項目4 使用組策略管理用戶工作環(huán)境

1、Windows Server Windows Server 活動目錄企業(yè)應用（微課版）活動目錄企業(yè)應用（微課版）項目項目4 4 使用組策略管理用戶的工作環(huán)境使用組策略管理用戶的工作環(huán)境楊云楊云 主編主編4.1 4.1 相關知識相關知識識 組策略是一種能夠讓系統(tǒng)管理員充分管理與控制用戶工作環(huán)境的功能通過它來確保用戶擁有符合組織要求的工作環(huán)境，也通過它來限制用戶，這樣不但可以讓用戶擁有適當?shù)沫h(huán)境，也可以減輕系統(tǒng)管理員的管理負擔。本節(jié)介紹如何使用組策略來簡化在Active Directory環(huán)境中管理計算機和用戶。將了解組策略對象(GPO)結構以及如何應用GPO，還有應用GPO時的某些例外情況。本節(jié)

2、還將討論Windows Server 2012提供的組策略功能，這些功能也有助于簡化計算機和用戶管理。4.1.1 組策略組策略 組策略是一種技術，它支持Active Directory環(huán)境中計算機和用戶的一對多管理，特點如圖6-1所示。圖6-1 組策略 通過編輯組策略設置，并針對目標用戶或計算機設計組策略對象(GPO)，可以集中管理具體的配置參數(shù)。這樣，只更改一個GPO，就能管理成千上萬的計算機或用戶。組策略對象是應用于選定用戶和計算機的設置的集合。組策略可控制目標對象的環(huán)境的很多方面，包括注冊表、NTFS文件系統(tǒng)安全性、審核和安全性策略、軟件安裝和限制、桌面環(huán)境、登錄/注銷腳本等。通過鏈接，

3、一個GPO可與AD DS中的多個容器關聯(lián)。反過來，多個GPO也可鏈接到一個容器。1域策略域策略域級策略只影響屬于該域的用戶和計算機。默認情況下存在兩個域級策略，如表6-1所示。策略描述默認域策略此策略鏈接到域容器，并且影響該域中的所有對象默認域控制器策略此策略鏈接到域控制器的容器，并影響該容器中的對象表6-1 默認域級策略（域策略、域控制器策略）可以創(chuàng)建其他域級策略，然后將其鏈接到AD DS中的各種容器，以將具體配置應用于選定對象。例如，提供額外安全性設置的GPO可應用于包含應用程序服務器計算機賬戶的組織單位。又如，GPO可限制某個組織單位中用戶的桌面環(huán)境。2本地策略運行Windows 200

4、0 Server或更高版本操作系統(tǒng)的每臺計算機都有本地組策略。此策略影響本地計算機以及登錄到該計算機的任何用戶，包括從該本地計算機登錄到域的域用戶。在工作組或單機情況下，只有本地組策略可用于控制計算機環(huán)境。本地策略設置存儲在本地計算機上的%systemroot%system32GroupPolicy文件夾中，該文件夾為隱藏文件夾。4.1.2 組策略的功能組策略的功能組策略提供的主要功能如下。 賬戶策略的設置：例如設置用戶賬戶的密碼長度、密碼使用期限、賬戶鎖定策略等。 本地策略的設置：例如審核策略的設置、用戶權限的分配、安全性的設置等。 腳本的設置：例如登錄與注銷、啟動與關機腳本的設置。 用戶工

5、作環(huán)境的設置：例如隱藏用戶桌面上所有的圖標、刪除開始菜單中的運行，搜索/關機等選項、在開始菜單中添加注銷選項、刪除瀏覽器的部分選項、強制通過指定的代理服務器上網(wǎng)等。 軟件的安裝與刪除：用戶登錄或計算機啟動時，自動為用戶安裝應用軟件、自動修復應用軟件或自動刪除應用軟件。 限制軟件的執(zhí)行通過各種不同的軟件限制策略來限制域用戶只能運行指定的軟件。 文件夾的重定向：例如改變文件、開始菜單等文件夾的存儲位置。 限制訪問可移動存儲設備：例如限制將文件寫AU盤，以免企業(yè)內(nèi)機密文件輕易被帶離公司。 其他的系統(tǒng)設置：例如讓所有的計算機都自動信任指定的CA（Certificate Authority）、限制安裝設

6、備驅(qū)動程序( device driver)等。可以在AD DS中針對站點(site)、域(domain)與組織單位(OU)來設置組策略。組策略內(nèi)包含計算機配置與用戶配置兩部分。 計算機配置：當計算機開機時，系統(tǒng)會根據(jù)計算機配置的內(nèi)容來設置計算機的環(huán)境。 舉例來說，若您針對域設置了組策略，則此組策略內(nèi)的計算機設置就會被應用到這個域內(nèi)的所有計算機。 用戶配置：當用戶登錄時，系統(tǒng)會根據(jù)用戶配置的內(nèi)容來設置用戶的工作環(huán)境。舉例來說，若針對組織單位sales設置了組策略，則其中的用戶配置就會被應用到這個組織單位內(nèi)的所有用戶。4.1.3 組策略對象組策略對象 組策略是通過組策略對象( Group Poli

7、cy Object，GPO)來設置的，而您只要將GPO鏈接到指定的站點、域或組織單位，此GPO內(nèi)的設置值就會影響到該站點、域或組織單位內(nèi)的所有用戶與計算機。1內(nèi)置的內(nèi)置的GPOAD DS域有兩個內(nèi)置的GPO（見前表6-1），它們分別如下。 Default Domain Policy：此GPO默認已經(jīng)被鏈接到域，因此其設置值會被應用到整個域內(nèi)的所有用戶與計算機。 Default Domain Controller Policy：此GPO默認已經(jīng)被鏈接到組織單位DomainControllers，因此其設置值會被應用到Domain Controllers內(nèi)的所有用戶與計算機（Domain Cont

