用户与群组

用户与群组

---

 

5.1用户与群组

5.2利用配置文件来管理使用者工作环境

在运行Windows Server  操作系统的计算机上，用户配置文件将自动创建并维护本地计算机上的每个用户工作环境的桌面设置，包括个人显示设置、网络和打印机连接，以及其他指定的设置。当用户第一次登录到计算机的时候，系统为每个独立用户创建一个用户配置文件。

在日常系统管理工作中，使用用户配置文件可以为我们提供以下方便：多个用户可以使用同一台计算机。当多个用户在同一台计算机中登录网络时，用户将收到上次注销时的桌面设置，而不受其他用户设置影响。

创建本地用户配置文件在用户第一次登录到计算机上时被创建，这个本地用户配置文件被储存在计算机的本地硬盘驱动器上。任何对本地用户配置文件所作的更改都只对发生改变的计算机产生作用。

创建漫游性用户配置文件一个本地配置文件的副本被复制及储存在网络上的一个服务器共享上。当用户每次登录到网络上的任一台计算机上时，这个文件都会被下载，并且当用户注销时，任何对漫游用户配置文件的更改都会与服务器的拷贝同步。

创建强制性用户配置文件是一种特殊类型的配置文件，使用它管理员可为用户指定特殊的设置。只有系统管理员才能对强制用户配置文件作修改。当用户从系统注销时，用户对桌面做出的修改就会丢失。

5.2.1用户配置文件文件夹

n 位于%SystemDrive%\用户文件夹

n 使用者第1次登入的起始设定

• Default + %SystemDrive%\ProgramData
• Default文件夹是隐藏式文件夹
• ProgramData储存着所有使用者的共同设定

n 也可以透过【开始Ü控制面板Ü系统Ü高级Ü点击 用户配置文件右边的 设置】来查看

5.2.2漫游与强制用户配置文件

让域使用者不论到域内任何一台计算机登入时，都能够使用相同的工作环境

漫游用户配置文件(roaming user profile)工作环境的变更会自动回存到漫游用户配置文件

强制用户配置文件(mandatory user profile)工作环境的变更并不会被回存到强制用户配置文件

在Active Directory中，管理员可以为用户配置文件指派服务器位置。如果在用户的域账户中输入了用户配置文件的路径，当用户注销时，该用户本地用户配置文件的副本将保存到本地和用户配置文件路径位置。用户下次登录时，用户配置文件路径位置中存储的配置文件将与本地用户配置文件文件夹中的副本进行比较，然后打开最新的配置文件副本。这样不论用户在什么地方登录，只要账户相同，都可以使用用户配置文件中的设置和文档，大大简化了用户环境的配置。

指定漫游用户配置文件给使用者在服务器上建立共享文件夹，并确定使用者对此文件夹的共享权限至少要为参与者(也就是变更的权限)到域控制器上利用Domain Admins或Enterprise Admins群组成员的身分登入，然后透过Active Directory用户和计算机来设定使用者Alex到网域内的任何一台计算机登入时，系统就会自动在共享路径\\Server1\Profiles内建立漫游用户策略文件文件夹Alex.V2，不过此时该文件夹内尚未包含任何数据指定漫游用户配置文件给使用者另外，用户配置文件夹创建后只能由对应用户打开，其他用户（包括系统管理员）访问时会出错的，这就保证了用户配置文件的私密性。若用户第一次利用此计算机登入，则其工作环境是透过Default来设定。若用户之前曾经利用此计算机登入过，则其工作环境是透过他的本机用户配置文件来设定。使用者注销时，其工作环境会被储存到漫游内与本机用户配置文件内。以后该使用者到域内的任何一台计算机登入时，都会读取漫游用户配置文件。

