一、什么是组策略 一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)Wmplayer.adm:用于Windows Media Player 设置。 4)Conf.adm:用于NetMeeting 设置。 在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下: 首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”,则弹出如图1所示的对话框。 图 1 然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。 返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作,建议添加除默认模板文件的其它模板文件)。 再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”,则弹出如图2所示的对话框。 图 2 然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行。 三、运行组策略 (一)Windows 9X策略编辑器 按操作系统的不同,策略编辑工具分为两种,一种为Windows 2000/XP/2003组策略管理控制台,它在系统安装时已经默认安装上了;另外一种就是Windows 9X的系统策略编辑器,它在系统安装时并不被安装,程序文件在Windows安装盘上的 ools eskit etadminpoledit目录下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。 如果是Windows 9X系统通过下面的方法,则可以进行正规的安装过程。 1.在控制面板中,双击“添加/删除程序”图标,单击“安装Windows”标签,然后单击“从磁盘安装”选项。 2.在从磁盘安装对话框中,单击“浏览”按钮并指定Windows 9X安装光盘的tools eskit etadminpoledit目录。 3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。 4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框,然后单击“安装”按钮。 安装完成后,单击“运行”命令项,输入poledit,然后单击“确认”按钮。 管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。 1.以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表。这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。 2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL),在这种方式下,注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时,单击一个注册表选项,可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时,将会循环显示下一个可能的状态,这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。 如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略,而又不想强制使用它,应当清除该复选框来取消该策略。 (二)Windows 2000/XP/2003组策略控制台 如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序(界面如图4所示)。 图 4 使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下: 1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。 2)在“文件”菜单上,单击“添加/删除管理单元”。 3)在“独立”选项卡上,单击“添加”。 4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。 6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。 对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。 通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。 在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。四、“桌面”设置 Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例: 位置:“组策略控制台→用户配置→管理模板→桌面” 1.隐藏桌面的系统图标(Windows 2000/XP/2003) 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。 比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可(如图5);如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。 图 5 2.退出时不保存桌面设置(Windows 2000/XP/2003) 此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。 在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3.屏蔽“清理桌面向导”功能(Windows XP/2003) “清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。 打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。 4.启用/禁用“活动桌面”(Windows 2000/XP/2003) “活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。 提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。 以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。五、个性化“任务栏”和“开始”菜单 在图6所示窗口的右侧,显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例: 图 6 位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单” 1.给“开始”菜单减肥(Windows 2000/XP/2003) 如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。 2.保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003) 如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息(图7),且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。 图 7 3.禁止“注销”和“关机”(Windows 2000/XP/2003) 当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。 这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框 中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。 提示:如果启用了“删除开始菜单上的‘注销’”,则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销”项目还原到开始菜单(只能通过手工修改注册表的方法)。这个设置只影响开始菜单,它不影响 “Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问‘关机’命令”),而且不妨碍用户用其它方法注销。 4.利用组策略保护个人文档隐私(Windows 2000/XP/2003) Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。 另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。 六、IE设置手到擒来 微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例: 位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加inetres.adm模板文件)” 1.禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003) 出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。 打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键,然后单击 “在新窗口中打开”时,该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器(如图8所示,“新建→窗口”项目已经无法使用)。 图 8 提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。 2.限制IE浏览器的保存功能(Windows 2000/XP/2003) 在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看 ’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。 如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。