下载文档原格式
实验6 利用组策略来管理用户环境
一、实验目的:
组策略中的配置分为“计算机配置”和“用户配置”两类。
根据网络管理的需要,将分别利用组策略中“计算机配置”和“用户配置的功能特性,实现对用户环境的配置。
二、实验内容:
“组策略编辑器”窗口
设置是否启用组策略配置
“密码策略”设置窗口
“账户锁定策略”设置窗口
“用户权限分配”设置窗口
“安全选项”设置窗口
组策略中设置信息
“脚本策略”设置窗口
“登陆属性”对话框
将“登录”脚本文件login.vbs复制到文件夹内
添加脚本名称和参数
选取“我的文档”的“属性”菜单项
设置“我的文档”的重定向
退出页面
登陆页面
用户端“我的文档”被重定向后的显示。
第 4 章 网络用户的配置和管理4.1 案例 9 本地用户及组的管理【案例效果】初期的JJB 总部在北京的规模并不是很大, 管理员王帅为了更好的管理每台计算机的相 关帐户信息及工作组, 并把具有相同权限的用户用统一的本地组进行管理, 以下的任务是管 理员王帅通过“工作组”的模式对计算机的管理。
工作组一般指小型的网络环境,网络结构 简单,不需要特殊的服务区角色。
在工作组模式的网络中,每台计算机都维护自己的用户帐 号信息和资源信息。
【相关知识】1.工作组的特性工作组是由一些计算机组成的一个小型网络。
在这个网络中可能包括 Windows Server 2003、 Windows 2000 Server, 也可能包括Windows XP Professional、 Windows 2000 Professional 或 Windows98 等,所有的计算机的地位都是平等的。
一个典型的工作组的组成如图 4125 所示。
在工作组中不能集中管理网络中的所有资源, 每台计算机就都要重复地去做一些管理 工作,工作组有以下特性。
(1)工作组内的每一台计算机都要维护自己的资源、日常管理工作和用户身份验证。
(2)每一台计算机都在本地存储用户帐户的信息。
(3)用户在工作组中使用本地账户登录到本地计算机,一个账户只能登录到一台计算 机中。
(4)一个工作组中的计算机的数量最好不要超过 10台计算机。
图4125 工作组示意图2.本地用户帐户在 Windows Server 2003 中,用户帐户的登录步骤是强制性的,用户都只有准确无误地 提交自己的用户名和密码才能获准使用计算机,否则无法使用计算机。
在工作组模式下的本 地身份验证的过程中,用户的 SID 通过提交用户名和密码被 Windows Server 2003 内置的 SAM(Security Account Management)数据库进行比对。
使用组策略管理用户环境组策略(Group Policy)是一种在Windows操作系统上,用于管理计算机和用户配置项的技术。
通过组策略,管理员可以集中管理计算机和用户的策略设置,以确保网络中的所有计算机和用户都符合组织的安全和管理要求。
在用户环境管理中,组策略可以用于配置用户的桌面设置、应用程序访问权限、安全设置等。
组策略提供了灵活的配置选项,可以根据不同的组织需求进行自定义设置。
以下是使用组策略管理用户环境的步骤:第一步:创建组策略对象(Group Policy Object,GPO)第二步:配置组策略设置在组策略管理器中,可以对GPO进行配置设置。
其中,用户配置和计算机配置是两个主要的部分。
在用户配置中,管理员可以对用户的桌面设置进行管理。
可以设置桌面背景、屏保、桌面图标等。
此外,还可以配置用户的Internet Explorer设置、安全选项,以及其他应用程序的访问权限等。
在计算机配置中,管理员可以对计算机的安全设置和网络连接进行管理。
可以设置密码策略、防火墙设置、文件夹和文件访问权限等。
此外,还可以配置网络设置、打印机设置等。
第三步:链接GPO到域、OU或站点创建和配置好GPO之后,需要将其链接到特定的域、OU或站点上。
通过链接,GPO才能被应用到相应的计算机和用户上。
第四步:更新组策略设置一旦将GPO链接到特定的域、OU或站点上,组策略将在下次用户登录时被自动应用。
如果需要立即应用组策略设置,可以使用命令行工具gpupdate /force。
第五步:监视和管理组策略效果在组策略管理器中,管理员可以监视和管理GPO的效果。
可以查看GPO应用情况,检查错误和警告信息,以及对GPO进行修改和删除等操作。
通过使用组策略管理用户环境,管理员可以实现以下好处:1.集中管理:通过组策略,管理员可以集中管理组织中所有计算机和用户的配置设置,提高管理效率。
无需逐个配置每台计算机或每个用户的设置。
2.统一标准:通过组策略,管理员可以定义和强制执行组织的安全和管理标准。
当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。
下面各例用于学习GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。
(以下各例都在组策略管理工具中完成,在上一课已经安装了GPMC.MSI这个组策略管理工具)一、强制实现域中所有用户使用统一桌面背景。
1. 实现这一策略如下图:先建立一个统一桌面背景的GPO,把它链接到域,并设置这个GPO 为强制。
2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。
图片的UNC路径是:\\Jame\公用共享\背景.jpg。
3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。
4. 取一个组策略名5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。