实验环境：

　　使用VM虚拟机，客户端为Windows XP，服务器端为Windows Server 2008企业版。

　　首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。

实验步骤：

　　1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图

　　2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

　　3、进一步权限设置，如图

　　这样权限方面问题已经设置完成

　　4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

　　192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹

　　主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。

　　现在配置基本完成，我们从客户端登录一下试试看

　　初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。

　　回到服务器上我们会看到生成好多文件，刚才这里面还是空的

　　这些文件就是我们注销的时候下面提示正在保存配置文件的时候，其实就是把文件写入我们服务器里面了。

　　我们再次重新登陆一下

　　打开我的电脑会发现多了一个磁盘映射

　　这就是我们专门为此用户设计的一个共享文件夹，用户可以把重要的数据等存放在这里，其实就是存放在服务器上，相对来说就更加安全了。

　　至此，漫游用户配置文件就配置完毕了。

　　小提示：如果配置过程中出现一些问题，那么多数是权限设置问题。这时候需要检查一下权限即可。其他方面一般很少出现问题。另外，如果，服务器上共享的文件夹只给予只读权限，那么，用户配置文件所有内容在下次登录的时候都会失效，像还原卡一样。因为，在注销时向服务器更新配置文件的时候是没有权限的，而下次登录的时候再次向服务器请求配置文件，自然而然就是旧的了，而不是最新的。

　

5.3本机使用者与群组账户管理

5.3.1内置账户及新建修改删除本机用户帐户

Administrator

拥有最高的权限，您可以利用它来管理计算机，例如建立/修改/删除用户与组帐户、设定安全原则、建立打印机、设定用户权力等

您无法将此账户删除，不过为了更安全起见，建议将其改名

Guest

它是供没有账户的使用者来临时使用的，它只有很小的权限

您可以更改其名称，但是无法将它删除。此账户内定是未开放的(disabled)

5.3.2内置本地组及新建修改删除组

Administrators

Backup Operators

Guests

Network Configuration Operators

Performance Monitor Users

Power Users

Remote Desktop Users

Users

善用群组来管理用户帐户的权限与权利，以减轻管理负担

5.3.3特殊组帐户

Everyone

Authenticated Users

Interactive

Network

Anonymous Logon

Dialup

5.3.4安全标识符(SID)

每一个用户账户都有一个唯一的安全标识符(security identifier,SID)系统内部会利用SID来代表该使用者，同时权限与权力也都是通过SID来记录。

实验   本地用户和组

实验目的：

熟练掌握Windows Server 2008用户帐户的作用

实验要求：

1、Windows 2000/XP/2008操作系统

 

注意事项：

内置用户GUEST的使用场合

 

操作步骤：

1、 创建本地用户帐户

步骤：”管理工具”è计算机管理è系统工具è本地用户和组è用户è在右边页面鼠标右击è新用户  输入所需信息即可

2、 创建本地组

步骤：”管理工具”è计算机管理è系统工具è本地用户和组织è用户è在右边页面鼠标右击è选择”新建组”  填写相关信息完成，如下图

3、 实验将本地用户添加到本地组中，同时给本地组指派权限

步骤：”管理工具”è计算机管理è系统工具è本地用户和组织è用户è在右边页面鼠标右击è选择要添加成员的组è右击选择”添加到组”è在组属性中选择添加输入所要添加的本地用户名称完成

 

实验小结：

5.4组策略与安全设定

5.4.1本地组策略概述

组策略就是将系统重要的配置功能汇集成各种配置模块供管理人员直接使用，从而达到方便管理计算机的目的。简而言之，组策略是一种用来修改注册表设置项目的有效工具。 例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。Windows 2008系统默认已经安装了组策略组件，在开始菜单中单击【运行】菜单项，然后在【打开】编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。在组策略中，分为“计算机配置”与“用户配置”两部分。

1、计算机配置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。

2、用户配置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。

当计算机启动时， 就会应用计算机配置中的内容。而用户配置是当用户登录时所应用的内容。

软件设置：此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。

WINDOWS设置：在这里，系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内，分别有不同的设置项目：在计算机设置的WINDOWS设置中，能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中，能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。

系统管理模板：所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板，能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。

策略继承：在AD结构中，若X容器下层还有Y容器，则Y容器便是所谓的”子容器“，X，Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。在整个继承关系中，最上层为站点，其下层为域与组织单位。若有多层组织单位，则下层组织单位会继承上层组织单位的GPO。

策略累加：策略累加机制和组策略的应用顺序有密切的关系，假设将域FLAG。COM连接到GPO-F，将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外，还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略，然后再应用本身的组策略，当上层的设置项目与下层的设置项目不同时，组策略的效果可以相加，但若是对同一个项目做不同的设置，则先应用的策略会被后来应用的策略覆盖。

