Transcript 组策略

目 录
第 1 章 基本通信原理
第 2 章 计算机网络技术
第 3 章 网络操作系统
第 4 章 基本网络管理
第 5 章 常用网络服务及其配置
第 6 章 Web服务器的架设和管理
第 7 章 Ftp服务器的架设和管理
第 8 章 邮件服务器的架设和管理
第0页
第 4 章 网络基本管理
网络中的工作组和域
域和活动目录服务
资源共享与发布
组策略
安全性设计
第1页
4.1 网络中的工作组和域
目录和目录服务
工作组
域及域控制器
工作组和域管理模式
第2页
目录和目录服务
 连接到网络
网络中有哪些服务器或工作站？它们都提供了什么服务？
网络中有哪些共享资源？
对于网络中存在得类似问题，网络是通过目录和目录服务的方式来解决得。
 什么是目录？
目录（Directory）是用来存储有用对象信息的结构。在文件系统中，目录存储关于文件的信息；在分布式的计算机系统
或计算机网络中，目录用来存储网络中的工作组或域的安全信息（如：用户账号信息、访问权限等）、共享资源信息
（如：共享打印机、共享文件夹等）以及用于访问上述信息的检索信息等。
 目录服务
目录服务（Directory Service）就是要让工作站知道网络上的可用资源的信息服务。
采用静态服务表
定期广告
名称服务器
第3页
工作组
 什么是工作组？
工作组（Workgroup）是指网络中的一个计算机集合。
工作组中的计算机共享一个浏览清单
每个工作组有一台或几台服务器收集浏览信息，称为浏览主机。浏览主机是自动选择的。
 隐藏浏览清单信息
不希望别的组使用自己的共享打印机。要达到上面的要求，在工作组中有两种办法：
 为打印机设置口令或将打印机隐藏，即将打印机从浏览清单中去掉。
 通过可以在打印机名称后加一个美元符号（$）实现，这样打印机可以共享，但不会出
现在浏览清单中。
第4页
网络中的工作组
 S1:Windows 2000 Server
 S2:Windows Server 2003
 W1:Windows 2000 Professional
交换机
 Windows XP若干
W1
S1
S2
 五个用户User01、User02、User03、User04和
User05
 建立用帐户
在s1，s2和w1上分别为User01、User02、User03、User04和User05建立本地用户帐户
 登录过程
口令表，pwl文件
冒名顶替
第5页
将计算机加入工作组
要将一台Windows XP professional 计算机加入到工作组market中，具体
操作步骤如下：
打开“控制面板”窗口，双击“系统”图标，
在“系统属性”对话框中，选中“计算机名”
选项卡
单击“更改…”按钮，打开“计算机名称
更改”对话框
在“隶属于”区域中，选择“工作组”单选
钮，然后在下面的文本框中输入工作组名
称market，单击“确定”按钮。
第6页
域及域控制器
 什么是域？
域（Domain）是实行了集中化管理的计算机的集合，是一个具有集中安全控制的超级工作组。
也就是说，在计算机集合中的每台计算机的账户信息都存储在其中的一台计算机上
Windows 98不能加入域，成为域的成员
 什么是域控制器？
在Windows域中，负责网络管理的计算机称为域控制器（Domain Controller，DC）。
 Windows Server 计算机
 安装Active Directory
第7页
域安全系统的工作过程
假设有一个名为technology的域，域控制器为DC1，有一台Windows XP工作站，
需要访问域中名为S1的Windows 2000 Server计算机。
打开Windows XP计算机，在“登录到windows”对话框中，输入用户名和口令、在“登录到”下
拉列表中，选择要登录的域technology，开始登录域控制器DC1。
登录请求被域控制器中运行的本地安全认证（LSA）程序处理，用户通过验证后，登录进程会
给用户一个安全访问令牌（Security Acces Token，SAT）。
该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows检
查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。
工作站得到SAT令牌后，可以通过“网上邻居”连接到S1，浏览特殊的共享目录。共享目录有
一个称为安全描述表（SD）的附加表，说明哪些用户可以访问。另外，服务器上还有一个称为
安全监视器（Security Reference Monitor，SRM）的程序来检查你是否是被允许的成员。这时，
服务器S1的SRM将读取你的SAT令牌，并与安全描述表SD的内容比较，确认是否允许你访问。
第8页
Windows域中计算机的角色
 域控制器
配置，域控制器（Domain Controller，DC）是安装了Active Directory的Windows Server 计算机。
作用，域控制器存储着目录数据并管理用户的交互，其中包括用户登录过程、身份验证和目录搜索。
 成员服务器
配置，运行 Windows 服务器操作系统、域的成员但不是域控制器的计算机。
作用，一般用作以下类型的服务器，例如：文件服务器、应用服务器、数据库服务器、Web 服务器、证书服务器、防火
墙和远程访问服务器等。
 独立服务器
配置，运行 Windows服务器操作系统，但不是 Windows域成员的计算机，即作为工作组成员安装 。
作用，可与网络上的其他计算机共享资源，但是它们不接受 Active Directory 所提供的任何好处。
