《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機指導(dǎo)》第6章windows 2000組管理及組策略

1、第6章 Windows 2000組管理及組策略,教學提示：組是指訪問目的和權(quán)限相同的一系列活動目錄或本地計算機對象的集合，可以包含用戶、計算機和其他組等。在Windows 2000中，通過組可以管理用戶和計算機對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機隊列，還可以建立組策略。使用組，主要是為了方便管理，提高效率。,教學目標：本章的主要目標是學習Windows 2000賬戶的基本管理操作，并掌握用戶配置文件

2、的設(shè)置方法。,6.1 組 類 型,組是Windows 2000 從Windows NT 系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機對象的集合，可以包含用戶、計算機和其他組等。在Windows 2000中，組可以用來管理用戶和計算機對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機隊列，還可以篩選組策略。使用組，主要是為了方便管理訪問目的和權(quán)限相同的一系列用戶和計算機賬戶。 系統(tǒng)管理

3、員在賦予用戶或計算機賬戶權(quán)限時，如果它們的權(quán)限各不相同，必須分別為它們設(shè)置；但是，如果它們的權(quán)限相同，還要分別進行設(shè)置，就多做許多重復(fù)性工作。有了組的概念之后，就可以將這些具有相同權(quán)限的用戶或計算機劃歸到一個組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來使這些用戶或計算機都具有相同的權(quán)限，這就大大減輕了系統(tǒng)管理員對賬戶和權(quán)限管理的工作。,6.2 組 的 管 理,注意：雖然可通過用戶賬戶登錄計算機，但不能通過組賬戶登錄計算機。,

4、使用組賬戶可以對同類用戶授予權(quán)限并簡化管理。如果用戶是可訪問某個資源的一個組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個用戶能訪問各種與工作相關(guān)的資源，只需將該用戶加入正確的組。 跟管理用戶賬戶一樣，Windows 2000使用惟一安全標識符來跟蹤組賬戶，即在刪除組賬戶之后又重新創(chuàng)建該賬戶時，所有權(quán)限和特權(quán)都必須重新設(shè)置。 6.2.1 創(chuàng)建新組 6.2.2 設(shè)置組屬性

5、 6.2.3 刪除組 6.2.4 將組轉(zhuǎn)換為另一種組類型 6.2.5 更改組作用域 6.2.6 委派控制組,6.2.1 創(chuàng)建新組,雖然系統(tǒng)提供了一些內(nèi)置組用于權(quán)限和安全設(shè)置，但是它們不能滿足特殊安全和靈活性的需要。所以，要想很好的管理用戶和計算機賬戶，必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建之后，就可以像使用內(nèi)置組一樣使用它們，如賦予權(quán)限和進行組成員的 添加。(1)

6、 打開Active Directory 用戶和計算機管理控制臺。(2) 在控制臺樹中，雙擊域節(jié)點。(3) 右擊要添加組的文件夾，單擊【新建】，然后單擊【組】。(4) 輸入新組的名稱。在默認情況下，用戶輸入的名稱還將作為新組的 Windows 2000 以前版本的名稱。如圖6.1所示。(5) 單擊所需的【組作用域】。(6) 單擊所需的【組類型】。選擇【全局】，單擊【確定】完成。,注意：如果用戶目前創(chuàng)建的組所屬的域處于

7、混合模式，則只能選擇具有“域本地”或“全局”作用域的安全組。,返回,,圖6.1 創(chuàng)建新組,返回,6.2.2 設(shè)置組屬性,一個新組被創(chuàng)建好之后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理人，該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對用戶和計算機賬戶的管理作用，用戶必須設(shè)置該組的屬性，來解決上面提出的問題。,返回,6.2.3 刪除組,當活動目錄中的組因太多而影響了對用戶和計算機賬戶的管理時，作為管理員可對自己創(chuàng)建的組

8、進行清理。例如，當目錄中有長期不使用的組或者是不符合網(wǎng)絡(luò)安全的組，可將其刪除。當域中的某個組織單元中所包含的用戶、計算機和聯(lián)系人等已經(jīng)被刪除或因為其他原因而不再發(fā)揮作用時，也可將其刪除。不過，管理員只能刪除自己創(chuàng)建的組，而不能刪除由系統(tǒng)提供的內(nèi)置組。 要刪除組，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的組所在的組織單元，使詳細資料窗口中列出該組織單元的內(nèi)容。然后右擊要刪除的組，從彈出的快捷菜單中選擇【刪除】命令，這時系