管理员可以针对站点、域与组织单元设置组策略。这些组策略应用时的范围不同。还可以对本地计算机设置本地组策略，使组策略只应用于该计算机。

组策略的继承顺序依次为“本地组策略”、“站点组策略”、“域组策略”、“组织单元组策略”。如果其中有的策略冲突，将以后应用的策略为基准。例如本地组策略与站点组策略冲突。将以站点组策略为准而施行。

本地计算机原则与域组策略有冲突的话，以域的设定优先。“计算机配置”和“用户配置”发生冲突时，大多情况以“计算机配置”为先。

本机计算机原则实例演练

n 计算机设定实例演练

• 停用 显示关机事件追踪器

n 用户设定实例演练

• 移除「关机」、「重新启动」、「睡眠」及「休眠」命令
• 移除浏览器Internet Explorer的「安全性」与「联机」标签
• 将「控制台」内的「Windows防火墙」隐藏起来

5.4.2本地安全策略

安全设置策略是一个广泛的概念，它由很多其他策略构成，例如帐户策略、本地策略和软件限制策略等。 安全是用户在使用计算机时最关切的问题。在组策略中，Windows Server 将安全设置详细的分层。包括帐户策略（登录密码、帐户锁定等）、本地策略（审核、权限分配等）、公钥策略（加密文件等）、软件限制策略和IP安全策略。用户合理的使用这些策略，可以极大的提高计算机安全性。

帐户策略 登录到计算机，让计算机进行身份验证，这是安全问题的第一步，如果让非法用户登录，后果一定很严重，把好第一关的重要性自然不言而喻。 帐户策略中常用的两组策略为密码策略与帐户锁定策略。帐户锁定阈值帐户锁定时间自动解除锁定手动解除锁定重设帐户锁定计数器的时间间隔

密码策略① 密码必须符合复杂性要求：如果密码不具备系统要求的复杂性，系统会要求用户重新输入，直到用户输入的密码符合要求。但这里的复杂性不是指密码的长度。 ② 密码长度最小值：指密码长度不应小于该值。如果小于该值，系统会要求用户重新输入。  ③ 密码最长使用期限：指用户最长使用期限，用户登录时，如果使用期限已到，系统会要求用户更改密码。 ④ 密码最短使用期限：指用户最短使用期限，如果使用期限没到，系统不允许用户更改密码。 ⑤ 强制密码历史：记录用户曾经使用的密码，使用户在更改密码时，可以重复使用旧密码。

账户锁定策略① 复位帐户锁定计数器：在用户没有登录时，计数器值为0，用户登录失败一次，计数器加1，如果登录成功，计数器归0，若锁定计数器的值等于帐户锁定阈值。该帐户即被锁定。 ② 帐户锁定时间：设置将用户锁定多长时间，在这段时间之后，帐户会自动解除锁定，如果该值为0，表示永远不会解除锁定，必须以管理员身份登录后解除锁定。

 ③ 帐户锁定阈值：设置帐户登录失败次数，若在限次内未成功登录到计算机，将锁定该帐户

本地策略－用户权限的分配允许本机登入拒绝本机登入将工作站新增至网域关闭系统从网络存取这台计算机拒绝从网络存取这台计算机强制从远程系统进行关闭备份文件及目录还原档案及目录管理审核及安全性记录变更系统时间载入及卸除设备驱动器取得档案或其他对象的拥有权本机原则－安全选项交互式登录：不要求按CTRL+ALT+DEL键交互式登录：不要显示上次登入的使用者名称交互式登录：先前域控制器无法使用时的登入缓存次数，默认记录10个用户。交互式登录：在密码过期前提示用户变更密码交互式登录：给登入用户的消息本文、给登入 用户的消息标题关机：允许不登入就将系统关机