8、rollers內(nèi)默認只有域控制器的計算機賬戶）。 您可以使用【單擊左下角的開始開始圖標管理工具管理工具組策略管理組策略管理如圖6-2所示】的方法來驗證Default Domain Policy與Default Domain Controller Policy GPO分別已經(jīng)被鏈接到域與組織單位Domain Controllers。圖6-2 內(nèi)置GPO2GPO的內(nèi)容GPO的內(nèi)容被分為GPC與GPT兩部分，它們分別被存儲到不同的位置。（1）GPC GPC（Group Policy Container）：GPC存儲在AD DS數(shù)據(jù)庫內(nèi)，它記載著此GPO的屬性與版本等數(shù)據(jù)。域成員計算機可通過屬性來得知

9、GPT的存儲位置，而域控制器可利用版本來判斷其所擁有的GPO是否為最新版表以便作為是否需要從其他域控制器復制最新GPO的依據(jù)。 可以通過下面方法來查看GPC:【開始管理工具Active Directory管理中心單擊樹視圖圖標單擊域（例如long）展開System容器如圖6-3所示單擊Policies】，圖中間圈起來的部分為Default Domain Policy與Default Domain Controller Policy這兩個GPO的GPC，圖中的數(shù)字分別是這兩個GPO的GUID( Global Unique Identifier)。圖6-3 查看GPC 如果您要查詢GPO的GUID

10、，例如要查詢Default Domain Policy GPO的GUID，可以使用如圖6-4所示【在組策略管理組策略管理控制臺中單擊Default Domain Policy單擊詳細詳細信息信息選項卡唯唯-ID】的方法。圖6-4 查詢GPO的GUID（2）GPT GPT (Group Policy Template)：GPT用來存儲GPO的設置值與相關文件，它是一個文件夾，而且被建立在域控制器的%systemroot%SYSVOLsysvol域名Policies文件夾內(nèi)。系統(tǒng)利用GPO的GUID來當作GPT的文件夾名稱，例如圖6-5中兩個GPT文件夾分別是Default Domain Poli

11、cy與Default Domain Controller Policy GPO的GPT。圖6-5 GPT (Group Policy Template)組策略領域作用計算機配置影響HKEY Local Machine注冊表配置單元用戶配置影響HKEY Current User注冊表配置單元 組策略有上千個可配置設置（約2400個）。這些設置可影響計算環(huán)境的幾乎每個方面。不可能將所有設置應用于所有版本的Windows操作系統(tǒng)。例如，Windows 7操作系統(tǒng)Service Pack (SP)2附帶的很多新設置（如軟件限制策略），只適用于該操作系統(tǒng)。同樣，數(shù)百種新設置中的很多設置只適用于Windo

12、ws 8操作系統(tǒng)和Windows Server 2012。如果對計算機應用它無法處理的設置，那么它將直接忽略該設置。1組策略結構組策略分成兩個不同的領域，如表6-2所示。4.1.4 組策略設置組策略設置表6-2 組策略的不同領域策略部分 作用軟件設置軟件可部署到用戶或計算機。部署到用戶的軟件特定于該用戶。部署到計算機上的軟件對該計算機的所有用戶可用Windows設置包含針對用戶和計算機的腳本設置和安全性設置，以及針對用戶配置的Internet Explorer維護管理模板包含數(shù)百個設置，這些設置修改注冊表以控制用戶或計算機環(huán)境的各個方面2配置組策略設置每個領域有3個部分，如表6-3所示。表6-

13、3 組策略的設置4.1.5 首選項設置首選項設置 只有域的組策略才有首選項設置功能，本地計算機策略并無此功能。策略設置是強制性設置，客戶端應用這些設置后就無法更改（有些設置雖然客戶端可以自行變更設置值，不過下次應用策略時，仍然會被改為策略內(nèi)的設置值）；而首選項設置是非強制性的，客戶端可自行更改設置值，因此首選項設置適合用來當作默認值。 若要過濾策略設置的話，必須針對整個GPO來過濾，例如某個GPO已經(jīng)被應用到sales，但是我們可以通過過濾設置來讓其不要應用到sales經(jīng)理Alice，也就是整個GPO內(nèi)的所有設置項目都不會被應用到Alice，而首選項設置可以針對單一設置項目來過濾。 如果在策略

14、設置與首選項設置內(nèi)有相同的設置項目，而且都已做了設置，但是其設置值卻不相同的話，則以策略設置優(yōu)先。（1）設備安裝通過策略，可以用阻止用戶安裝驅(qū)動程序的方法限制用戶安裝某些特定類型的硬件設備。通過首選項可以禁用設備和端口，但它不會阻止設備驅(qū)動程序的安裝，它也不會阻止具有相應權限的用戶通過設備管理器啟用設備或端口。如果想完全鎖定并阻止某個特定設備的安裝和使用，可以將策略和首選項配合起來使用用首選項來禁用已安裝的設備，通過策略設置阻止該設備驅(qū)動的安裝。策略位置：計算機配置策略位置：計算機配置策略策略管理模板管理模板系統(tǒng)系統(tǒng)設備安裝限制設備安裝限制首選項位置：計算機配置首選項位置：計算機配置首選項首選

15、項控制面板設置控制面板設置設備設備（2）文件和文件夾通過策略可以為重要的文件和文件夾創(chuàng)建特定的訪問控制列表（ACL）。然而，只有目標文件或文件夾存在的情況下，ACL才會被應用。通過首選項，可以管理文件和文件夾。對于文件，可以通過從源計算機復制的方法來創(chuàng)建、更新、替換或刪除；對于文件夾，可以指定在創(chuàng)建、更新、替換或刪除操作時，是否刪除文件夾中現(xiàn)存的文件和子文件夾。 因此，可以用首選項來創(chuàng)建一個文件或文件夾，通過策略對創(chuàng)建的文件或文件夾設置ACL。需要注意的是，在首選項的設置中應該選擇【只應用一次而不再重新應用】，否則，創(chuàng)建、更新、替換或刪除的操作會在下一次組策略刷新時被重新應用。策略位置：計算機

16、配置策略位置：計算機配置策略策略Windows設置設置安全設置安全設置文件系統(tǒng)文件系統(tǒng)首選項位置：計算機配置首選項位置：計算機配置首選項首選項Windows設置設置文件文件 計算機配置計算機配置首選項首選項Windows設置設置文件夾文件夾（3）Internet Explorer在計算機配置中，策略（Internet Explorer）配置了瀏覽器的安全增強并幫助鎖定Internet 安全區(qū)域設置。在用戶配置中，策略（Internet Explorer）用于指定主頁、搜索欄、鏈接、瀏覽器界面等。在用戶配置中的首選項（Internet選項）中，允許設置Internet選項中的任何選項。因為策略是