第9页
工作组和域管理模式的不同
工作组模式
基于广播来通讯，工作组中的每台计算机互为服务器，互为客户端。
主浏览服务器，负责维护工作组中的浏览列表，并定期向其他计算机广播。
广播在网络中的不稳定性，可能导致工作组中的每台计算机所持有的浏览列表各不相同，导致工作组
中的计算机互相访问出现问题。
 ActiveDirectory活动目录模式
目录服务统一维护和发布域中的资源，这个资源列表可以使用LDAP进行方便快捷的查询，并可以结
合DNS进行定位，这就可以让用户不再需要关心那些资源的物理位置，用户可以以一种逻辑的方式来搜
集和整理自己所需要的资源。
相对于工作组那种不稳定的工作模式，活动目录对于网络管理提供了更好的技术支持。
在较大规模的网络中，应该采用域管理模式，而不是采用工作组的网络邻居访问方式。
第10页
4.2 域和活动目录服务
安装活动目录服务
使用Active Directory服务
域用户与用户组管理
将计算机加入到域
登录到本地或域
第11页
安装活动目录服务
 安装活动目录服务组件的条件
 Windows Server 2003，或Windows 2000 Server
 NTFS文件系统
第12页
活动目录服务安装过程（1）
在Windows Server 2003安装完成后，并没有自动安装活动目录服务，需要由用户自
己安装。
（1）在“控制面板”窗口中，双击“管理工具”图标，打开“管理工具”窗口；双击“管理
您的服务器”图标，
默认状态下，Windows
Server 2003系统安装时，
只安装文件服务器，要安装
其它服务，单击右上角的
“添加或删除角色”超链接
第13页
活动目录服务安装过程（2）
（2）向导检测当前的网络设置，完成后显示配置选项界面。
选择“自定义配置”单选钮，选择需要安装的服务
第14页
活动目录服务安装过程（3）
（3）在服务器角色列表中，选择“域控制器（Active Directory）”
单击“下一步”按钮
第15页
活动目录服务安装过程（4）
（4）然后按照向导提示，分别选择新域的控制器、在新林中的域，随后显示指定新的
域名界面
输入新建域的域名，然
后单击“下一步”按钮，
按照向导提示操作。在
操作过程中需要输入还
原目录服务的账户密码，
和管理员密码不同，需
要记下。
第16页
活动目录服务安装过程（5）
（5）DNS服务器的安装和配置
使用DNS服务器
如果当前服务器没有安装DNS服务，在安装活动目录服务的过程中还将一并安装DNS服务。或者跳过
DNS服务，然后再单独安装DNS服务。如果已经有DNS服务器，可以直接使用。
一般情况下，一个企业只有一台DNS服务器，它可以安装到一台专用计算机上，负责整个企业的DNS解析。
 DNS服务器的设置
在DNS安装完成后，在DNS服务器计算机本身的网络连接中，应该将首先DNS服务器设为它自己，只有
这样AD才可能将AD信息注册到DNS，否则计算机在加入域时，将出现域名解析错误。
第17页
活动目录服务安装过程（6）
（6）安装活动目
录和DNS服务后
第18页
活动目录服务管理工具
在控制面板的管理工具
文件夹中，可以看到
ActiveDirectory相关的
三个管理工具，分别是：
Active Directory用户
和计算机，
Active Directory域和
信任关系，
Active Directory站点
和服务
第19页
使用活动目录服务
“Active Directory用户和计算机”管理工具又称“Active Directory用户和计算机”控制台
 Computers
文件夹，计算
机帐户。
 Users, 包含
域中的所有用
户。
第20页
Active Directory对象
“Active
Directory用户和计算机”控制台，可以创建的对象有：
 用户，用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上，并且可以为用户授予访
问权限。
 联系人，联系人对象是没有任何安全权限的帐户。不能以联系人的身份登录到网络上。联系人通常表示外
部用户，用以收发电子邮件。
 计算机，计算机对象表示网络上的一台计算机。对于基于 Windows NT 的工作站和服务器，这是计算机帐
户。
 组织单位，组织单位 (OU) 用作一种容器，以便以逻辑方式来组织目录对象（如用户、组和计算机），这与
使用文件夹来组织硬盘上的文件大体相同。
 组，组可以包含用户、计算机和其他组。组简化了对大量对象进行的管理工作。
 共享文件夹，共享文件夹是已在目录中发布的网络共享。
 共享打印机，共享打印机是已在目录中发布的网络打印机。
管理员可以完成增加、删除、修改组织单位（OU）、计算机账户、域用户账户、组以及在目录上发布资源等
网络管理任务。
第21页
新建组织单位（OU）对象
 组织单位（Organization Unit，OU）的概念
使得基于活动目录的Windows域变得易于管理和扩充
总公司
办公室
市场部
市场一部
市场二部
公司
第22页
人力资源部
计划处
财务处
新建组织单位（OU）对象（Cont.）
 在目录树的根节点上单击鼠标
右键，在快捷菜单中指向“新建”，
单击“组织单位”，弹出“创建对象
-组织单位”对话框，输入组织单
位名称（如：总公司），单击“确
定”按钮。
即完成了第一级组织单位的创建。
用上述类似的方法可以创建下
一级的组织单位，当在某个组织
单位下创建它的下一层组织单位
时，应该在该组织单位的节点上
单击鼠标右键，接下来的过程和
上面类似。
第23页
域用户与用户组管理
域用户账户管理
用户组
新建组
组的类型