审核资源的使用透过审核功能可以让系统管理员来追踪是否有用户存取计算机内的资源、追踪计算机运作情况等

n 审核程序

• 启用审核策略：需Administrators群组的成员
• 设定欲审核的资源:需具备管理审核及安全性记录权利，预设是Administrators拥有此权利

n 可透过本机安全策略、网域安全策略、域控制器安全策略或组织单位的组策略来设定

可审核的项目

n 审核目录服务存取

n 审核系统事件

n 审核物件存取

n 审核策略变更

n 审核特殊权限使用

n 审核账户登入事件

n 审核账户管理

n 审核登入事件

审核程序追踪

审核实例演练

n 审核登入事件

n 审核档案的存取行为

n 审核打印机的存取行为

n 审核Active Directory对象的存取行为

组策略基本观念

n 域组策略

• 会被套用到域内的所有计算机与用户

n 组织单位组策略

• 会被套用到该组织单位内的所有计算机与用户

n 组织单位会继承域组策略的设定

• 有效设定=域组策略+组织单位组策略
• 若两者之间的设定有冲突的话，默认是以组织单位的原则设定优先

    ＊ 可透过禁止继承与强制继承来变更默认值

n 透过GPO来设定组策略，内建有两个GPO:

• Default Domain Policy
• Default Domain Controllers Policy

组策略实例演练

n 针对组织单位GPO内的 使用者设定 来禁止使用者执行浏览器Internet Explorer

组策略例外排除

n 原则设定会被套用到网域或组织单位内的所有用户与计算机。

n 可透过群组原则筛选来将所选的用户或计算机排除、不套用。

域安全策略

n 透过群组原则管理来管理

n 域内的所有计算机都会受到网域安全策略的影响

n 域内计算机的本机安全策略与域安全策略的设定有冲突时，以域安全策略的设定优先

n 只有在域安全策略是被设定成尚未定义 时，本机安全策略的设定才有效，若域安全策略是启用或停用的话，则本机安全策略的设定无效

域安全策略的套用时机

n 本机安全策略有异动时

n 本机计算机重新启动时

n 定时套用

• 域控制器：每隔5分钟自动套用
• 非域控制器:每隔90到120分钟自动套用
• 所有计算机每隔16小时会自动强制套用网域安全策略内的所有设定，即使原则设定没有异动

n 手动套用

• gpupdate
• gpupdate /force

n 多台域控制器的情况:PDC操作主机

域控制器安全策略

n 透过群组原则管理来设定

n 位于组织单位Domain Controllers内的所有域控制器都会受到影响

n 域控制器安全策略与域安全策略的设定有冲突时，预设是以域控制站安全策略的设定优先，也就是域安全策略自动无效

• 帐户策略 例外：域安全策略的帐户策略设定对域内所有的用户都有效，包含组织单位Domain Controllers ，也就是域控制器安全策略的帐户策略对Domain Controllers内的使用者并没有作用

n 域控制器安全策略的设定必须要套用到域控制器后，这些设定对域控制器才有作用。套用时机如前所述

首选项与原则设定

n 只有域内的组策略才有首选项功能，本机计算机原则并无此功能

n 首选项非强制性，客户端可自行变更设定值(故适合于当作默认值)，然而原则设定是强制性设定，客户端套用这些设定后就无法变更

n 原则设定：客户端计算机的操作系统或应用程序需支持组策略。 首选项：不需此要求

n 筛选设定

• 原则设定:需针对整个GPO来筛选
• 首选项：可以针对单一设定项目来筛选

n 原则设定优先于首选项

n 客户端计算机需安装首选项的client-side extension(CSE)

首选项

n Windows设定

• 以前可能需要透过撰写脚本(scripts)才做得到的事情，现在可以透过此处来设定，不需要再撰写脚本，例如磁盘驱动器对应、环境变量设定、登录值设定、建立文件夹与档案等