17、被管理的而首選項是不被管理的，當用戶想要強制設定某些Internet選項時，應該使用策略設置。盡管也可以使用首選項來配置Internet Explorer，但是因為首選項是非強制性的，所以用戶可以自行更改設置。策略位置：計算機配置策略位置：計算機配置策略策略管理模板管理模板Windows組件組件lnternet Explorer 用戶配置用戶配置策略策略管理模板管理模板Windows組件組件Internet Explorer首選項位置：用戶配置首選項位置：用戶配置首選項首選項控制面板設置控制面板設置lnternet設置設置（4）打印機通過策略，可以設置打印機的工作模式、計算機允許使用的打印功能

18、、用戶允許對打印機的操作等。通過首選項可以映射和配置打印機，這些首選項包括配置本地打印機以及映射網(wǎng)絡打印機。因比，可以運用首選項為客戶機創(chuàng)建網(wǎng)絡打印機或本地打印機，通過策略來限制用戶和客戶機的打印相關功能設置。策略位置：用戶配置策略位置：用戶配置策略策略管理模板性制面板管理模板性制面板打印機打印機 計算機配置計算機配置策略策略管理模板管理模板控制面板控制面板打印機打印機首選項位置：用戶配置首選項位置：用戶配置首選項首選項控制面板設置控制面板設置打印機打印機（5）【開始】菜單通過策略設置，可以控制和限制【開始】菜單選項和不同的【開始】菜單行為。例如，可以指定是否要在用戶注銷時清除最近打開的文檔歷

19、史，或是否在【開始】菜單上禁用拖放操作，還可以鎖定任務欄，移除系統(tǒng)通知區(qū)域的圖標以及關閉所有氣球通知等。通過首選項，可以如同控制面板中的任務欄和【開始】菜單屬性對話框一樣來配置。（6）用戶和組通過策略設置，可以限制AD組或計算機本地組的成員。通過首選項設置，可以創(chuàng)建、更新、替換或刪除計算機本地用戶和本地組。對于計算機本地用戶，可以進行如下操作： 重命名用戶賬號。 設置用戶密碼。 設置用戶賬號的狀態(tài)標識（如賬號禁用標識）。對于計算機本地組，首選項可以進行如下操作： 重命名組。 添加或刪除當前用戶。 刪除成員用戶或成員組，策略位置：計算機配置策略位置：計算機配置策略策略Windows設置設置安全設

20、置安全設置受限制的組受限制的組首選項位置：計算機配置首選項位置：計算機配置首選項首選項控制面板設置控制面板設置本地用戶和組本地用戶和組 用戶配置用戶配置首選項首選項控制面板設置控制面板設置本地用戶和組本地用戶和組4.1.6 組策略的應用時機組策略的應用時機當您修改了站點、域或組織單位的GPO設置值后，這些設置值并不是立刻就對其中的用戶與計算機有效，而是必須等GPO設置值被應用到用戶或計算機后才有效。GPO設置值內(nèi)的計算機配置與用戶配置的應用時機并不相同。1. 計算機配置的應用時機計算機配置的應用時機域成員計算機會在下面場合應用GPO的計算機配置值。計算機開機時會自動應用若計算機已經(jīng)開機，則會每

21、隔一段時間自動應用：域控制器：默認是每隔5分鐘自動應用一次。非域控制器：默認是每隔90到120分鐘自動應用一次。不論策略設置值是否發(fā)生變化，都會每隔16小時自動應用一次安全設置策略。手動應用：到域成員計算機上打開命令提示符或Windows PowerShell窗口、執(zhí)行“gpupdate /target:computer /force”命令。2用戶配置的應用時機用戶配置的應用時機域用戶會在下面場景中應用GPO的用戶配置值。用戶登錄時會自動應用若用戶已經(jīng)登錄的話，則默認會每隔90到120分鐘自動應用一次。且不論策略設置值是否發(fā)生變化，都會每隔16小時自動應用一次安全設置策略。手動應用：到域成員計

22、算機上打開命令提示符或Windows PowerShell窗口、執(zhí)行：“gpupdate /target:user /force”命令。4.1.7 組策略處理順序組策略處理順序 默認情況下，組策略具有繼承性，即鏈接到域的組策略會應用到域內(nèi)的所有OU，如果OU下還有OU，則連接到上級OU的組策略默認也會應用到下級OU中。 但應用于用戶或計算機的GPO并非都有相同的優(yōu)先順序。GPO是按照特定順序應用的。此順序意味著后處理的設置可能覆蓋先被處理的設置。例如，應用在域級的限制訪問控制面板的策略，可能會被應用于OU級的策略取消。 組策略通常會根據(jù)活動目錄對象的隸屬關系按順序應用對應的組策略，組策略應用順

23、序如圖6-6所示。圖6-6 組策略處理順序 本地組策略。 站點級GPO。 域級GPO。 組織單位GPO。 任何子組織單位GPO。 在組策略應用中，計算機策略總是先于用戶策略，默認情況下，如果圖6-6所示的組策略間存在設置沖突，則按“就近原則”，后應用的組策略設置將生效。4.2 項目設計及準備項目設計及準備未名公司決定實施組策略來管理用戶桌面以及配置計算機安全性。公司已經(jīng)實施了一種OU配置，在該配置中，頂級OU代表不同的地點，每個地點OU中的子OU代表不同的部門。用戶賬戶與其工作站計算機賬戶處于同一個容器中。服務器計算機賬戶分散在各個OU中。企業(yè)管理員創(chuàng)建了一個GPO部署計劃。公司要求你創(chuàng)建GP

