用戶和計算機(jī)賬戶的管理作用，用戶必須設(shè)置該組的屬性，來解決上面提出的問題。,返回,6.2.3 刪除組,當(dāng)活動目錄中的組因太多而影響了對用戶和計算機(jī)賬戶的管理時，作為管理員可對自己創(chuàng)建的組

8、進(jìn)行清理。例如，當(dāng)目錄中有長期不使用的組或者是不符合網(wǎng)絡(luò)安全的組，可將其刪除。當(dāng)域中的某個組織單元中所包含的用戶、計算機(jī)和聯(lián)系人等已經(jīng)被刪除或因?yàn)槠渌蚨辉侔l(fā)揮作用時，也可將其刪除。不過，管理員只能刪除自己創(chuàng)建的組，而不能刪除由系統(tǒng)提供的內(nèi)置組。 要刪除組，在控制臺目錄樹中，展開域節(jié)點(diǎn)。單擊要刪除的組所在的組織單元，使詳細(xì)資料窗口中列出該組織單元的內(nèi)容。然后右擊要刪除的組，從彈出的快捷菜單中選擇【刪除】命令，這時系

9、統(tǒng)會打開信息確認(rèn)框，單擊【是】按鈕即完成組的刪除。如圖6.4所示。,返回,,圖6.4 刪除組,返回,6.2.4 將組轉(zhuǎn)換為另一種組類型,用戶密碼是用戶在進(jìn)行系統(tǒng)登錄時所提供的最重要的安全憑證，因此當(dāng)用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進(jìn)行重新設(shè)置。在設(shè)置密碼時，應(yīng)注意避免過于簡單，以免被他人輕易破解。,返回,,圖6.5 組類型和作用域轉(zhuǎn)換,返回,6

10、.2.5 更改組作用域,(1) 打開Active Directory 用戶和計算機(jī)管理控制臺。(2) 在控制臺樹中，雙擊域節(jié)點(diǎn)。 (3) 單擊包含組的文件夾。(4) 在詳細(xì)信息窗口中，右擊組，然后單擊【屬性】。(5) 在【常規(guī)】選項卡的【組作用域】下，單擊【本地域】、【全局】或【通用】，單擊【確定】。如圖6.5所示。,返回,6.2.6 委派控制組,用戶密碼是用戶在進(jìn)行系統(tǒng)登錄時所提供的最重要的安全憑證，因

11、此當(dāng)用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進(jìn)行重新設(shè)置。在設(shè)置密碼時，應(yīng)注意避免過于簡單，以免被他人輕易破解。,返回,6.3 組策略的創(chuàng)建,在Windows 98的安裝盤中有一個系統(tǒng)策略編輯器，可以對用戶和用戶組進(jìn)行各種設(shè)置，系統(tǒng)則根據(jù)這些設(shè)置自動修改注冊表的相關(guān)內(nèi)容。Windows 2000也提供了一個與之相類似的但功能卻要強(qiáng)大得多的策略編輯器，就是組

12、策略，它能通過修改注冊表對系統(tǒng)的各種特殊屬性進(jìn)行設(shè)置，從而滿足用戶對系統(tǒng)進(jìn)行相關(guān)設(shè)置和限制的需要。 組策略是在Windows 2000 環(huán)境下管理工作站安全措施的基礎(chǔ)技術(shù) 組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件，例如，用戶可用的程序、用戶桌面上出現(xiàn)的程序以及【開始】菜單選項。 6.3.1 組策略與Active Directory的關(guān)系 6.3.2 組

13、策略的創(chuàng)建,6.3.1 組策略與Active Directory的關(guān)系,組策略與Active Directory 用戶與計算機(jī)中的域和文件夾以及MMC管理單元相關(guān)聯(lián)，組策略授予的權(quán)限應(yīng)用到存儲于該文件夾中的計算機(jī)上。使用Active Directory站點(diǎn)和服務(wù)管理單元還可將組策略應(yīng)用到站點(diǎn)。子文件夾從父文件夾繼承組策略，子文件夾也可擁有自己的組策略對象。指派給一個文件夾的組策略可能不止一個。組策略是安全組的補(bǔ)充，可以將單一安全配置文