n 控制台设定

• 用来设定客户端控制台内的项目，例如地区选项、电源选项、打印机等

组策略的配置及使用

一、 实验名称

组策略的配置及使用

二、 实验类型

验证性实验

三、 实验目的

   通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。

四、 实验内容

（1）通过控制台访问组策略

（2）对用户设置密码策略

（3）对用户设置登录策略

（4）退出系统时清除最近打开的文件的历史

五、 相关知识

1、组策略对象的类型

组策略对象有两种类型：本地和非本地。

本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被 非本地组策略对象覆盖，所以仍然可以发挥作用。

非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。

2、组策略模板

组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。

3、组策略设置的类型

通过编辑组策略对象可以对组策略设置进行配置，可以进行配置的组策略类型有：

◆ 管理模板。用于配置应用程序以及用户桌面环境的基于注册表的设置。

◆ 安全设置。用于配置本地计算机、域和网络安全性的设置。

◆ 软件安装。用于将管理软件的安装、更新或删除操作集中起来的设置。

◆ 脚本。指定了系统在何时运行特定的脚本。

◆ 远程安装服务。指当通过“远程安装服务（RIS）”运行“客户安装向导”时，用于控制用户可用选项的设置。

◆ Internet Explorer维护。指用于管理和自定义Microsoft Internet Explorer的设置。

◆ 文件夹重定向。用于将特定的用户配置文件夹存储到网络服务器上的设置。

4、计算机和用户的组策略设置

存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。

通常可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。

（1）计算机配置

计算机配置的组策略设置包括操作系统行为、桌面行为、安全设置、计算机启动和关机脚本、计算机分配的应用程序选项和应用程序设置。在操作系统初始化和整个系统刷新间隔期间，系统将会应用与计算机有关的组策略设置。

（2）用户配置

用户的组策略设置包括特定的操作系统行为、桌面设置、安全设置、分配和发布的应用程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。在用户登录计算机以及整个策略刷新间隔期间，系统将会应用与用户相关的组策略设置。

一般来说，当计算机组策略设置和用户组策略发生冲突时，系统将优先应用计算机组策略设置。

六、 实验环境

联网的多台计算机，操作系统为Windows XP，要求分组操作完成。

七、 参考步骤

（1）通过控制台访问组策略

① 单击“开始”→“运行”，输入“mmc”，回车后进入控制台窗口。

② 单击控制台窗口的“文件”→“添加/删除管理单元”，在弹出窗口单击“添加”，之后选择“组策略对象编辑器”并单击“添加”，在下一步的“选择组策略对象”对话框中选择对象。

③ 由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’的焦点”复选框如图所示。

最后添加进来的组策略如图所示。

（2）对用户设置密码策略

①在“组策略编辑器”窗口中，依次展开“计算机配置”－“Windows设置”－“安全设置”－“账户策略”－“密码策略”，如图所示。

 

 

②打开“密码策略”，双击“密码必须符合复杂性要求”，弹出如图所示的界面。

 

③在“密码必须符合复杂性要求属性”对话框中选择“定义这个策略设置”，然后选择“已启用”，再单击“确定”按钮。

④此时更改或设置用户密码，将弹出一个对话框，提示不能完成用户的密码更改，说明该策略已起作用，如图所示。

 

（3）对用户设置登录策略

①在“组策略编辑器”窗口中，依次展开“计算机配置”－“Windows设置”－“安全设置”－“本地策略”－“用户权利指派”，如图所示。

 

②在“用户权限分配”中双击“在本地登录”，弹出如图所示的对话框。

③在“允许在本地登录”对话框中，确保用户b1不在“允许本地登录”中，然后注销当前用户。

④当出现登录界面时，以用户b1身份来登录，输入用户名和密码后，单击“确定”按钮，系统将提示“此系统的本地策略不允许您交互登录”，如图所示。

 

⑤此时，以管理员身份重新登录到系统中，并修改组策略，确保用户b1在“允许本地登录”中。

⑥注销并重新以b1身份登录，此时，该用户就可以登录到系统中。

（4）退出系统时清除最近打开的文件的历史

①在“组策略编辑器”窗口中，依次展开“用户配置”－“管理模板”－“任务栏和开始菜单”，如图所示。

②在“任务栏和开始菜单”中双击“退出系统时清除最近打开的文件的历史”，弹出如图所示的对话框。单击应用。

 