24、O或編輯GPO，以使某些策略可應用于所有域?qū)ο蟆２糠植呗允潜仨殞嵤┑牟呗?。你還需要創(chuàng)建將只應用于一小部分域?qū)ο蟮牟呗栽O置，并且希望使計算機設置和用戶設置有不同的策略。公司要求你配置組策略對象，以使特定設置應用于用戶桌面和計算機。本項目主要的管理計算機與用戶的工作環(huán)境的設置如下：計算機配置的管理模板策略、用戶配置計算機配置的管理模板策略、用戶配置的管理模板策略、賬戶策略、用戶權限分配策略、安全選項策略、登錄的管理模板策略、賬戶策略、用戶權限分配策略、安全選項策略、登錄注銷、啟動注銷、啟動/關機腳本關機腳本與文文件夾重定向件夾重定向。 本項目要用到域控制器、win8-1（安裝了Windows 8操

25、作系統(tǒng)）和ms1（安裝了Windows Server 2012的成員服務器）加入域的客戶計算機。4.3 項目實施項目實施下面開始具體任務。4.3.1 任務1 管理“計算機配置的管理模板策略” 在上設置計算機配置的策略：顯示“關閉事件追蹤程序”、顯示用戶以前交互式登錄的信息。下面在域上實現(xiàn)該策略，在默認的Default Domain Controllers Policy GPO來設置。 1. 用戶將計算機關機時，系統(tǒng)就不會再要求用戶提供關機的理由以域控制器為例進行設置。 步驟 1 請到域控制器上利用系統(tǒng)管理員身份登錄。 步驟 2 選擇【開始管理工具組策略管理】。打開組策略管理器控制臺。 步驟 3

26、 如圖6-7所示，【展開到Domdn Controllers選中右側的Default Domain Controllers Policy并單擊右鍵編輯】。圖6-7 組策略管理 步驟 4 如圖6-8所示，【展開計算機配置計算機配置策略策略管理模板管理模板系統(tǒng)系統(tǒng)雙擊顯示顯示“關關閉事件追蹤程序閉事件追蹤程序”】。圖6-8 組策略管理編輯器 步驟 5 在圖6-9中，選中“已禁用已禁用”單選按鈕，單擊【應用】按鈕后，單擊【確定】按鈕。圖6-9 禁用：顯示“關閉事件追蹤程序” 步驟 6 重啟計算機使策略生效；或者在命令行輸入：gpupdate /force，強制應用組策略生效。（后面的例子都需要使組策

27、略生效后再驗證結果，不再一一贅述。后面的例子都需要使組策略生效后再驗證結果，不再一一贅述。） 步驟 7當再次關閉dc1或重啟dc1時，直接關閉或重啟，不再出現(xiàn)提示信息對話框。2. 目標：顯示用戶以前交互式登錄的信息 步驟 1 重復上面的步驟13。 步驟 2如圖6-10所示，【展開計算機配置計算機配置策略策略管理模板管理模板Windows組件Windows登錄選項雙擊在用戶登錄期間顯示以前登錄信息在用戶登錄期間顯示以前登錄信息】。步驟三：在圖6-11中，選中“已啟用已啟用”單選按鈕，單擊【應用】按鈕后，單擊【確定】按鈕。步驟五：當注銷dc1或重啟dc1時，登錄成功后顯示“以前登錄信息”。如圖6-

28、12所示。步驟四：重啟計算機使策略生效；或者在命令行輸入：gpupdate /force，強制應用組策略生效。圖6-12 在用戶登錄期間顯示以前登錄信息 思考：如果上述組策略應用到“Default Domain Policy”上，有何不同嗎?請讀者思考。特別注意：若您在客戶端計算機上通過本地計算機策略本地計算機策略來啟用此策略，但是此計算機并未加入域功能等級為Wlndows Server 2008（含）以上的域，則用戶在這臺計算機登錄時將無法獲取登錄信息，也無法登錄。4.3.2 任務任務2 管理管理“用戶配置的管理模板策略用戶配置的管理模板策略”域內(nèi)有一個組織單位sales，而且已經(jīng)限定它們需

29、通過企業(yè)內(nèi)部的代理服務器上網(wǎng)（代理服務器proxy server的設置請參考后面的說明），而為了避免用戶自行修改這些設置值，下面要將其瀏覽器Internet Explorer的連接選項卡內(nèi)更改代理服務器設置的功能禁用。由于目前并沒有任何GPO被鏈接到組織單位sales，因此我們將先建立一個鏈接到sales的GPO，然后通過修改此GPO設置值的方式來達到目的。1. 目標：指定組織單位的用戶無法更改代理設置步驟1：到域控制器上利用系統(tǒng)管理員身份登錄。步驟2：選擇【開始管理工具組策略管理】。步驟3：如圖6-13所示【展開到組織單位sales選中sales并單擊右鍵在這個域中創(chuàng)建在這個域中創(chuàng)建GPO并

30、在此處鏈接并在此處鏈接】。步驟4：您也可以先通過【選中組策略對象并單擊右鍵新建】的方法來建立GPO，然后再通過【選中組織單位sales并單擊右鍵鏈接現(xiàn)有GPO】的方法來將上述GPO鏈接到組織單位sales。步驟5：在圖6-14中為此GPO命名（例如sales的的GPO）后單擊【確定】按鈕。圖6-14 新建GPO步驟6：如圖6-15所示，選中這個新建的GPO并單擊右鍵編輯。圖6-14 組策略管理-編輯步驟7：如圖6-15所示，【展開用戶配置策略管理模板Windows組件lnternet Explorer將右側“阻止更改代理設置”設置為已啟用已啟用】。圖6-15 組策略管理編輯器-阻止更改代理設置

31、步驟8：請利用sales內(nèi)的任何一個用戶賬戶，例如jane，到任何一臺域成員計算機（ms1）上登錄。（登錄前重啟設置組策略的計算機或者運行：gpupdate /force，使設置的組策略生效。）步驟9：運行瀏覽器Internet Explorer按Alt鍵單擊工具菜單lnternet選項如圖6-16所示單擊【連接】選項卡下【局域網(wǎng)設置】按鈕，從圖中可知無法修改代理服務器設置。圖6-16 sales成員jane無法更改代理服務器設置2. 【用戶配置用戶配置策略策略管理模板管理模板】的其他設置的其他設置限制用戶只可以或不可以執(zhí)行指定的限制用戶只可以或不可以執(zhí)行指定的Windows應用程序應用程序：