9、統(tǒng)會打開信息確認框，單擊【是】按鈕即完成組的刪除。如圖6.4所示。,返回,,圖6.4 刪除組,返回,6.2.4 將組轉(zhuǎn)換為另一種組類型,用戶密碼是用戶在進行系統(tǒng)登錄時所提供的最重要的安全憑證，因此當用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進行重新設(shè)置。在設(shè)置密碼時，應(yīng)注意避免過于簡單，以免被他人輕易破解。,返回,,圖6.5 組類型和作用域轉(zhuǎn)換,返回,6

10、.2.5 更改組作用域,(1) 打開Active Directory 用戶和計算機管理控制臺。(2) 在控制臺樹中，雙擊域節(jié)點。 (3) 單擊包含組的文件夾。(4) 在詳細信息窗口中，右擊組，然后單擊【屬性】。(5) 在【常規(guī)】選項卡的【組作用域】下，單擊【本地域】、【全局】或【通用】，單擊【確定】。如圖6.5所示。,返回,6.2.6 委派控制組,用戶密碼是用戶在進行系統(tǒng)登錄時所提供的最重要的安全憑證，因

11、此當用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，用戶可以通過Windows 2000 提供的修改密碼工具對用戶密碼進行重新設(shè)置。在設(shè)置密碼時，應(yīng)注意避免過于簡單，以免被他人輕易破解。,返回,6.3 組策略的創(chuàng)建,在Windows 98的安裝盤中有一個系統(tǒng)策略編輯器，可以對用戶和用戶組進行各種設(shè)置，系統(tǒng)則根據(jù)這些設(shè)置自動修改注冊表的相關(guān)內(nèi)容。Windows 2000也提供了一個與之相類似的但功能卻要強大得多的策略編輯器，就是組

12、策略，它能通過修改注冊表對系統(tǒng)的各種特殊屬性進行設(shè)置，從而滿足用戶對系統(tǒng)進行相關(guān)設(shè)置和限制的需要。 組策略是在Windows 2000 環(huán)境下管理工作站安全措施的基礎(chǔ)技術(shù) 組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件，例如，用戶可用的程序、用戶桌面上出現(xiàn)的程序以及【開始】菜單選項。 6.3.1 組策略與Active Directory的關(guān)系 6.3.2 組

13、策略的創(chuàng)建,6.3.1 組策略與Active Directory的關(guān)系,組策略與Active Directory 用戶與計算機中的域和文件夾以及MMC管理單元相關(guān)聯(lián)，組策略授予的權(quán)限應(yīng)用到存儲于該文件夾中的計算機上。使用Active Directory站點和服務(wù)管理單元還可將組策略應(yīng)用到站點。子文件夾從父文件夾繼承組策略，子文件夾也可擁有自己的組策略對象。指派給一個文件夾的組策略可能不止一個。組策略是安全組的補充，可以將單一安全配置文

14、件應(yīng)用到多臺計算機上。它加強了一致性并易于管理。組策略對象(GPO)包含實現(xiàn)多種類型安全策略的權(quán)限和參數(shù)?？傊M策略可由父站點傳遞到子站點和局域網(wǎng) 位于組策略對象【安全設(shè)置】節(jié)點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)、公鑰策略和Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說，策略設(shè)置是在域范圍內(nèi)進行的。,返回,6.3.2 組策略的創(chuàng)建

15、,1．在非域控制器上創(chuàng)建本地組策略2．在域控制器上創(chuàng)建全局組策略對象3．將組策略對象鏈接到站點、域或組織單位,返回,1．在非域控制器上創(chuàng)建本地組策略,單擊【開始】|【運行】，在【運行】對話框的【打開】欄中輸入gpedit.msc，單擊【確定】，即可啟動Windows 2000組策略管理窗口。如圖6.10所示。,,圖6.10 Windows 2000組策略管理窗口,返回,2．在域控制器上創(chuàng)建全局組策略對象,在一個域或組織單位中編輯組

16、策略的途徑有多種。這里介紹兩種。 方法一：從【開始】｜【運行】，然后輸入：mmc.exe 啟動MMC，選擇【控制臺】|【增加/刪除】插件，然后選擇【組策略】|【瀏覽】，在AD域內(nèi)的組策略對象就會顯示出來，可以選擇一個或多個GPO進行編輯。 方法二：在【Active Directory 用戶和計算機】管理控制臺中，右擊一個域或組織單位，在菜單中選擇【屬性】，然后選擇【組策略】標簽。具體步驟如下。(1)

17、 打開 Active Directory 用戶和計算機，創(chuàng)建鏈接到域或組織單位的組策略對象?；虼蜷_ Active Directory 站點和服務(wù)，創(chuàng)建鏈接到站點的組策略對象。(2) 在控制臺中，右擊新建的組策略對象要鏈接到的站點、域或組織單位。(保存在當前域中。)(3) 單擊【屬性】，然后單擊【組策略】選項卡, 如圖 6.11。(4) 單擊【新建】，輸入組策略對象的名稱，然后單擊【關(guān)閉】。,返回,,圖6.11 創(chuàng)建全局組