14、件應(yīng)用到多臺計算機(jī)上。它加強(qiáng)了一致性并易于管理。組策略對象(GPO)包含實(shí)現(xiàn)多種類型安全策略的權(quán)限和參數(shù)?？傊?，組策略可由父站點(diǎn)傳遞到子站點(diǎn)和局域網(wǎng) 位于組策略對象【安全設(shè)置】節(jié)點(diǎn)的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)、公鑰策略和Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說，策略設(shè)置是在域范圍內(nèi)進(jìn)行的。,返回,6.3.2 組策略的創(chuàng)建

15、,1．在非域控制器上創(chuàng)建本地組策略2．在域控制器上創(chuàng)建全局組策略對象3．將組策略對象鏈接到站點(diǎn)、域或組織單位,返回,1．在非域控制器上創(chuàng)建本地組策略,單擊【開始】|【運(yùn)行】，在【運(yùn)行】對話框的【打開】欄中輸入gpedit.msc，單擊【確定】，即可啟動Windows 2000組策略管理窗口。如圖6.10所示。,,圖6.10 Windows 2000組策略管理窗口,返回,2．在域控制器上創(chuàng)建全局組策略對象,在一個域或組織單位中編輯組

16、策略的途徑有多種。這里介紹兩種。 方法一：從【開始】｜【運(yùn)行】，然后輸入：mmc.exe 啟動MMC，選擇【控制臺】|【增加/刪除】插件，然后選擇【組策略】|【瀏覽】，在AD域內(nèi)的組策略對象就會顯示出來，可以選擇一個或多個GPO進(jìn)行編輯。 方法二：在【Active Directory 用戶和計算機(jī)】管理控制臺中，右擊一個域或組織單位，在菜單中選擇【屬性】，然后選擇【組策略】標(biāo)簽。具體步驟如下。(1)

17、 打開 Active Directory 用戶和計算機(jī)，創(chuàng)建鏈接到域或組織單位的組策略對象?；虼蜷_ Active Directory 站點(diǎn)和服務(wù)，創(chuàng)建鏈接到站點(diǎn)的組策略對象。(2) 在控制臺中，右擊新建的組策略對象要鏈接到的站點(diǎn)、域或組織單位。(保存在當(dāng)前域中。)(3) 單擊【屬性】，然后單擊【組策略】選項卡, 如圖 6.11。(4) 單擊【新建】，輸入組策略對象的名稱，然后單擊【關(guān)閉】。,返回,,圖6.11 創(chuàng)建全局組

18、策略,返回,3．將組策略對象鏈接到站點(diǎn)、域或組織單位,(1) 打開 Active Directory 用戶和計算機(jī)，創(chuàng)建鏈接到域或組織單位的組策略對象，或打開 Active Directory 站點(diǎn)和服務(wù)，創(chuàng)建鏈接到站點(diǎn)的組策略對象。(2) 在控制臺中，右擊組策略對象應(yīng)該鏈接到的站點(diǎn)、域或組織單位。(3) 單擊【屬性】，然后單擊【組策略】選項卡。(4) 要將組策略對象添加到【組策略對象鏈接】列表中，請單擊【添加】。出現(xiàn)【添

19、加組策略對象鏈接】對話框。(5) 單擊【全部】選項卡，單擊所需的組策略對象，然后再單擊【確定】。(6) 在站點(diǎn)、域或組織單位的【屬性】對話框中，單擊【確定】。,返回,6.4 組策略的應(yīng)用,在Windows 2000操作系統(tǒng)中，使用組策略可以定義用戶和計算機(jī)的配置。 存儲在域控制器中的非本地組策略對象只能在Active Directory環(huán)境下使用。 本地組策略對象存儲在各個本地計算機(jī)上。