安全组（Security Group）是可以列在用于定义资源和对象的权限的自由访问控制列表
（DACL）中的组，DACL是部分对象安全描述符的列表，该描述符用来允许或拒绝某
些指定用户和组的权限。

分布组（Distribution Group），不采用安全机制，不能列于 DACL 中。
组的作用域
第24页

本地组（Local Group）只能在本域的域控制器DC上使用

全局组（Global Group）可在本域和有信任关系的其它域中使用
新建域用户帐户
在“Active Directory用户和计算机”控制台目录树中选择一个需要创建用户账户的组织单
位，单击鼠标右键，在快捷菜单中，指向“新建”，选择“用户”，显示“创建新对象-用户”
向导
第25页
新建域用户帐户（Cont.）
在“Active Directory用户和计算机”控制台
第26页
新建用户组
组（Group）是活动目录或者本地计算机对象，如：域用户、联系人、计算机及其他组，用于对用户和计算机的
分组管理。通常可将用户和计算机分成若干组，每个组赋予一定的权限，而不是针对组内的成员分配权限，组中
成员从组中获得该组共有的权限，使用组而不是单独的用户可简化网络的维护和管理。在组织单位中可以创建组，
组中可以添加成员，包括计算机、联系人和用户。
在“Active Directory 用
户和计算机”管理控制台
目录树中选择一个文件夹，
单击鼠标右键，在快捷菜
单中，指向“新建，组”，
打开“新建对象-组”对话
框，
第27页
将计算机加入到域
 域控制器端设置
首先，在域控制器计算机上，建立一个和要加入到域的计算机同名的计算机账户。
在域控制器上，建立一个用于把计算机加入域中的域用户账户
在域控制器的网络连接属性中将DNS指向它自己，因为域控制器中的Netlogon服务要在DNS上注册一
些纪录，从而允许其他的域控制器和计算机查询活动目录信息。
 客户端设置
修改计算机名和网络标识。
设置客户计算机的首选DNS服务器为域控制器的IP地址。
输入上面建立的域用户账户，例如：jerry，如图4-22。或者输入在安装目录服务时指定的目录服务恢
复模式的管理员（Administrator）账号和密码，输入完成后，单击“确定”按钮，最后显示“欢迎加入
yuantong.local域”信息
第28页
计算机无法加入到域的几种可能的原因
如果出现“登录失败，未授予用户在此计算机上的请求登录类型”信息
往往是由于域控制器的来宾帐户停用、或者域控制器的本地安全策略：\安全设置\本地策略\用户权限分
配\中的“拒绝从网络访问这台计算机”的策略包含guest帐户，应将其删除。
域控制器上安装的防火墙
域控制器上的病毒
在命令行下，通过net share命令，查看是否存在下面的默认管理共享：Admin$、IPC$ 、C$管理共享，如
果不存在这些管理共享，计算机也不能加入域
“拒绝访问”错误
问题产生的主要原因是由于在AD中已经有了同名的计算机帐户，产生这种情况通常是由于非正常脱离
域，比如，在重装OS之前，没有退出域，或者一个计算机加入到域，又在“隶属于”中退出域，下次再加
入将遇到问题。
第29页
登录到本地或域
登录到对话框
登录域和本地对
计算机资源的访
问不同
 本地帐户
 域帐户
第30页
4.3 资源共享与发布
域模式下的资源共享
发布共享文件夹
发布打印机
查找特定对象
第31页
域模式下的资源共享
工作模式
广播式目录服务
域模式
在域成员计算机 上共享资源
域控制器上发布，通过“Actorory Director用户和计算机”工具
 哪些共享资源需要发布？