32、其設置方法為【系統(tǒng)系統(tǒng)雙擊右側的只運行指定的只運行指定的Windows應用程序應用程序或不運行指定的不運行指定的Windows應用程序應用程序】。在添加程序時，請輸入該應用程序的執(zhí)行文件名稱，例如eMule.exe。 思考：如果用戶利用資源管理器更改此程序的文件名，這個策略是否就無法發(fā)揮作用？ 是的，不過您可以利用項目6的軟件限制策略來達到限制用戶執(zhí)行此程序的 目的，即使其文件名被改名。隱藏或只顯示在控制面板內(nèi)指定的項目：隱藏或只顯示在控制面板內(nèi)指定的項目：用戶在控制面板內(nèi)將看不到被隱藏起來的項目或只看得到被指定要顯示的項目。操作方法：【控制面板雙擊右邊的隱藏指定的“控制面板”項或只顯示指定的

33、”控制面板“項】。在添加項目時，請輸入項目名稱，例如鼠標、用戶賬戶等。禁用按禁用按Ctrl+Alt+Del鍵后所出現(xiàn)界面中的選項：鍵后所出現(xiàn)界面中的選項：用戶按這3個鍵后，將無法使用界面中被您禁用的選項，例如更改密碼、啟動任務管理器（或任務管理器）、注銷等。其設置方法為：【系統(tǒng)CtrI+Alt+Del項】。隱藏和禁用桌面上所有的項目：隱藏和禁用桌面上所有的項目：其設置方法為【桌面隱藏和禁用桌面上的所有項目】。用戶登錄后的傳統(tǒng)桌面上（非Modern UI）所有項目都會被隱藏，選中桌面按鼠標右鍵也無效。刪除刪除Internet Explorer的的Internet選項中的部分選項卡：選項中的部分選

34、項卡：用戶將無法選擇【工具菜單lnternet選項】中被刪除的選項卡，例如安全性、連接、高級等選項卡。其設置方法為【W(wǎng)indows組件lnternet Explorer雙擊右邊的Internet控制面板】。刪除開始萊單中的關機、重新啟動、睡眠及休眠命令刪除開始萊單中的關機、重新啟動、睡眠及休眠命令：其設置方法為【開始菜單和任務欄雙擊右側刪除并阻止訪問“關機”、“重新啟動”、“睡眠”及“休眠”命令】。在用戶的開始菜單中，這些功能的圖標會被刪除或無法使用，按CtrI+Alt+Del鍵后也無法選擇它們。4.3.3 任務任務3 配置賬戶策略配置賬戶策略 可以通過賬戶策略來設置密碼的使用規(guī)則與賬戶鎖定方

35、式在設置賬戶策略時請?zhí)貏e注意下面說明： 針對域用戶所設置的賬戶策略需通過域扳刪的GPO來設置才有效，例如通過域的Default Domain Policy GPO未設置，此策略會被應用到域內(nèi)所有用戶。通過站點或組織單位的GPO所設置的賬戶策略，對域用戶沒有作用。 賬戶策略不但會被應用到所有的域用戶賬戶，也會被應用到所有域成員計算機內(nèi)的本地用戶賬戶。 若您針對某個組織單位（圖6-17中的sales）來設置賬戶策略，則這個賬戶策略只會被應用到位于此組織單位的計算機（例如圖中的ms1）的本機用戶賬戶而已，但是對位于此組織單位內(nèi)的域用戶賬戶（例如圖中的jane等）卻沒有影響。圖6-17 sales組織

36、單位 要設置域賬戶策略步驟:【選中Default Domain Policy GPO（或其他域級別的GPO）并單擊右鍵選擇編輯，如圖6-18所示展開計算機配置策略Windows設置安全設置賬戶策略】。圖6-18 賬戶策略1密碼策略密碼策略如圖6-19所示，單擊密碼策略后就可以設置下面策略。圖6-19 密碼策略用可還原的加密來存儲密碼用可還原的加密來存儲密碼：如果有應用程序需要讀取用戶的密碼，以便驗證用戶身份的話，就可以啟用此功能，不過它相當于用戶密碼沒有加密，因此不安全。默認為禁用。密碼必須符合復雜性要求密碼必須符合復雜性要求：若啟用此功能，則用戶的密碼有下面規(guī)范。不可包含用戶賬戶名稱（指用戶

37、SamAccountName）或全名長度至少為6個字符。至少包含A-Z、az、09、特殊符號（例如！、$、#、%）4組字符中的3組。因此123ABCdef是有效的密碼，然而87654321是無效的，因它只使用數(shù)字這一種字符。又例如若用戶賬戶名稱為Alice，則123ABCAlice是無效密碼，因為包含用戶賬戶名稱。AD DS域與獨立服務器默認是啟用此策略的。密碼最長使用期限密碼最長使用期限：用來設置密碼最長的使用期限（可為0999天）。用戶在登錄時，若密碼使用期限已到，系統(tǒng)會要求用戶更改密碼。若此處為0表示密碼沒有使用期限限制。AD DS域與獨立服務器默認值都是42天。密碼最短使用期限密碼最短

38、使用期限：用來設置用戶密碼的最短使用期限（可為0-998天），在期限未到前，用戶不得更改密碼。若此處為0表示用戶可以隨時變更密碼。AD DS域的默認值為1，獨立服務器的默認值為0。強制密碼歷史強制密碼歷史：用來設置是否要記錄用戶曾經(jīng)使用過的舊密碼，以便決定用戶在修改密碼時，是否可以重復使用舊密碼。此處可被設置為如下的值。 1-24:表示要保存密碼歷史記錄。例如若設置為5，則用戶的新密碼不可與前5次所使用過的舊密碼相同。 0：表示不保存密碼歷史記錄，因此密碼可以重復使用，也就是用戶更改密碼時，可以將其設置為以前曾經(jīng)使用過的任何一個舊密碼。 AD DS域的默認值為24，獨立服務器的默認值為0。密碼