6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。
在右侧窗口,双击“Active Desktop墙纸”并如下设置。
(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用UNC路径)7. 把“统一背景”这个GPO链接到域:对域右击,选“链接现有GPO”。
对统一背景GPO右击,设置“强制”,使此GPO的组策略继承是强制继承,不能被阻止继承。
8. 用域用户Kaka登陆域测试一下,背景已经有图片,表示部署成功。
二、除了域管理员和委派管理员外所有域用户禁用控制面板。
1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。
对“禁用控制面板”GPO进行编辑。
基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统,该操作系统秉承“按需定制”的原则,可以根据需要选择安装组件。
网络中常用的基础服务以“角色”的方式体现,更多的管理任务以“功能”的方式体现。
由于系统安装的服务少,因而能够减少网络攻击面,提升网络安全。
其中的AD DS域服务是Windows网络的基础网络服务,是Windows系列应用型产品的核心平台,是用户管理、计算机管理的基础。
一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号(见表1-1)的统一的管理。
表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。
二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。
2、学院域,计算机系是域中的一个OU。
任务1 应用组策略管理用户工作环境组策略是一个能够让系统管理员充分管理用户工作环境的技术,通过它来确保用户拥有与权限相符的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
[安全管理需求]用户使用统一的方式上网,在登录、注销时使用统一脚本,普通用户在离开时可以关闭本地服务器。
为便于备份和管理,要实现文件夹的重定向,将文件目录统一放至文件服务器上。
用户登录后环境要求统一,如桌面、磁盘配额等。
为了安全起见,不允许用户私自使用移动存储介质,如USB、光盘设备。
[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器(Proxy Server)上网,代理服务器的网址为,端口号为8080,同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用,以免用户私自通过此处更改这些设置值。
2、设置计算机配置中的安全设置为计算机系中的用户user1分配可以关闭计算机(文件服务器)Server2的权限。
成绩:网络系统管理与维护形成性考核册专业:学号:姓名:形考作业本门课程的形考为6次实训项目,请同学们按要求完成。
课程实训项目列表:实训1:用户工作环境管理(5学时)考核目的:掌握利用组策略管理用户工作环境的方法。
考核内容:创建活动目录和域,部署组策略,利用组策略实现桌面管理,利用组策略为用户分发软件,利用组策略保护用户帐户的安全。
考核要求:完成“用户工作环境管理”实训项目。
实训2:网络病毒防范(2学时)考核目的:掌握网络病毒防范的常用方法,能够安装和配置防病毒软件。
考核内容:通过侦听、跟踪或关闭端口等方法防范网络病毒的攻击,安装和配置一种防病毒软件。
考核要求:完成“网络病毒防范”实训项目。
实训3:防火墙与入侵检测(5学时)考核目的:能够配置防火墙和入侵检测来保护内部网络的安全。
考核内容:安装ISA Server防火墙,配置防火墙客户端,建立访问策略和发布规则控制内部网和外部网之间的访问,配置入侵检测。
考核要求:完成“防火墙与入侵检测”实训项目。
实训4:系统容错与灾难恢复(4学时)考核目的:掌握系统容错与灾难恢复的方法。
考核内容:数据的备份与还原,使用“安全模式”、“上一次正确的配置”、“目录服务还原模式”等方法恢复失效的操作系统。
考核要求:完成“系统容错与灾难恢复”实训项目。
实训5:补丁管理(3学时)考核目的:能够配置WSUS服务实现补丁的集中管理和部署。
考核内容:安装和配置WSUS服务器,配置WSUS客户端,实现补丁的管理和部署。
考核要求:完成“补丁管理”实训项目。
实训6:性能监视(3学时)考核目的:掌握常用的性能监视指标,熟练使用性能监视工具。
考核内容:配置系统监视器,配置性能日志,配置警报日志,配置任务管理器。
考核要求:。
教学过程:一、OU(组织单元)的管理1、OU的概念域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。
OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。
2、建立OU及子对象(1)注意图标。
(2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。
(3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的管理1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
1、创建组策略步骤:右击-属性-“组策略”选项卡-“新建”按钮2、设置组策略步骤:右击-属性-“组策略”选项卡-“编辑”按钮3、用组策略管理用户工作环境实验二:1、教师OU的所有用户的IE浏览器的代理服务器的地址都自动设置为192.168.0.1,端口号设置为8080。
