利用组策略来管理计算机与用户环境实例
计算机配置的管理模板策略
实例1:显示"关闭事件跟踪程序":如果禁用此策略的话,则用户将计算机关机时,系统就不会再要求用户提供关机的理由
设置方法:计算机配置 -> 管理模板 -> 系统 -> 双击右侧的"显示关闭事件追踪程序" -> 已禁用。(默认会将关闭事件追踪器显示再服务器计算机上,而工作站计算机不会显示)
实例2:显示用户上次交互登录的信息:用户登录时屏幕上会显示用户上次成功、失败登录的日期与时间;自从上次登录成功后,登录失败的次数等信息
设置方法:计算机配置 -> 管理模板 -> Windows组件 -> Windows登录选项 -> 双击右侧"在用户登录期间显示有关以前登录的信息" -> 已启用
注意:除了会应用到客户端计算机的GPO需要启用此功能外,还需要在会应用到域控制器的GPO(例如Default Domain Controller Policy或Default Domain Policy)来启用此功能,否则用户登录时将无法获取登录信息,也无法登录
- 可以通过打开Active Directory管理中心 -> 双击用户账户 -> 单击扩展节 -> 单击属性编辑器的方法来查看该用户的这些属性值(例如:msDS-LastSuccessfulInteractiveLogonTime、msDS-LastFailedInteractiveLogonTime、msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon等)
- 也可以使用打开Active Directory用户和计算机 -> 单击查看菜单 -> 高级功能 ->选中用户账户并右击 -> 属性 -> 单击属性编辑器选项卡 -> 从属性列表中来查看这些属性值
用户配置的管理模板
实例1:限制用户只能或不能运行指定的Windows应用程序
设置方法:用户配置 -> 管理模板 -> 系统 -> 双击右侧的"只运行指定的Windows应用程序"或"不运行指定的Windows应用程序" -> 已启用,在添加程序时,输入该应用程序的可执行文件名称(例如:eMule.exe)
实例2:隐藏或只显示控制面板内指定的项目:用户在控制面板内将看不到被隐藏起来的项目或只看得到被指定要显示的项目
设置方法:用户配置 -> 管理模板 -> 控制面板 -> 双击右侧的"隐藏指定的控制面板项"或"只显示指定的控制面板项" -> 已启用,在添加项目时,请输入项目名称,例如:鼠标、用户账户等
实例3:禁用"Ctrl + Alt + Del"键后所出现的界面中的选项:用户按这3个键后,将无法使用界面中被禁用的按钮,例如:更改密码按钮、任务管理器按钮、注销按钮等
设置方法:用户配置 -> 管理模板 -> 系统 -> "Ctrl+Alt+Del选项"
实例4:隐藏和禁用桌面上的所有项目,用户登陆后,传统桌面上所有项目都会被隐藏,选中桌面按鼠标右键也无作用
设置方法:用户配置 -> 管理模板 -> 桌面 -> 隐藏和禁用桌面上的所有项目 -> 已启用
实例5:删除开始菜单中关机、重启、睡眠和休眠命令。用户的开始菜单中,这些功能的图标会被删除或无法选择、按Ctrl + Alt + Del键后也无法使用它们
设置方法:用户配置 -> 管理模板 -> 开始菜单和任务栏 -> 双击右侧的"删除并禁止访问关机、重新启动、睡眠和休眠命令" -> 已启用
账户策略
可以通过账户策略来设置密码的使用标准与账户锁定方式
在设置账户策略时请特别注意以下说明:
- 针对用户所设置的账户策略需要通过域级别的GPO来设置才有效,例如通过域的Defalut Domain Policy GPO来设置,此策略会被应用到域内所有用户。通过站点或组织单位的GPO所设置的账户策略,对域用户没用。账户策略不但会被应用到所有的域用户账户,也会被应用到所有域成员计算机内的本地用户账户