另外,根据个人的需要,在该窗格中还可以禁用其他项目。 3.禁用“Internet 选项”控制面板(Windows 2000/XP/2003) 上面提到了“禁用Internet选项”的功能,使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用Internet选项中的控制模板项目,因此给具体应用带来麻烦。通过下面的组策略设置方法,则可以实现这一要求: 打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页” 并设置为“启用”。然后我们再打开Internet选项控制面板,会发现“常规”项目已经没有了(图9),这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。 4.禁止修改IE浏览器的主页(Windows 2000/XP/2003) 如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中,还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。 启用此策略后,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。 提示:如果设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略,则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。 5.自定义IE工具栏(Windows 2000/XP/2003) IE工具栏的背景和上面的按钮都是可以自定义的,以前我们大多使用手动修改注册表的方法,不过并不直观,现在我们用“组策略”可以更方便地达到效果,打造属于我们自己的IE。 打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个 BMP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字,否则实际效果并不理想)。 接下来,我们要在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。 点击“添加”,在“工具栏标题”中输人“我的QQ”,在“工具栏操作”中选择QQ程序的路径,最后再选择好“颜色图标”和“灰度图标”的路径(如果你不知道怎么提取这两个图标,可以请EXeScope这个软件来帮忙,在各大站点都可以下载)。设置完成后点“确定”,再次打开IE后就可以看到修改的效果了。七、轻松实现Windows高级功能 1.设置并锁定Windows Media Player外观(Windows 2000/XP/2003) Windows Media Player是目前最流行的多媒体播放器之一,如果不希望其他用户随意更改其界面外观的话,利用组策略可以轻松实现。打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows Media Player→用户界面中的设置并锁定外观”启用此策略。 启用此策略后,将使 Windows Media Player 只以指定的外观模式显示,具体可以使用在“策略”选项卡上的“外观”框中指定的外观(如图10所示)。你必须为外观使用完整的文件名例如 miniplayer.wmz 。如果外观文件在用户的计算机上没有安装,播放器将以Windows Media Player外观打开。 图 10 提示:本策略设置软件版本至少为Windows Media Player v8.00,ADM文件为wmplayer.adm。 2.禁止Windows Media Player播放时运行屏保(Windows 2000/XP/2003) 屏幕保护程序可以有效地保护我们的显示器,但是当我们使用播放器观看精彩影片时,经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决屏幕保护程序使Windows Media Player播放中断的麻烦问题了。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows Media Player→播放中的允许运行屏幕保护程序”并将它设置为“已禁用”状态。 3.优化配置Windows Media Player网络缓冲(Windows 2000/XP/2003) 当我们使用Windows Media Player播放流式媒体时,播放器会在播放前对流式媒体进行缓冲处理,以便可以流畅地进行播放。在实际应用中,根据网络带宽和服务器的连接速度,缓存的时间长短并不一样,但Windows Media Player却是在使用同一设置,这无疑与实际网络情况不匹配,因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组策略控制台→用户配置 →管理模板→Windows组件→Windows Media Player→网络中的配置网络缓冲”并设置为启用状态,在出现的缓冲时间(秒数)配置选项中,根据网络的带宽情况进行自定义(最多 60 秒)。 提示:如果此策略已启用,那么Windows Media Player“性能”选项卡上的缓存选项将不能再配置。 4.屏蔽使用所有 Windows Update 功能的访问(Windows 2000/XP/2003) Windows Update可以自动连接Microsoft网站并下载更新内容,这对大部分用户来说是比较实用的,但对于不需要更新或者带宽紧张的电脑用户来说,此功能就显得多余了,而且经常传闻Windows Update会将计算机用户信息“秘密”发往Microsoft,因此也可以屏蔽这一“智能”高级功能。打开“组策略控制台→用户配置→管理模板 →Windows 组件→Windows Update”中的“删除使用所有 Windows Update 功能的访问”组策略并启用此策略。 提示:如果你启用此设置,所有 Windows Update功能(其中包括阻止访问Windows Update网站http//windowsupdate.microsoft.com、开始菜单上的 Windows Update的超链接和Internet资源管理器上的工具菜单)将被删除。Windows自动更新也被禁用,你将不会收到有关更新的通知,也不会接到 Windows Update的重要更新。此设置还会阻止设备管理器自动从Windows Update网站下载安装驱动程序的更新。 5.在Windows XP/2003中实现远程关机(Windows XP/2003) 在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机。利用它,我们不但可以注销用户、关闭或重新启动计算机,还可以实现定时关机、远程关机。该命令的语法格式如下: shutdown [-i |-l|-s |-r |-a][-f][-m[\ComputerName]][-t xx][-c ″message″][-d[u][p]:xx:yy] 该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法: 1)注销当前用户 shutdown - l 该命令只能注销本机用户,对远程计算机不适用。 2)关闭本地计算机 shutdown - s 3)重启本地计算机 shutdown - r 4)定时关机 shutdown - s -t 30 指定在30秒之后自动关闭计算机。 5)中止计算机的关闭。有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown - a来中止。 在该命令的格式中,有一个参数[-m [\ComputerName],用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作。你可以用以下命令来试一下: shutdown -s -m \Anyes-solon -t 30 在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有Windows XP/2003)的电脑。 该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问)”。 出现这种情况是因为Windows XP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。 而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台→计算机配置→Windows 设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”,在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按钮(如图11所示)。 图 11 通过上述操作后,我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后,倘若你要远程关闭计算机Anyes- solon,只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m \Anyes-solon -t 60即可。 这时,在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框,在对话框下方还有一个计时器,显示离关机还有多少时间(如图12所示)。在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用 shutdown -a命令来中止关机任务 八、用组策略提升系统性能 1.让Windows 的上网速率提升20%(Windows XP/2003) 默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支。我们可以通过组策略设置来替代默认值,让我们的上网速率提高20%! 打开“组策略控制台→计算机配置→管理模板→网络”中的“QoS数据包调度程序”并启用此策略,然后使用下面“带宽限制”框来调整系统可保留的带宽比例,将它设置为0%即可,然后按确定退出,之后我们就可以使用另外20%的带宽了。 2.