18、策略,返回,3．將組策略對象鏈接到站點、域或組織單位,(1) 打開 Active Directory 用戶和計算機，創(chuàng)建鏈接到域或組織單位的組策略對象，或打開 Active Directory 站點和服務(wù)，創(chuàng)建鏈接到站點的組策略對象。(2) 在控制臺中，右擊組策略對象應(yīng)該鏈接到的站點、域或組織單位。(3) 單擊【屬性】，然后單擊【組策略】選項卡。(4) 要將組策略對象添加到【組策略對象鏈接】列表中，請單擊【添加】。出現(xiàn)【添

19、加組策略對象鏈接】對話框。(5) 單擊【全部】選項卡，單擊所需的組策略對象，然后再單擊【確定】。(6) 在站點、域或組織單位的【屬性】對話框中，單擊【確定】。,返回,6.4 組策略的應(yīng)用,在Windows 2000操作系統(tǒng)中，使用組策略可以定義用戶和計算機的配置。 存儲在域控制器中的非本地組策略對象只能在Active Directory環(huán)境下使用。 本地組策略對象存儲在各個本地計算機上。

20、 使用組策略，我們可以對用戶工作環(huán)境狀態(tài)只定義一次，然后按照系統(tǒng)管理員定義的策略，對用戶和計算機進行管理。 6.4.1 組策略應(yīng)用順序 6.4.2 組策略應(yīng)用實例,6.4.1 組策略應(yīng)用順序,用戶及計算機策略：用戶策略設(shè)置位于組策略中【用戶配置】節(jié)點下，在用戶登錄時獲得。計算機策略設(shè)置位于組策略中【計算機配置】節(jié)點下，在計算機啟動時獲得。用戶和計算機是接收組策略的兩個Active Dire

21、ctory 對象類型。,返回,6.4.2 組策略應(yīng)用實例,1. 控制光驅(qū)的自動運行 2. 禁止運行指定的程序 出于系統(tǒng)安全和其他原因，有些程序我們可能不希望用戶隨意運行，這可以在組策略中禁止用戶運行指定的程序。,返回,6.5 組策略安全,6.5.1 組策略和AD 6.5.2 GPO的多樣性和繼承,6.5.1 組策略和AD,組策略包括應(yīng)用于域或計算機中的大量安全權(quán)限配置文件。一個組策略對象可

22、以應(yīng)用到局域網(wǎng)內(nèi)的所有計算機。單個計算機啟動時，組策略得以應(yīng)用，如果作出改動時沒有重新啟動計算機，組策略會得到定期刷新。 只有運行Windows 2000的系統(tǒng)可以執(zhí)行組策略，運行Windows NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構(gòu)的組策略對象。 要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持，利用AD可以定義一個集中的策略，所有的Windows 2000服務(wù)器和工

23、作站都可以采用它。然而，每臺運行Windows 2000的計算機都有一個本地GPO(駐留在本地計算機文件系統(tǒng)上的GPO)，通過本地GPO，可以為每臺工作站指定一個策略，它在AD域中不起作用。 本地GPO支持除軟件安裝和文件夾重定向之外的所有默認擴展，如果想充分發(fā)揮GPO的功能，需要AD的支持。,返回,6.5.2 GPO的多樣性和繼承,在AD中，可以在域、組織單位或站點3個不同的層次上定義GPO。OU是AD中的一個容器

24、，可以指派它對用戶、組或計算機等對象進行管理，站點是網(wǎng)絡(luò)上子網(wǎng)的集合，站點形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計算機配置和用戶配置兩個大類，只有用戶和計算機可以使用GPO，像打印機對象甚至用戶組都不能應(yīng)用GPO。 根據(jù)GPO在AD名字空間中的不同位置，可以有多個GPO對用戶對象或計算機對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Windows 2000通過下面的方式執(zhí)行GPO。

25、首先 ，操作系統(tǒng)執(zhí)行現(xiàn)有的本地系統(tǒng)上的策略，然后， Windows 2000 依次執(zhí)行定義的站點級的GPO、域一級的GPO和基于OU的GPO，微軟把這一優(yōu)先順序取其首個字母縮寫為LSDOU(執(zhí)行的順序依次是本地Local、站點 Site 、域Domain、OU層次的GPO)，用戶可以在這個鏈上的許多層次上定義GPO。,返回,6.6 上 機 指 導(dǎo),6.6.1 建立sales組并將用戶Administrator加入該組6.6.2