资源发布到目录中后，目录在域林中的传播会产生网络流量，因此，不是所有的共享资源
都要发布，只发布那些有众多用户共享的资源，例如网络打印机、文件服务器上的共享文
件夹等。
第32页
发布共享文件夹
在客户机
将文件夹共享是在客户机上完成的。要共享一个文
件夹，以管理员什么登录，操作步骤如下：
在文件夹上右单击，在快捷菜单中，执行“属性”
命令，打开“文件夹属性”对话框。
在“文件夹属性”对话框中，选择“共享”选项卡，选
择“共享此文件夹”单选钮。
在“共享名”文本框中可输入共享名，共享名用于
在发布共享时使用，此时输入共享名为office-file
第33页
发布共享文件夹（Cont1.）
 配置共享权限
当选择了文件夹共享后，还应当配置文件和文件夹权限，以防止
具有受限访问权限的用户通过网络连接到该文件夹。配置共享权
限， 步骤如下：
在“文件夹属性”对话框，选择“共享”选项卡，单击“权限” ，打开
文件夹权限对话框
在共享权限对话框中，单击“添加”按钮，打开“选择用户、计算
机或组”对话框。
在“选择用户、计算机或组”对话框中，选择要为其指派权限的所
有用户或组，单击“确定”，则所添加的用户和组连同 Everyone 组
都显示在共享权限列表中。
在名称列表中，单击一个用户或组，在下面的权限列表中可以
进行权限设置应用正确的权限。
在设置相应的权限后，单击 Everyone 组，然后单击“删除”按钮。
第34页
发布共享文件夹（Cont2.）
 在域控制器端
在“Active Directory 用户和计算机”管理单元中，右键单击“总公司/办公室”
组织单位，指向“新建”，然后单击“共享文件夹”命令。
在“新建对象 – 共享文件夹”屏幕上，在“名称”框中键入“公司文件”。
在“网络路径”名称框中，输入主机域名和共享文件夹的共享名，例如：
键入“\\s1.yuantong.local\office-file”，然后单击“确定”按钮
在共享文夹节点上右单击，执行“属性”命令，打开属性对话框。
单击“关键字”按钮，输入用于查找的关键字，例如“通知”作为“新值”，然
后单击“添加”按钮继续，单击“确定”以完成操作。
第35页
搜索共享文件夹
当共享资源在目录上发布后，用户登录域后，就可以通过网上邻居，在目录中按共享名或关键
字搜索 Active Directory 以查找此共享资源了。
双击“网上邻居”，打开网上邻居窗口
在“网上邻居”窗口，在“网络任务”区域，点击“搜索Active Directory”超连接，打开“查找”对
话框
在“查找”下拉列表中，
可以选择：用户、联系人
及组，计算机，打印机，
共享文件夹，打印机，组
织单位，自定义搜索，一
般性查询。
第36页
发布打印机
对于在 Windows Server 2003 家族或 Windows 2000 Server 家族中共享的打印机，在
创建共享打印机时，系统会自动将该打印机的相关信息发布到目录中。
 在客户端
添加新的打印机，在控制面板中，双击“打印机和传真”图标，
启动“添加打印机向导”
说明：
选择“连接到这台计算机的本地打
印机”单选钮，并清除“自动检测
并安装我的即插即用打印机”复选
框。
选择“网络打印机”单选钮，意味
着从网络中找一共享打印机安装到
本地
第37页
发布打印机（Cont.）
继续按照向导提示操作
在“打印机共享”对话窗口中，选择“共享”单选钮，在“共享名”文本框
中输入共享名“office-printer”
新安装的打印机将自动在 Active Directory 中发布，在Active Directory中
或网上邻居的查找活动目录窗口，可以查找共享打印机。