39、長度最小值密碼長度最小值：用來設置用戶賬戶的密碼最少需要幾個字符。此處可為0-14，若為0，表示用戶賬戶可以沒有密碼。AD DS域的默認值為7，獨立服務器的默認值為0。2賬戶鎖定策略賬戶鎖定策略您可以通過圖6-20中的賬戶鎖定策略來設置鎖定用戶賬戶的方式。賬戶鎖定閾值賬戶鎖定閾值：我們可以讓用戶在多次登錄失敗后（密碼錯誤），就將該用戶賬戶鎖定，在未被解除鎖定之前，用戶無法再利用此賬戶來登錄。此處用來設置登錄失敗次數(shù)，其值可為0-999。默認值為0，表示賬戶永遠不會被鎖定。賬戶鎖定時間賬戶鎖定時間：用來設置鎖定賬戶的時間，時間過后會自動解除鎖定。此處可為0-99999分鐘，若為0分鐘表示永久鎖定

40、，不會自動被解除鎖定，此時需由系統(tǒng)管理員手動來解除鎖定（賬戶被鎖定后會在賬戶屬性里會有有此“解除鎖定解除鎖定”選項）。重置賬戶鎖定計數(shù)器重置賬戶鎖定計數(shù)器：“鎖定計數(shù)器”用來記錄用戶登錄失敗的次數(shù)，其初始值為0，用戶若登錄失敗，則鎖定計數(shù)的值就會加1，若登錄成功，則鎖定計數(shù)器的值就會歸零。若鎖定計數(shù)器的值等于賬戶鎖定閾值，該賬戶就會被鎖定。4.3.4 任務任務4 配置用戶權限分配策略配置用戶權限分配策略系統(tǒng)默認只有某些組（例如administrators）內(nèi)的用戶，才有權在扮演域控制器角色的計算機上登錄，而普通用戶alice在域控制器上登錄時，屏幕上會出現(xiàn)類似圖6-21所示的警告信息，且無法登

41、錄，除非他們被賦予允許本地登錄的權限。圖6-21 不允許本地登錄域控制器1在域控制器上開放在域控制器上開放“允許本地登錄允許本地登錄”權限權限 下面假設要讓域long內(nèi)Domain Users組內(nèi)的用戶可以在域控制器上登錄。我們將通過默認的Default Domain Controllers Policy GPO來設置，也就是說要讓這些用戶在域控制器上擁有允許本地登錄的權限。 注意： 一般來說，域控制器等重要的服務器不應該開放普通用戶登錄。 要在成員服務器、Windows 8、Windows 10等非域控制器的客戶端計算機上練習，則下面步驟可免，因為Domain Users默認已經(jīng)在這些計算機

42、上擁有允許本地登錄的權限。 步驟 1 請到域控制器dc1上利用系統(tǒng)管理員身份登錄。步驟 2 選擇【開始管理工具組策略管理】。 步驟 3 如圖6-22所示，【展開到Domdn Controllers選中右側的Default Domain Controllers Policy并單擊右鍵編輯】。圖6-22 組策略管理 步驟 4 如圖6-23所示，【展開計算機配置策略Windows設置安全設置本地策略用戶權限分配雙擊允許本地登錄允許本地登錄】。圖6-23 組策略管理-用戶權限分配 步驟 5 如圖6-24所示，【單擊“添加用戶和組”按鈕輸入或選擇域long內(nèi)的Domain Users組按兩次“確定”按鈕

43、】。由此圖中可看出默認只有Account Operators、Administrators等組才擁有允許本地登錄的權限。圖6-24 添加用戶和組（Domain Users） 6 完成后，必須等這個策略應用到Domain Controllers內(nèi)的域控制器后才有效（見前面的說明）。待應用完成后，就可以利用任何一個域用戶賬戶到域控制器上登錄，來測試允許本地登錄功能是否正常。另外，如果域內(nèi)有多臺域控制器，由于策略設置默認會先被存儲到扮演PDC模擬器操作主機角色的域控制器（默認是域中的第一臺域控制器），因此要等這些策略設置被復制到其他域控制器，然后再等這些策略設置值應用到這些域控制器。 可以利用【開始

44、管理工具Active Directory用戶和計算機選中域名并單擊右鍵操作主機PDC選項卡】來查看扮演PDC模擬器操作主機的域控制器。系統(tǒng)可以利用下面兩種方式來將PDC模擬器操作主機內(nèi)的組策略設置復制到其他域控制器。 自動復制自動復制：PDC模擬器探作主機默認15秒后會自動將其復制出去，因此其他的域控制器可能需要等15秒或更久的時間才會收到此設置值。 手動立即復制手動立即復制：假設PDC模擬器操作主機是DC1，而我們要將組策略設置手動復制到域控制器DC2。請在域控制器上單擊【開始管理工具Active Directory站點和服務SitesDefault-First-Site-NameServe

45、rs展開目標域控制器（DC2）NTDS Settings在右側窗口選中PDC模擬器操作主機（DC1）并單擊右鍵立即復制】。2其他其他“用戶權限分配用戶權限分配” 您可以通過圖6-25中的用戶權限分配來將執(zhí)行特殊操作的權限分配紿用戶或組（此圖以Default Domain Controller Policy GPO為例）。 要分配圖6-25右側任何一個權限給用戶：【雙擊該權限在圖6-25中單擊“添加用戶和組”按鈕選擇用戶或組】。 下面列舉幾個比較常用的權限策略來說明。允許本地登錄允許本地登錄：允許用戶直接在本臺計算機上按Ctrl+Alt+Del鍵登錄（上例）。拒絕本地登錄拒絕本地登錄：與前一個權

46、限剛好相反。此權限優(yōu)先于前一個權限。將工作站添加到域?qū)⒐ぷ髡咎砑拥接颍涸试S用戶將計算機加入到域。注意：每一個域用戶賬戶默認有10次將計算機加入域的機會，不過一旦擁有將工作站添加到域的權限后，其次數(shù)就沒有限制。關閉系統(tǒng)：關閉系統(tǒng)：允許用戶將此計算機關機。從網(wǎng)絡訪問此計算機：從網(wǎng)絡訪問此計算機：允許用戶通過網(wǎng)絡上其他計算機來連接、訪問此計算機。拒絕從網(wǎng)絡訪問此計算機：拒絕從網(wǎng)絡訪問此計算機：與前一個權限剛好相反。此權限優(yōu)先于前一個權限，從遠程系統(tǒng)強制關機：從遠程系統(tǒng)強制關機：允許用戶從遠程計算機來將此臺計算機關機。備份文件和目錄：備份文件和目錄：允許用戶備份硬盤內(nèi)的文件與文件夾。還原文件和目錄：還

