單元4配置與管理組策略Computernetworktechnology《WindowsServer管理》課程目錄1.組策略2.本地安全策略3.域環(huán)境中的組策略1.組策略Computernetworktechnology組策略《WindowsServer管理》課程組策略是微軟windows操作系統(tǒng)的一個(gè)特性，它可以控制用戶帳戶和計(jì)算機(jī)帳戶的工作環(huán)境。組策略提供了操作系統(tǒng)、應(yīng)用程序和活動(dòng)目錄中用戶設(shè)置的集中化管理和配置。默認(rèn)情況下，MicrosoftWindows每90分鐘刷新一次組策略，隨機(jī)偏移30分鐘。在域控制器上，MicrosoftWindows每隔5分鐘刷新一次。在刷新時(shí)，它會(huì)發(fā)現(xiàn)、獲取和應(yīng)用所有適用這臺(tái)計(jì)算機(jī)和已登錄用戶的組策略對(duì)象。

應(yīng)用計(jì)算機(jī)設(shè)置

啟動(dòng)腳本運(yùn)行刷新時(shí)間間隔每隔90分鐘計(jì)算機(jī)啟動(dòng)組策略《WindowsServer管理》課程組策略的設(shè)置可以應(yīng)用于本地計(jì)算機(jī)，也可以應(yīng)用于域中的計(jì)算機(jī)和用戶，從而實(shí)現(xiàn)集中管理。組策略是WindowsServer中一項(xiàng)重要的管理功能，它允許管理員為計(jì)算機(jī)和用戶定義一組策略設(shè)置，以控制他們的行為和訪問權(quán)限。組策略包括兩個(gè)主要部分：計(jì)算機(jī)配置和用戶配置。計(jì)算機(jī)配置針對(duì)計(jì)算機(jī)環(huán)境進(jìn)行設(shè)置，如安全設(shè)置、軟件安裝等；用戶配置則針對(duì)用戶環(huán)境進(jìn)行設(shè)置，如桌面環(huán)境、開始菜單等。組策略的結(jié)構(gòu)和功能《WindowsServer管理》課程

組策略對(duì)象（GPO）包含一組組策略設(shè)置，可以鏈接到站點(diǎn)、域或組織單位，從而控制用戶或計(jì)算機(jī)的環(huán)境。組策略編輯器用于創(chuàng)建、編輯和管理組策略對(duì)象的工具，包括組策略管理控制臺(tái)（GPMC）和組策略編輯器（GPEdit）。組策略設(shè)置包括安全設(shè)置、軟件安裝、文件夾重定向、遠(yuǎn)程桌面等，用于控制用戶或計(jì)算機(jī)的行為和配置。組策略的設(shè)置方式《WindowsServer管理》課程123在獨(dú)立且非域的計(jì)算機(jī)上管理組策略對(duì)象，通過本地組策略編輯器進(jìn)行設(shè)置。本地組策略在WindowsServer域環(huán)境中，通過組策略管理控制臺(tái)（GPMC）創(chuàng)建、編輯和鏈接GPO，以控制域中用戶或計(jì)算機(jī)的環(huán)境。域組策略將GPO鏈接到ActiveDirectory中的站點(diǎn)、域或組織單位，以實(shí)現(xiàn)不同級(jí)別的策略應(yīng)用。站點(diǎn)、域和組織單位鏈接組策略對(duì)象執(zhí)行順序《WindowsServer管理》課程1.本地：任何在本地計(jì)算機(jī)的設(shè)置。在WindowsVista和之后的Windows版本中，允許每個(gè)用戶帳戶分別擁有組策略。2.站點(diǎn)：任何與計(jì)算機(jī)所在的活動(dòng)目錄站點(diǎn)關(guān)聯(lián)的組策略。如果多個(gè)策略已鏈接到一個(gè)站點(diǎn)，將按照管理員設(shè)置的順序處理。3.域：任何與計(jì)算機(jī)所在Windows域關(guān)聯(lián)的組策略。如果多個(gè)策略已鏈接到一個(gè)域，將按照管理員設(shè)置的順序處理。4.組織單元：任何與計(jì)算機(jī)或用戶所在的活動(dòng)目錄組織單元（OU）關(guān)聯(lián)的組策略。如果多個(gè)策略已鏈接到一個(gè)OU，將按照管理員設(shè)置的順序處理。站點(diǎn)域OUOUOUGPO2GPO3GPO4GPO5GPO1本地組組策略與注冊(cè)表《WindowsServer管理》課程注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫(kù)。這些配置發(fā)布在注冊(cè)表的各個(gè)角落，如果是手工配置，非常困難和煩雜。