第38页
在Active Directory中手动发布打印机
对于已经安装好的打印机，可以使用Active Directory 用户和计
算机管理单元手动发布该打印机。具体步骤如下：
在某组织单位节点上右键单击，在快捷菜单中指向“新建”，执行“打印机”命令，
显示“新建对象 - 打印机”对话框。
在文本框中，键入打印机路径，即打印机连接计算机域名和打印机共享名，形
式为“\\server\share name”，然后单击“确定”按钮。
第39页
在Active Directory查找打印机
对于已经安装好的打印机，可以使用Active Directory 用户和计算机管理单元
手动发布该打印机。具体步骤如下：
在控制面板中，双击“打印机和传真”图标，打开“打印机和传
真”窗口，单击“添加打印机”超链接，启动“添加打印机向导”对
话框。
在“本地或网络打印机”对话窗口中，选择“网络打印机”单选钮，
在“指定打印机”对话窗口中，选择“在目录中查找一个打印机”
或“浏览打印机”
出现“查找打印机”对话框，单击“开始查找”以搜索在 Active
Directory 中发布的所有打印机。
在“查找打印机”页上的“搜索结果”中，双击一台共享打印机。
然后，单击“是”（默认值），将这台打印机设置为系统的默认
打印机，然后单击“下一步”按钮。最后单击“完成”以完成打印机
安装。
第40页
查找特定对象
域拚弃了工作组所使用的“网上邻居”的浏览清单，使用目录。但是，当计算机登
录到域后，要使用域中的目录，仍然需要点击网上邻居，在网上邻居窗口，通过
“搜索Acitive Directory”、“整个网络”等超链接来访问域中资源或工作组资源
使用Windows XP登录域后的
网上邻居窗口及查找域中资源
第41页
4.4 组策略
组策略、构成及功能
非本地组策略对象的编辑
新建非本地组策略
查看组策略应用结果集
综合举例
第42页
什么是组策略？
组策略就是管理员为用户和计算机定义并控制程序、网络资
源及操作系统行为的主要工具，它可以帮助管理员完成网络
中计算机、用户以及应用的全面管理，提高网络的安全性，
同时还可以提高网络管理的工作效率。
第43页
组策略的构成及功能
在组策略中，主要由基于注册表的设置和大量与安全有关的
设置构成。通过使用组策略可以设置各种软件、计算机和用
户策略。
例如，可使用组策略从桌面删除图标、自定义“开始”菜单、
简化“控制面板”等操作。此外，还可添加在计算机上（在计
算机启动或停止时，以及用户登录或注销时）运行的脚本，
甚至可配置Internet Explorer。
第44页
本地组策略和非本地组策略
 组策略对象的分类
本地组策略对象
本地组策略对象存储在各个本地计算机上，本地策略主要应用在没有域的网络或者一
台共享的计算机上。一台计算机上只存储一个本地组策略对象，本地组策略对象被保
存在隐藏文件夹 \System32\Group Policy中，可以通过组策略管理单元访问和查看本地
安全策略。
非本地组策略（又称网络组策略）
存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用，它们适用
于组策略对象所关联的站点、域或组织单位中的用户和计算机。
 应用策略对象
本地组策略
登录域后，非本地组策略（域策略）被应用
第45页
使用本地组策略管理单元
对于一台Windows 2000/XP/2003操作系统的计算机，通过组策略管理控制台（MMC）
可以设置用于本计算机的本地组策略。
（1）添加“组策略对象编辑器”管理单元，在“开始”菜单中，执行“运行…”命令，打
开“运行”对话框，输入行命令mmc，启动Microsoft Management Console（MMC，
管理控制台）
（2）在MMC主窗口中，执行“文件”菜单中的“添加/删除管理单元…”菜单命令，打
开“添加/删除管理单元”对话框。单击“添加”按钮，打开“添加独立管理单元”对话框，
在“可用的独立管理单元”列表中，列出了大量的独立管理单元，选择“组策略对象编
辑器”，选择“添加”按钮，启动“组策略向导”，输入组策略的名字，例如“本地计算
机策略”，然后返回“添加/删除管理单元”对话框，显示已经添加的管理单元。
第46页