47、原文件和目錄：允許用戶還原所備份的文件與文件夾。管理審核和安全記錄：管理審核和安全記錄：允許用戶指定要審核事件，也允許用戶查詢與清除安全記錄。更改系統(tǒng)時問：更改系統(tǒng)時問：允許用戶更改計算機的系統(tǒng)日期與時間。加載和卸載設備驅(qū)動程序：加載和卸載設備驅(qū)動程序：允許用戶加載扣卸載設備的驅(qū)動程序。取得文件或其他對象的所有權：取得文件或其他對象的所有權：允許奪取其他用戶所擁有的文件、文件夾或其他對象的所有權。4.3.5 任務任務5 配置安全選項策略配置安全選項策略 您可以通過如圖6-26的安全選項來啟用計算機的一些安全設置。圖中以“sales的的GPO”為例，并列舉下面幾個安全選項策略。交互式登錄交互式登

48、錄：無須按Ctrl+Alt+Del鍵。讓登錄界面不要再顯示類似按Ctrl+Alt+Del鍵登錄的提示（這是Windows 8.1等客戶端的默認值）。交互式登錄交互式登錄：不顯示最后的用戶名。讓客戶端的登錄界面上不要顯示上一次登錄的用戶名。交互式登錄交互式登錄：提示用戶在過期之前更改密碼。用來設置在用戶的密碼過期前幾天，提示用戶更改密碼。交互式登錄交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時）。域用戶登錄成功后，其賬戶信息會被存儲到用戶計算機的緩存區(qū)，若之后此計算機因故無法與域控制器連接，該用戶還可通過緩存區(qū)的賬戶數(shù)據(jù)來驗證身份與登錄。您可以通過此策略來設置緩存區(qū)內(nèi)賬戶數(shù)據(jù)的數(shù)量，默認為記

49、錄10個登錄用戶的賬戶數(shù)據(jù)。交互式登錄交互式登錄：試圖登錄的用戶的消息標題、試圖登錄的用戶的消息文本。若用戶在登錄時按Ctrl+Alt+Del鍵后，界面上能夠顯示您希望用戶看到的提示信息，請通過這兩個選項來設置，其中一個用來設置提示信息標題文字，一個用來設置提示信息的內(nèi)容。關機關機：允許系統(tǒng)在未登錄的情況下關閉。讓登錄界面的右下角能夠顯示關機圖標，以便在不需要登錄的情況下就可直接通過此圖標將計算機關機（這是Windows 8.1等客戶端的默認值）。4.3.6 任務任務6 登錄登錄/注銷、啟動注銷、啟動/關機腳本關機腳本 可以讓域用戶登錄時，其系統(tǒng)就自動執(zhí)行登錄腳本登錄腳本( script)，而

50、當用戶注銷時，就自動執(zhí)行注銷腳本注銷腳本；另外也可以讓計算機在開機啟動時自動執(zhí)行啟動腳本啟動腳本，而關機時自動執(zhí)行關機腳本關機腳本。1登錄腳本的設置登錄腳本的設置下面利用文件名為logon.bat的批處理文件來練習登錄腳本。請利用記事本（notepad）來建立此文件，該文件內(nèi)只有一條如下所示的命令，此命令會在C:下新建文件夾TestDir： Mkdir c:TestDir下面我們利用組織單位sales的GPO進行說明。 步驟 1 單擊【開始管理工具組策略管理展開到組織單位sales選中sales的的GPO并單擊右鍵編輯】。 步驟 2 如圖6-27所示，【展開用戶配置策略Windows設置腳本（

51、登錄，注銷）雙擊右側的登錄單擊“顯示文件”安鈕】。圖6-27 腳本登錄 步驟 3出現(xiàn)圖6-28所示的界面時，請將登錄腳本logon.bat粘貼到界面中的文件夾內(nèi)，此文件夾位于域控制器的SYSVOL文件夾內(nèi)，其完整路徑為（其中的GUID是sales的GPO的GUID）:%systemroot%SYSVOLsysvol域名PoliciesGUIDUserScriptsLogon圖6-28 logon文件 步驟 4 請關閉圖6-28窗口，回到前面圖6-27時單擊“添加”按鈕。 步驟 5 圖6-29中通過“瀏覽”按鈕來從圖6-28的文件夾內(nèi)選擇登錄腳本文件logon.bat。完成后單擊“確定”按鈕。

52、步驟 6 回到圖6-30所示的界面并單擊“確定”按鈕。圖6-29 添加腳本 圖6-30 登錄屬性 步驟 7 完成設置后，組織單位sales內(nèi)的所有用戶登錄時，系統(tǒng)就會自動執(zhí)行登錄腳本 logon.bat，它會在C:下建立文件夾TestDir，請自行利用文件資源管理器來檢查（如圖6-31所示）。本例使用jane，在成員服務器ms上登錄驗證。圖6-31 利用文件資源管理器來檢查結果2注銷腳本的設置注銷腳本的設置 下面利用文件名為logoff.bat的批處理文件來練習注銷腳本。請利用記事本（notepad）來建立此文件，其內(nèi)只有一條命令，此指令會將C:TestDir文件夾刪除：rmdir c : T

53、estDir下面利用組織單位sales的GPO進行說明。 步驟 1 請先將前一個登錄腳本設置刪除，也就是單擊圖6-30中的logon.bat后單擊“刪除”按鈕，以免干擾驗證本實驗的結果。 步驟 2 下面演示的步驟與前一個登錄腳本的設置類似，不再重復，不過在圖6-27中選擇注銷、文件名改為logoft:bat。 步驟 3 在客戶端計算機【使用命令：gpupdate /force】以便立即應用上述策略上的設置或在客戶端計算機上利用注銷、再重新登錄的方式來應用上述策略設置。 步驟 4 再注銷，這時候就會執(zhí)行注銷腳本logofLbat來刪除C:TestDir，請再登錄后利用文件資源管理器來確認C:Te