- 如果针对某个组织单位来设置账户策略,则这个账户策略只会被应用到位于此组织单位的计算机的本地用户账户而已,但是对于此组织单位内的域用户账户却没有影响
- 如果域与组织单位都设置了用户账户策略,并且设置发生冲突时,则此组织单位内的成员计算机的本地用户账户会采用域的设置
- 域成员计算机也有自己的本地账户策略,不过如果其设置与域/组织单位的设置发生冲突的话,则采用域/组织单位的设置
设置账户策略的方法:
Step1:选中Defalut Domain Policy GPO(或其他域级别的GPO)并右击 -> 编辑
Step2:在打开的"组策略管理编辑器"中,展开 计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 账户策略
密码策略:单击密码策略后就可以设置以下策略
- 用可还原的加密来存储密码:如果有应用程序需要读取用户的密码,以便验证用户身份的话,可以启用此功能,不过它相当于用户密码没有加密,因此不安全,默认禁用
- 密码必须符合复杂性要求:如果启用此功能的话,则用户的密码需要同时满足以下条件
- 不能包含用户账户名称(值用户SamAccountName)或全名
- 长度至少要6个字符
- 至少需要包含A-Z、a-z、0-9、非字母数字(例如!、$、#、%)等4组字符中的3组
- 密码最长使用期限:用来设置密码最长的使用期限(可为0-999天)。若此处为0,则表示密码没有使用期限。
- 密码最短使用期限:用来蛇者用户密码的最短使用期限(0-998天),在期限未到前,用户不能更改密码。若此处为0表示用户可以随时更改密码。AD DS域的默认值为1,独立服务器的默认值为0
- 强制密码历史:用来设置是否要记录用户曾经使用过的旧密码,以便决定用户在更改密码时,是否可以重复使用旧密码。此处可以被设置为0-24,此处为0代表不保存密码历史记录
- 密码长度最小值:用来设置用户账户的密码最少需几个字符。此处可为0-14,若此处为0,表示用户账户可以没有密码
账户锁定策略:账户锁定策略来设置锁定用户账户的方式
- 用户锁定时间:用来设置锁定账户的期限,期限过后会自动解除锁定。此处可为0~99999分钟,如果为0分钟表示永久锁定,不会自动被解除锁定,此时需由系统管理员手动解除锁定。
- 用户锁定阈值:可以让用户在登录多次失败后(密码错误),就将该用户账户锁定,在未被解除锁定之前,用户无法再利用此账户来登录。其值可为0~999,默认为0,表示账户永远不会被锁定。
- 重设账户锁定计数器:"锁定计数器"是用来记录用户登录失败的次数,起始值为0,用户如果登录失败,则锁定技术的值就会加1,如果登录成功,则锁定计数器的值就会归零。如果锁定计数器的值等于账户锁定阈值,则该账户被锁定。如果用户最近一次登录失败后,到现在为止已经超过此处的时间的话,则锁定计数器值便会自动归零。(例如:用户连续3此登录失败的话,其账户就会被锁定。但在尚未连续3次登录失败之前,如果最近一次登录失败后,到现在为止已超过15分钟的话,则锁定计数器值就会归零)
用户权限分配策略
可以通过用户权限分配来将执行特殊工作的权限分配给用户或组
设置用户权限分配的方法:
Step1:在打开的"组策略管理编辑器"中,展开 计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 本地策略 -> 用户权限分配
Step2:如果要为用户分配上图右侧任何一个权限时,双击该权限 -> 在下图所示中单击"添加用户或组"按钮 -> 选择用户或组
常用的几个权限策略说明:
- 允许本地登录:允许用户直接在本地计算机上登录(例如按Ctrl + Alt + Del键)
- 拒绝本地登录:与前一个权限刚好相反。此权限优先于前一个权限
- 将工作站添加到域:允许用户将计算机加入到域
- 关闭系统:允许用户将此计算机关机
- 从网络访问此计算机:允许用户通过网络上其他计算机来连接,访问这台计算机
- 拒绝从网络访问此计算机:与前一个权限刚好相反。此权限优先于前一个权限