組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。簡(jiǎn)單點(diǎn)說，組策略就是修改注冊(cè)表中的配置。2.本地組策略Computernetworktechnology本地組策略《WindowsServer管理》課程本地組策略包括除了安全設(shè)置，還有系統(tǒng)、軟件和硬件的多種配置選項(xiàng)，其主要功能包括：1.軟件配置：安裝、卸載或限制軟件的執(zhí)行。2.Windows組件配置：配置Windows組件的行為，如InternetExplorer、Windows更新等。3.用戶和系統(tǒng)環(huán)境：定制桌面、開始菜單、任務(wù)欄和其他用戶界面選項(xiàng)。4.安全選項(xiàng)：包括本地安全策略中的所有安全設(shè)置，以及更多安全相關(guān)的配置。本地安全策略-賬戶策略《WindowsServer管理》課程本地安全策略主要包含賬戶策略和本地策略。1.帳戶策略（1）密碼策略密碼必須符合復(fù)雜性需求：英文字母大小寫、數(shù)字、特殊符號(hào)四者取其三。密碼長(zhǎng)度最小值：設(shè)置范圍0-14,設(shè)置為0表示不需要密碼。密碼最長(zhǎng)使用期限：默認(rèn)42天，設(shè)置為0表示密碼永不過期，設(shè)置范圍0和999天之間的值。密碼最短使用期限：設(shè)置為0表示隨時(shí)更改密碼強(qiáng)制密碼歷史：最近使用過的密碼不允許再使用，設(shè)置范0-24,默認(rèn)0表示隨意使用過去使用的密碼。本地安全策略-賬戶策略《WindowsServer管理》課程1.帳戶策略（2）帳戶鎖定策略賬戶鎖定閾值：輸入幾次錯(cuò)誤密碼后，將用戶帳戶鎖定，設(shè)置范圍0-999,默認(rèn)為0代表不鎖定帳戶。帳戶鎖定時(shí)間：帳戶鎖定多長(zhǎng)時(shí)間后自動(dòng)解鎖，單位為分鐘，設(shè)置范圍0-99999,0表示必須由管理員手動(dòng)解鎖。重置帳戶鎖定計(jì)數(shù)器：用戶輸入密碼錯(cuò)誤開始計(jì)時(shí)，當(dāng)該時(shí)間過后，計(jì)數(shù)器重置為0。此時(shí)間必須小于或等于帳戶鎖定時(shí)間。

注：帳戶鎖定策略對(duì)本地管理員帳戶無(wú)效。本地安全策略-本地策略《WindowsServer管理》課程2．本地策略（1）審核策略（2）用戶權(quán)限分配，常用策略如下：關(guān)閉系統(tǒng)。更該系統(tǒng)時(shí)間。拒絕本地登錄、允許本地登錄（作為服務(wù)器的計(jì)算機(jī)不能讓普通用戶交互式登錄）。（3）安全選項(xiàng)安全選項(xiàng)常用策略。用戶試圖登錄時(shí)消息標(biāo)題、消息文本。網(wǎng)絡(luò)訪問本地帳戶的共享和安全模式（經(jīng)典和僅來賓）。使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄。3.域環(huán)境中的組策略Computernetworktechnology域環(huán)境中的組策略《WindowsServer管理》課程組策略是ActiveDirectory目錄服務(wù)中一個(gè)非常有價(jià)值的管理工具。通過使用組策略，管理可以按照管理要求定義相應(yīng)的策略，有選擇地應(yīng)用到activedirectory中的用戶和計(jì)算機(jī)上。組策略的設(shè)置存儲(chǔ)在域控制器的GPO（grouppolicyobjects）中?？梢栽谡军c(diǎn)、域或組織單位層次為整個(gè)公司設(shè)置組策略，從而集中管理策略。也可以通過在組織單位層次為每個(gè)部門設(shè)置組策略來實(shí)現(xiàn)組策略設(shè)置的分散管理。站點(diǎn)域OUOUOUGPOGPOGPOS組策略作用《WindowsServer管理》課程組策略的結(jié)構(gòu)包括針對(duì)用戶的組策略和針對(duì)計(jì)算機(jī)的組策略，使IT管理員能實(shí)現(xiàn)用戶和計(jì)算機(jī)的一對(duì)多管理自動(dòng)化。使用組策略可以：應(yīng)用標(biāo)準(zhǔn)配置部署軟件強(qiáng)制實(shí)施安全設(shè)置強(qiáng)制實(shí)施一致的桌面環(huán)境注意：當(dāng)不同的策略出現(xiàn)矛盾沖突的時(shí)候，后應(yīng)用的策略會(huì)覆蓋先前的策略，即子容器的組策略優(yōu)先級(jí)更高。