使用本地组策略管理单元（Cont.）
（3）打开组策略对象编辑器，当添加完“组策略对象编辑器”管理单元后，
控制台节点树添加“本地计算机策略”节点
说明：
组策略编辑器是一个
名为gpedit.msc的
Microsoft 管理控制
台 (MMC) 管理单元，
用户也可以在“运行”
对话框中，输入
“gpedit.msc”命令，
单击“确定”，直接
打开组策略控制台
第47页
本地组策略配置
本地组策略是对本地计算机进行的配置，可以进行本地计算机配置和本地用户配
置两个方面的设置。
所有策略的设置都将保存到注册表的相关项目中，
对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，
对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。
介绍Windows XP Professional本地组策略的配置。
禁用注册表管理器
禁止更改显示属性
禁止更改“开始”菜单和“任务栏”
限制使用应用程序
第48页
实例1：禁用注册表管理器
打开组策略控制台，依次展开“用户设置 、管理模板”，点击“系统”节点
在右侧窗口中双击“阻止访问注册表编辑工具”策略，打开相应项目属性对话框，在
弹出的对话框中选择“已启用”单选钮，在“禁用后台运行regedit”下拉列表中，选择
“否”，完成策略的配置，计算机本地组策略即可生效。
第49页
实例2：禁止更改显示属性
 在组策略控制台中依次展开“用户配置/管理模板/控制面板”节点分支，单击“显示”
节点。
在窗口右侧，显示有关“显示”的各项策略，在相应策略项目上双击，打开策略配置对
话框，选择“已启用”即可。
 应启用的策略包括：
隐藏“桌面”选项卡、
隐藏“外观和主题”选项卡、
隐藏“保护程序”选项卡、
隐藏“设置”选项卡等各项策略，
还可以对桌面主题、屏幕保护程序等进行个性化设置。
第50页
实例3：禁止更改“开始”菜单和“任务栏”
依次展开“用户配置/管理模板”，单击“任务栏和开始菜单”节点，
在右侧窗格中双击“阻止更改‘任务栏和开始菜单’设置”策略，
在弹出的“设置”对话框中选择“已启用”复选项框即可。以后我
们在右键单击“开始”菜单或“任务栏”时，系统会出现一个错误
消息提示是某个设置禁止了这个操作。
第51页
实例4：限制使用应用程序
依次展开“用户配置/管理模板”分支，点击“系统”节点，然后在右侧窗口中双击“只
运行许可的Windows应用程序”策略，随后在弹出的对话框中选择“已启用”单选钮，
在“应用程序列表”区域，单击“显示…”按钮，打开一个“显示内容”对话框，在此单
击“添加”按钮来添加允许运行的应用程序即可。
说明：要获得一个应用程序信息，在“开始”菜单中，在菜单项上右单击，打开一个快
捷菜单，执行“属性”命令，将显示菜单命令对应的属性对话框，列出了该菜单命令对
应的程序信息，包括程序名和保存路径等信息。
第52页
非本地组策略对象的编辑
非本地组策略是在Windows域中建立的
组策略，又称网络组策略。网络组策略
是在域控制器上，通过组策略编辑器完
成的，具体操作步骤如下 ：
在域控制器上，打开 “Active
Directory用户和计算机” 控制台，在域
节点上右单击，执行“连接到域…”命令，
选择一个要管理的域，否则不能编辑策
略。
在域节点上右单击，执行“属性”命令，
打开域控制器属性对话框，选择“组策
略”选项卡
第53页
非本地组策略对象的编辑（Cont.）
在“组策略”选项卡中，单击“新建”按钮，可以新建一个组策略对象GPO；单击“编
辑”按钮，将打开活动目录“组策略编辑器”，可对选中的组策略对象进行编辑
可以将组策略对象
应用于活动目录结
构的各种对象，例
如站点、域、组织
单位OU等目录对
象。
第54页
非本地组策略的配置过程
实例1：设置登录界面不显示上次登录的用户名。
依次点击“计算机配置 / Windows设置 / 安全设置 / 本地策略 / 安全选项”节点
在右侧的策略列表中，双击“交互式登录：不显示上次的登录名”策略，打开策略属性
设置对话框，选择“已启用”，
第55页
新建非本地组策略
可以在组织单位或域上，新建非本地组策略对象，该GPO可以应用于其他OU，具体
步骤如下：