- 从远程系统强制关机:允许用户利用远程计算机来将此台计算机关机
- 备份文件和目录:允许用户备份硬盘内的文件与文件夹
- 还原文件和目录:允许用户还原所备份的文件与文件夹
- 管理审核和安全日志:允许用户指定要审核的事件,也允许用户查询与清除安全日志
- 更改系统时间:允许用户更改计算机的系统日期与时间
- 加载和卸载设备驱动程序:允许用户加载与卸载设备的驱动程序
- 取得文件或其他对象的所有权:允许取得其他用户所拥有的文件、文件夹或其他对象的所有权
安全选项策略
可以通过安全选项策略来启用计算机的一些安全设置
设置安全选项策略的方法:
Step1:在打开的"组策略管理编辑器"中,展开 计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 本地策略 -> 安全选项
常用的几个安全选项说明:
- 交互式登录:无须按Ctrl + Alt + Del键:登录界面不会再显示类似按Ctrl + Alt + Del登录的消息
- 交互式登录:不显示最后的用户名:客户端登录界面上不显示上一次登录的用户名
- 交互式登录:提示用户再过期之前更改密码:用来设置再用户的密码过期前几天,提示用户更改密码
- 交互式登录:之前登录到缓存的次数(域控制器不可用时):域用户登陆成功后,其账户信息会被存储到用户计算机的缓存区,如果之后此计算机因故无法与域控制器连接的话,该用户仍然可以通过缓存区的账户数据来验证身份与登录。可以通过此策略来设置缓存区内账户数据的数量。默认为记录10个登录用户的账户数据
- 交互式登录:试图登录的用户的消息标题、试图登录的用户的消息文本:如果用户在登录时按Ctrl + Alt + Del键后,界面上能够显示希望用户看到的消息的话,可以通过这两个选项来设置,其中一个用来设置消息的标题文字,一个用来设置消息内容
- 关机:允许系统在未登录的情况下关闭:让登录界面的右下角能够显示关机图标,以便在未登录的情况下就可直接通过此图标将计算机关机
登录/注销、启动/关机脚本
可以让域用户在登录时,其系统就自动执行登录脚本(Script),而当用户注销时,就自动执行注销脚本;另外也可以让计算机在开机启动时自动执行启动脚本,而关机时自动执行关机脚本
登录脚本的设置
以下利用文件名为logon.bat的批处理文件来模拟登录脚本,记事本(notepad)来建立此文件,其中只有一行如下所示的命令,它会在C:\之下新建文件夹TestDir
mkdir c:\TestDir
以下我们利用组织单位"财务部"的 Finance Department GPO
Step1:单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理 -> 展开组织单位"财务部" -> 选中 Finance Department GPO 并右击 -> 编辑
Step2:展开用户配置 -> 策略 -> Windows设置 -> 脚本(登录/注销) -> 双击右侧的"登录" -> 单击"显示文件"按钮
Step3:出现下图界面时,请将登录脚本文件logon.bat粘贴到界面中的文件夹内,此文件夹时位于域控制器的SYSVOL文件内,其完整路径为(其中的GUID是Finance Department GPO的GUID)
%systemroot%\SYSVOL\sysvol\域名\Policies\{GUID}\User\Scripts\Logon
Step4:关闭上图窗口,回到前图中单击"添加"按钮
Step5:弹出的窗口通过"浏览"按钮从前图的文件夹内选择登录脚本文件logon.bat,完成后单击"确定"按钮,然后再按"确定"按钮
Step6:完成设置后,组织单位"财务部"内的所有用户登录时,系统就会自动执行登录脚本logon.bat,它会在C:\之下建立文件夹TestDir。
Step7:打开"资源管理器"查看是否已经存在TestDir文件夹
注销脚本的设置,和登录脚本的设置类似。