54、stDir已被刪除（請先確認logon.bat已經(jīng)刪除，否則它又會建立此文件夾）。3啟動啟動/關機腳本的設置關機腳本的設置我們可以利用圖6-32中組織單位sales的GPO為例來說明，以圖中計算機名稱為的計算機來練習啟動/關機腳本。若您要練習的計算機不是位于組織單位sales內(nèi)，而是位于容器Computers內(nèi)，則請通過域級別的GPO來練習（例如Default Domain Policy GPO），或?qū)⒂嬎銠C賬戶移動到組織單位sales內(nèi)。 由于啟動/關機腳本的設置步驟與前一個登錄，注銷腳本的設置類似，故此處不再重復，不過在圖6-33中改為使用計算機配置。您可以直接利用前面的登錄、注銷腳本的示

55、例文件來練習。4.3.7 任務任務7 文件夾重定向文件夾重定向 您可以利用組策略來將用戶的某些文件夾的存儲位置重定向到網(wǎng)絡共享文件夾內(nèi)，這些文件夾包括文件、圖片、音樂等，如圖6-34所示，此圖為用戶Jane在MS計算機上的個人文件夾，可以通過【打開文件資源管理器單擊左上方的桌面單擊右側的Jane來獲取此界面】。圖6-34 Jane的個人文件夾 這些文件夾平常存儲在本地用戶配置文件內(nèi)，也就是%SystemDrive%用戶用戶名（或%SystemDrive%Users用戶名）文件夾內(nèi)，例如圖6-35為用戶Jane（此處顯示其登錄賬戶Jane，不是其顯示名稱Jane）的本地用戶配置文件文件夾，因此用

56、戶換到另外一臺計算機登錄，就無法訪問到這些文件夾，而如果能夠?qū)⑵浯鎯ξ恢酶臑椋ㄖ囟ㄏ虻剑┚W(wǎng)絡共享文件夾，則用戶到任何一臺域成員計算機上登錄時，都可通過此共享文件夾來訪問這些文件夾內(nèi)的文件。圖6-35 用戶Jane的本地用戶配置個人文件夾1將將“文檔文檔”文件夾重定向文件夾重定向 用戶Jane可以通過【選中圖6-35中的文檔并單擊右鍵屬性如圖6-36所示】的方法來得知其文檔當前存儲在本地用戶配置文件文件夾C:Usersjane下。 我們利用將組織單位sales內(nèi)所有用戶（包含jane）的文檔文件夾重定向，來說明如何將此文件夾重定向到另外一臺計算機上的共享文件夾。 步驟 1 在任何一臺域成員計算機

57、上建立一個文件夾，例如我們將在服務器dc1上建立文件夾C: StoreDoc，然后要將組織單位業(yè)務部內(nèi)所有用戶的文檔文件夾重定向到此數(shù)據(jù)內(nèi)。 步驟 2 將此文件夾設置為共享文件夾，將共享權限讀取，寫入賦給Everyone（系統(tǒng)會同時將完全控制的共享權限與NTFS權限賦予Everyone）。其共享名默認為文件夾名稱StoreDoc，建議將共享文件夾隱藏起來，也就是將共享名最后一個字符設置為$符號，例如StoreDoc$。 步驟 3 到域控制器上選擇【開始管理工具組策略管理展開到組織單位sales選中sales的的GPO并單擊右鍵編輯】。 步驟 4 如圖6-37所示，【展開用戶配置策略Window

58、s設置文件夾重定向單擊文檔單擊上方的屬性圖標】。 步驟 5 參照圖6-38來設置，完成后單擊“確定”按鈕。圖中的根路徑指向我們所建立的共享文件夾dc1storedoc（一定是UNC路徑，否則客戶端無法訪問），系統(tǒng)會在此文件夾下自動為每一位登錄的用戶分別建立一個專用文件夾，例如賬戶名稱為jane的用戶登錄后，系統(tǒng)會自動在dc1storedoc下，建立一個名稱為jane的文件夾。 圖中在設置處共有下面幾種選擇。 基本-將每個人的文件夾重定向到同一個位置：它會將組織單位sales內(nèi)所有用戶的文件夾都重定向。 高級-為不同的用戶組指定位置：它會將組織單位sales內(nèi)隸屬于特定組的用戶的文件夾重定向。未

59、配置：也就是不執(zhí)行重定向。另外圖中的目標文件夾位置有下面的選項。 定向到用戶的主目錄：若用戶賬戶內(nèi)有指定主目錄，則此選擇可將文件夾重定向到其主目錄。 在根目錄路徑下為每一用戶創(chuàng)建一個文件夾：如前面所述，它讓每一個用戶各有一個專用的文件夾。重定向到下列位置：將所有用戶的文件夾重定向到同一個文件夾。重定向到本地用戶配置文件位置：重定向回原來的位置。 步驟 1 請利用組織單位sales內(nèi)的任何一個用戶賬戶到域成員計算機（以為例）登錄，例如jane（假設其顯示名稱為jane），則jane的文檔（在Windows 7內(nèi)被稱為我的文檔）將被重定向到dc1storedocjanedocuments文件夾（也

60、就是dc1storedocjane文檔文件夾）?？梢浴敬蜷_文件資源管理器單擊jane如圖6-39所示選中文檔并單擊右鍵屬性】來查看文檔文件夾是位于重定向后的新位置dc1storedocjane。幾點說明： 用戶可能需要登錄兩次后，文件夾才會成功地被重定向：用戶登錄時，系統(tǒng)默認并不會等待網(wǎng)絡啟動完成后再通過域控制器來驗證用戶，而是直接讀取本地緩存區(qū)的賬戶數(shù)據(jù)來驗證用戶，以便讓用戶快速登錄。之后等網(wǎng)絡啟動完成，系統(tǒng)就會自動在后臺應用策略。不過因為文件夾重定向策略文件夾重定向策略與軟件安裝策略軟件安裝策略需在登錄時才有作用，因此本實驗您可能需要登錄兩次才有作用。 若用戶賬戶內(nèi)被指定使用漫游用戶配置文