在管理工具中，双击“Active Directory 用户和计算机”图标，打开“Active Directory
用户和计算机”控制台。
单击相关域或组织单位节点，在“操作”菜单中，选择“属性”命令。
选择“组策略”选项卡。
单击“新建”创建一个策略对象，并为其指定有实际意义的名称，如“办公室域策略”。
第56页
查看组策略应用结果集
根据对象所在的容器不同，多个组策略对象（GPO）可以同时应用到一个域对象。例如，一个域级别的GPO设置可以被应用到
域中的所有计算机上，针对不同OU的GPO也可以分别被应用到那个OU的相应对象。
Windows XP提供了策略结果集RsoP（Resultant Set of Policy）工具和gpresult.exe程序，可以用来查看一个对象上GPO的应用
情况。
策略结果集RsoP
RsoP组件是一个用来显示本地计算机上策略应用情况的MMC组件，要打开这个组件，可以直接在命令行窗口输入RSoP.msc，或者先打开mmc，然后将“策略结
果集”添加到MMC中。对每个组策略设置，RsoP都会显示计算机设置（当前计算机的设置情况）以及GPO来源（哪个GPO最终产生了当前的设置）。
Gpresult工具
Gpresult.exe是一个命令行工具，
可以用来查看计算机上最后一次
被应用的组策略的详细状态
第57页
组策略应用综合举例
具体要求实：
（1）通过组策略设置当某个用户登录后，显示特制的界面，而不是标准的Windows桌面
（2）修改其Ctrl+Alt+Del时打开的“Windows 安全”对话框。
第58页
综合举例策略配置（1）
自定义系统外壳程序
使用组策略，创建一个限制用户对单个应用程序进行访问的 GPO，当用户登录后只能运行一
个特定的程序，例如财务部门的用户只能运行财务软件。
外壳程序为用户提供以下服务：（1）启动一个特定的应用程序，例如：一个特定的用户应用
程序，为方便起见本例用Windows自带的计算器程序calc.exe。（2）监视应用程序何时终止；
（3）注销用户。
设自定义外壳程序命名为myshell.vbs
（见教材）
第59页
综合举例策略配置（2）
组策略管理
将目标指向将接收该自定义外壳程序的用户，然后创建特定应用程序的桌面安全的组策略对象
首先，在“Active Directory用户和计算机”控制台树中，选择希望应用新策略的组织单元 (OU)，例如：
组织单元“人力资源部”。
在组织单元“人力资源部”中，定义一个用户Cherry。稍后将使用该帐户来测试组策略对象。
新建组策略对象。在域节点上，右单击，执行属性命令，在属性对话框中，选择“组策略”选项卡，新
建一个名为 HRGPO的GPO，该HRGPO属于域，下一步可以添加到一个OU中。
选择组织单元“人力资源部”，右键单击该 OU，执行“属性”命令，选择“组策略”。在组策略选项卡中，
单击“添加”按钮，打开“添加组策略对象链接”对话框
第60页
综合举例策略配置（3）
显示域或OU中的组策略对象，此时选择一个需要联接到当前OU的GPO，
例如上面建立的HRGPO（人力资源部组策略对象），单击“确定”按钮。
第61页
综合举例策略配置（4）
配置组策略对象
由于我们所创建的策略是基于用户的，而不是基于计算机本身，因此我们将只
修改策略对象的“用户配置”部分。
在自定义 GPO 的“用户配置”部分，单击“管理模版”节点，其中包括我们要修改的
策略。下列是在在HRGPO组策略对象中需要配置的每个策略。
“关机”命令
设置“系统/Ctrl+Alt+Delete”中的策略选项
自定义用户界面
第62页
综合举例策略配置（5）
应用组策略
创建了组策略对象并将其链接到 OU，并且将自定义外壳程序脚本（此例为myshell.vbs）和应用程序（此例为calc.exe）
安装到客户端相应的文件夹中。
Cherry用户第一次登录到域时，系统显示正在设置。
登录成功后，系统不显示Windows XP的标准桌面（未定义策略前），而是显示自定义的桌面
第63页
4.5 安全性设计
用户身份验证
授权
 访问控制
 启用“审核策略”中的“审核对象访问”设置
 事件查看器
第64页
用户身份验证
什么是用户身份验证？
身份验证是系统验证用户登录信息的过程。