③此后用户退出时系统将会删除最近打开的文档的历史记录，因此，用户登录时“开始”菜单上的“文档”菜单总是空的。

八、 实验拓展

根据以下要求对Windows Server 2003服务器进行安全策略配置：

步骤（1）配置账户策略

密码策略：启用密码必须符合复杂性要求，密码最短使用期限改成0天

账户锁定策略：账户锁定阈值 5 次，账户锁定时间 10分钟

步骤（2）配置本地策略之审核策略

审核策略更改　　  成功　失败   审核登录事件　　成功　失败

审核对象访问　　　　　  失败   审核系统事件　　成功　失败

审核账户登录事件　成功　失败      审核账户管理　　成功　失败

组策略

组策略概述 1、 组策略的概念 （1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。 （2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。 （3）组策略配置类型有：计算机配置和用户配置。 （4）组策略分为：本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、 组策略的应用顺序 （1）本地组策略 （2）域组策略 （3）域控制器组策略 （4）组织单元组策略 组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤：右击-属性-“组策略”选项卡-“编辑”按钮 3、用组策略管理用户工作环境 组策略设置实例 ◆运行组策略 在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序 。使用上面的方法，打开的组策略对象就是当前的计算机。 ◆“桌面”设置 Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例： 位置：“组策略控制台→用户配置→管理模板→桌面” 1、隐藏桌面的系统图标 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。 比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。 2、退出时不保存桌面设置 此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。 在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3、屏蔽“清理桌面向导”功能 “清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。 　　打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。 ◆个性化“任务栏”和“开始”菜单 　　显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例： 　　位置：“组策略控制台→用户配置→管理模板→任务栏和开始菜单” 1、给“开始”菜单减肥 　　 如果觉得Windows的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。 2、保护好“任务栏”和“开始”菜单 　 　如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。 3、禁止“注销”和“关机” 　　 当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。 　　 这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框　中的“关机”选项 。另外需要注意的是，此设置虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。 　　 提示：如果启用了“删除开始菜单上的‘注销’”，则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单（只能通过手工修改注册表的方法）。这个设置只影响开始菜单，它不影响 “Windows 任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法注销。 4、利用组策略保护个人文档隐私（Windows 2000/XP/2003） 　　 Windows有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和打开过哪些文件），有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。 　　 另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。 ◆IE设置 　　 微软的Internet Explorer让我们可以轻松地在互联网上遨游，但要想用好Internet Explorer，则必须将它配置好。在IE浏览器的“Internet选项”窗口中，提供了比较全面的设置选项（例如：“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。下面来看具体实例： 　　 位置：“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer（需添加inetres.adm模板文件）” 1、 禁用“在新窗口中打开”菜单项 　　 出于对安全的考虑，有时候我们有必要屏蔽IE的一些功能菜单，组策略提供了丰富的设置项目，比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。 　　 打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”，然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后，用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时，该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用，后者禁止用户通过单击“文件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器。 　　 提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出广告窗口的效果。 2、限制IE浏览器的保存功能 　　 在使用IE浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为...’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。 　　 如果不希望别人对IE浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet选项...’”策略启用。另外，根据个人的需要，在该窗格中还可以禁用其他项目。 3、禁用“Internet 选项”控制面板 　　 上面提到了“禁用Internet选项”的功能，使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用Internet选项中的控制模板项目，因此给具体应用带来麻烦。通过下面的组策略设置方法，则可以实现这一要求： 　　打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板，会发现“常规”项目已经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。 4、禁止修改IE浏览器的主页 如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”，然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。 　　 启用此策略后，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。 　　 提示：如果设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略，则无须设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。 5、自定义IE工具栏 IE工具栏的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表的方法，不过并不直观，现在我们用“组策略”可以更方便地达到效果，打造属于我们自己的IE。 　　打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，可以自定义浏览器工具栏的背景图片，点击“浏览”选择一个BMP的位图文件即可（注意：工具栏背景应该与工具栏大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。 　　接下来，我们要在IE的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里也可以很轻松地完成。 　　 点击“添加”，在“工具栏标题”中输人“我的QQ”，在“工具栏操作”中选择QQ程序的路径，最后再选择好“颜色图标”和“灰度图标”的路径（如果你不知道怎么提取这两个图标，可以请EXeScope这个软件来帮忙，在各大站点都可以下载）。设置完成后点“确定”，再次打开IE后就可以看到修改的效果了。 ◆用组策略打造系统级功能 1、隐藏“我的电脑”中指定的驱动器 　　 此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。 　　 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 　　 提示：这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。 2、防止从“我的电脑”访问驱动器 　　 此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 　　 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 　　 提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。 3、禁止使用命令提示符 　　 在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。 　　 打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 .cmd和.bat　是否可以在计算机上运行。 　　 如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。 4、禁止更改显示属性 　　 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。 　　 打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。 5、禁用注册表编辑器 　　 为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。 　　 此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。 6、彻底禁止访问“控制面板” 　　 如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。 　　 此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。 7、禁用“添加/删除程序”（Windows 2000/XP/2003） 　　“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。 打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。 此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。 8、限制使用应用程序（Windows 2000/XP/2003） 如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。 打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。