20、 使用組策略，我們可以對用戶工作環(huán)境狀態(tài)只定義一次，然后按照系統(tǒng)管理員定義的策略，對用戶和計算機(jī)進(jìn)行管理。 6.4.1 組策略應(yīng)用順序 6.4.2 組策略應(yīng)用實(shí)例,6.4.1 組策略應(yīng)用順序,用戶及計算機(jī)策略：用戶策略設(shè)置位于組策略中【用戶配置】節(jié)點(diǎn)下，在用戶登錄時獲得。計算機(jī)策略設(shè)置位于組策略中【計算機(jī)配置】節(jié)點(diǎn)下，在計算機(jī)啟動時獲得。用戶和計算機(jī)是接收組策略的兩個Active Dire

21、ctory 對象類型。,返回,6.4.2 組策略應(yīng)用實(shí)例,1. 控制光驅(qū)的自動運(yùn)行 2. 禁止運(yùn)行指定的程序 出于系統(tǒng)安全和其他原因，有些程序我們可能不希望用戶隨意運(yùn)行，這可以在組策略中禁止用戶運(yùn)行指定的程序。,返回,6.5 組策略安全,6.5.1 組策略和AD 6.5.2 GPO的多樣性和繼承,6.5.1 組策略和AD,組策略包括應(yīng)用于域或計算機(jī)中的大量安全權(quán)限配置文件。一個組策略對象可

22、以應(yīng)用到局域網(wǎng)內(nèi)的所有計算機(jī)。單個計算機(jī)啟動時，組策略得以應(yīng)用，如果作出改動時沒有重新啟動計算機(jī)，組策略會得到定期刷新。 只有運(yùn)行Windows 2000的系統(tǒng)可以執(zhí)行組策略，運(yùn)行Windows NT 4.0和Windows 9x的客戶機(jī)則無法識別到或運(yùn)行具有AD架構(gòu)的組策略對象。 要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持，利用AD可以定義一個集中的策略，所有的Windows 2000服務(wù)器和工

23、作站都可以采用它。然而，每臺運(yùn)行Windows 2000的計算機(jī)都有一個本地GPO(駐留在本地計算機(jī)文件系統(tǒng)上的GPO)，通過本地GPO，可以為每臺工作站指定一個策略，它在AD域中不起作用。 本地GPO支持除軟件安裝和文件夾重定向之外的所有默認(rèn)擴(kuò)展，如果想充分發(fā)揮GPO的功能，需要AD的支持。,返回,6.5.2 GPO的多樣性和繼承,在AD中，可以在域、組織單位或站點(diǎn)3個不同的層次上定義GPO。OU是AD中的一個容器

24、，可以指派它對用戶、組或計算機(jī)等對象進(jìn)行管理，站點(diǎn)是網(wǎng)絡(luò)上子網(wǎng)的集合，站點(diǎn)形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計算機(jī)配置和用戶配置兩個大類，只有用戶和計算機(jī)可以使用GPO，像打印機(jī)對象甚至用戶組都不能應(yīng)用GPO。 根據(jù)GPO在AD名字空間中的不同位置，可以有多個GPO對用戶對象或計算機(jī)對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Windows 2000通過下面的方式執(zhí)行GPO。

25、首先 ，操作系統(tǒng)執(zhí)行現(xiàn)有的本地系統(tǒng)上的策略，然后， Windows 2000 依次執(zhí)行定義的站點(diǎn)級的GPO、域一級的GPO和基于OU的GPO，微軟把這一優(yōu)先順序取其首個字母縮寫為LSDOU(執(zhí)行的順序依次是本地Local、站點(diǎn) Site 、域Domain、OU層次的GPO)，用戶可以在這個鏈上的許多層次上定義GPO。,返回,6.6 上 機(jī) 指 導(dǎo),6.6.1 建立sales組并將用戶Administrator加入該組6.6.2