本地登录
身份验证由工作站执行
登录域
身份验证由该域的域控制器执行
第65页
授权
什么是授权 ？
授权是验证用户有可以访问域中资源的正确权利和权限的过程。一旦用户帐户通过
了身份验证，就可以访问对象，允许访问的类型由指派给用户的权利和附加于对象
的权限决定。对于域中的对象，由该对象类型的对象管理器实施访问控制。
访问控制
访问控制（Access Control）是对访问网络上对象的用户和组进行身份验证的过程，
访问控制是实现授权的一种形式。
第66页
访问控制对象
访问控制对象
访问控制的对象为文件、打印机和服务器等，统称为对象。当对象创建时，Windows为对象指定所有者，默认情况下，
所有者为对象的创建者。
安全描述符
安全描述符是附加到对象上的一组安全信息。它指定了授予用户和组的对该对象的权限，以及该对象要审核的事件。
创建容器或对象时，Windows将自动创建安全描述符。
权限信息，它指定了可以访问对象的组或用户，以及授予这些组或对象的访问类型（权限），该部分称为自由访
问控制列表（DACL）
审核信息，被称为系统访问控制列表 （SACL），SACL指明访问对象时要审核的组和用户帐户、对于每个组或用
户需要审核的访问事件
权限
权限定义了授予用户或组对某个对象或对象属性的访问类型，例如文件的读权限就是附加在文件对象中权限的一个
典型例子。
审核
Windows允许审核用户对对象的访问，建立审核的跟踪记录、监视对象的创建和修改可以为管理员提供追踪潜在安
全性问题的方法，帮助管理员确保用户帐户的可用性并在可能出现安全性破坏事件时提供证据。
第67页
访问控制对象权限设置
附加到对象的权限取决于对象的
类型，不同类型的对象可以附加
的权限不同。在Windows 2000
中，常见的对象包括文件、文件
夹、共享文件夹、Active
Directory对象、注册表项、服务
以及打印机等
第68页
访问控制对象审核设置
审核策略的设置是在每一台计算机上，通过组策略管理单元的本地策略进行
设置的。对系统执行与安全性相关的审核有三个主要步骤：
在组策略控制台中打开要审核的事件类别，选定的事件类别组成了审核策
略。
设置安全日志的大小和行为。
如果已经选择了审核目录服务访问类别或审核对象访问类别，则必须确定
要监视访问的对象并相应地修改其安全描述符。
第69页
设置文件或文件夹的审核
（1）打开Windows 资源管理器，定位到想要审核的文件和文件夹。
（2）右键单击该文件或文件夹，单击“属性”，打开相应对象的属性对话框，在属性对话框中选择“安全”选项卡
（3）单击“高级”按钮，打开对项文件夹“高级安全设置”对话框
（4）单击“审核”选项卡
第70页
设置文件或文件夹的审核（Cont1.）
（5）单击“高级”按钮。打开“选择用户
和组”对话框，单击“立即查找”按钮。
第71页
设置文件或文件夹的审核（Cont2.）
（6）在“名称”列表中，选择用户名，然后单击“确定”
按钮，自动打开“审核项目”对话框
第72页
设置文件或文件夹的审核（Cont3.）
（8）审核项目设置完成后，单击“确定”。
（9）可能出现“安全”警示对话
框
第73页
启用“审核策略”中的“审核对象访问”设
置
如果出现“安全”
警示对话框，
（1）在运行对
话框中，执行
mmc命令，添加
本地组策略管理
单元
（2）双击“审核
对象访问”项目
第74页
事件查看器
当设置了审核项目后，管理员可以在查看审核的跟踪记录、监视对象的创建和修改。
用户可以在“计算机管理”控制台树中，选择“系统工具” 、“事件查看器”或者在“管理
工具”文件夹中，双击“事件查看器”图标，打开“事件查看器”窗口
第75页
本章小结
 网络中的工作组和域


目录和目录服务

组策略、构成及功能

工作组

非本地组策略对象的编辑

域及域控制器

新建非本地组策略

查看组策略应用结果集

综合举例子
 域和活动目录服务

安装活动目录服务

使用Active Directory服务

域用户与用户组管理

用户身份验证

将计算机加入到域

授权

登录到本地或域
 资源共享与发布
第76页
组策略

发布共享文件夹

发布打印机

查找特定对象

安全性设计

访问控制

访问对象安全描述符
权限
审核
 事件查看器