多個(gè)組策略對(duì)象可鏈接到同一容器，它們的優(yōu)先級(jí)可在控制臺(tái)定義。默認(rèn)的組策略《WindowsServer管理》課程在域環(huán)境中，有默認(rèn)域策略GPO和默認(rèn)域控制器策略GPO。策略描述默認(rèn)的域策略此策略鏈接到域容器，并且影響該域中的所有對(duì)象。默認(rèn)的域控制器策略此策略鏈接到域控制器的容器，并影響到該容器中對(duì)象。創(chuàng)建和編輯組策略對(duì)象《WindowsServer管理》課程可以使用組策略管理控制臺(tái)(GPMC)來創(chuàng)建和編輯組策略對(duì)象(GPO)。需要注意的事項(xiàng)：在創(chuàng)建GPO時(shí)，直到將其鏈接到站點(diǎn)、域或組織單位(OU)時(shí)才會(huì)生效。默認(rèn)情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者組的成員才能創(chuàng)建和編輯GPO。若要在GPO中編輯IPSec策略設(shè)置，必須是域管理員組的成員。還可以通過以下方法編輯GPO：在鏈接該GPO的容器中右鍵單擊該GPO的名稱，然后單擊“編輯”。在域環(huán)境中，有默認(rèn)域策略GPO和默認(rèn)域控制器策略GPO。鏈接組策略對(duì)象《WindowsServer管理》課程若要將現(xiàn)有GPO鏈接到站點(diǎn)、域或組織單位，則必須在該站點(diǎn)、域或組織單位上有鏈接GPO的權(quán)限。默認(rèn)情況下，只有域管理員和企業(yè)管理員對(duì)域和組織單位有此權(quán)限。林根域的企業(yè)管理員和域管理員對(duì)站點(diǎn)有此權(quán)限。若要?jiǎng)?chuàng)建和鏈接GPO，則必須對(duì)所需域或組織單位有鏈接GPO的權(quán)限，并且必須有權(quán)在域中創(chuàng)建GPO。默認(rèn)情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者有創(chuàng)建GPO的權(quán)限。域OUOUOUSiteGPOOUGPODomainGPO站點(diǎn)OUGPO組織繼承組策略《WindowsServer管理》課程可以阻止對(duì)域或組織單位的繼承。如果阻止繼承，則會(huì)阻止子層自動(dòng)繼承鏈接到更高層站點(diǎn)、域或組織單位的組策略對(duì)象。注意：要完成該過程，則必須對(duì)域或組織單位有鏈接GPO的權(quán)限。如果將某個(gè)域或組織單位設(shè)置為阻止繼承，則在控制臺(tái)樹中會(huì)顯示有一個(gè)藍(lán)色感嘆號(hào)。不能阻止在父容器中強(qiáng)制的GPO鏈接。組策略案例一：通過組策略實(shí)現(xiàn)軟件限制策略《WindowsServer管理》課程黑白名單管理設(shè)定軟件黑白名單，對(duì)特定軟件進(jìn)行允許或禁止操作，簡(jiǎn)化管理流程。強(qiáng)制執(zhí)行策略確保軟件限制策略在所有計(jì)算機(jī)上得到強(qiáng)制執(zhí)行，提高整體安全性。軟件限制規(guī)則創(chuàng)建軟件限制策略，定義允許或禁止運(yùn)行的軟件列表，增強(qiáng)系統(tǒng)安全性。組策略案例二：通過組策略實(shí)現(xiàn)遠(yuǎn)程桌面連接《WindowsServer管理》課程遠(yuǎn)程桌面連接配置通過組策略配置遠(yuǎn)程桌面連接參數(shù)，如端口號(hào)、連接權(quán)限等。安全性增強(qiáng)啟用遠(yuǎn)程桌面連接的安全設(shè)置，如加密、身份驗(yàn)證等，提高連接安全性。訪問控制限制遠(yuǎn)程桌面連接的訪問權(quán)限，只允許特定用戶或組進(jìn)行連接。組策略案例三：通過組策略實(shí)現(xiàn)網(wǎng)絡(luò)安全配置《WindowsServer管理》課程端口安全管理控制網(wǎng)絡(luò)端口的開放和關(guān)閉，防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。IPSec策略應(yīng)用應(yīng)用IPSec（InternetProtocolSecurity）策略，加強(qiáng)網(wǎng)絡(luò)通信的安全性。防火墻設(shè)置通