关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统具有缩略图视图功能,且为了加快那些被频繁浏览的缩略图显示速度,系统会将这些被显示过的图片进行缓存,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。但如果我们不希望系统进行缓冲的话(比如只浏览一次的图片),则可以利用组策略关闭缩略图缓存的功能,这样第一次浏览速度反而会大大加快(因为不进行缓存处理)。 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。 3.屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,如果你有CD刻录机接在计算机上,Windows 资源管理器允许你制作并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度,因此我们可以利用组策略来屏蔽此功能(大部分用户都使用专用的CD刻录软件)。 打开“组策略控制台→用户配置→管理模板→网络→”中的“删除CD刻录功能”并启用此策略。 4.关闭系统还原功能(Windows XP/2003) 系统还原是Windows XP/2003中集成的强大功能,它在系统运行的同时,备份那些被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态。默认情况下,系统还原处于打开状态。 但为这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。 打开“组策略控制台→计算机配置→管理模板→系统→系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。 5.禁止Windows Messenger自动运行(Windows XP/2003) 在Windows系统中集成的优秀应用软件越来越多,但这些系统内置的软件都没有卸载选项,引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger,不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说,当然要屏蔽此软件的自动运行功能。 打开“组策略控制台→计算机配置→管理模板→Windows组件→Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。 提示:这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。 九、用组策略打造系统铜墙铁壁级功能 1.隐藏“我的电脑”中指定的驱动器(Windows XP/2003) 此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。 提示:这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。 2.防止从“我的电脑”访问驱动器(Windows 2000/XP/2003) 此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。 提示:这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。 3.禁止使用命令提示符(Windows 2000/XP/2003) 在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些系统应该屏蔽此功能。 打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件 .cmd和.bat 是否可以在计算机上运行。 如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。 4.禁止更改显示属性(Windows 2000/XP/2003) 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”,可进入“显示设置”对话框,可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置,如果你不想让别人随意更改各项设置,可以通过组策略将它隐藏起来。 打开“组策略控制台→用户配置→管理模板→控制面板→显示”,然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置,可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后,再打开“显示属性”对话框,就看不到“桌面”标签了,这样自然就无法再对桌面属性进行更改了。 5.禁用注册表编辑器(Windows 2000/XP/2003) 为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。 6.彻底禁止访问“控制面板”(Windows 2000/XP/2003) 如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。 此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。 7.禁止建立新的拨号连接(Windows 2000/XP/2003) 如果不想让别人在计算机中建立新连接来拨号上网的话,组策略也可以做到。打开“组策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并启用此策略。 启用此策略后,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。 提示:此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。 8.禁用“添加/删除程序”(Windows 2000/XP/2003) “控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。 打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略,当我们再打开“控制面板”中“添加/删除程序”模块的时候,会自动弹出警告窗口,而“添加/删除程序”则无法运行。 此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”、“从网络添加程序”等项进行隐藏,通过这些策略项目的设置,起到了保护计算机中系统文件及应用程序的作用。 9.限制使用应用程序(Windows 2000/XP/2003) 如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。 打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的 “显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。 Windows 2000 安全策略 本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序。默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory? 容器中的所有计算机。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构。 创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。 计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略。 可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC) 。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响。 存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略。 注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效。 本地安全策略 使用本地安全策略可以在本地计算机中设置安全要求。其主要用于单独计算机或用于将特定安全设置应用于域成员。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级。 ? 打开本地安全策略 1. 以管理员权限登录到计算机。 2. 在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在 “开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。 3. 单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。 图 1:本地安全设置 域安全策略 使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。 ? 打开域安全策略 1. 打开“Active Directory 用户和计算机”管理单元。 2. 右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。 3. 单击“组策略”选项卡。 4. 单击“编辑”按钮。 5. 展开“Windows 设置”。 6. 在“安全设置”树中执行安全配置。 组织单位组策略对象 应该使用 OU 管理域中的安全策略。此域已经与域控制器 OU 一起提供。但是,可以根据需要定义其他 OU。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等。 OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。 返回页首返回页首 其他安全配置界面 为了便于讨论和实施,本文档重点介绍有关通过 Windows 2000 安全策略管理安全设置。但是,在独立计算机上,这些界面不可用,甚至在域成员中有时需要逐一管理安全性,而不是通过组策略进行管理。有许多独立工具可以用于执行这些任务。最常使用的是所有 Windows 2000 系统都附带的安全配置编辑器。 安全配置编辑器 管理配置编辑器 (SCE) 由 Microsoft 管理控制台 (MMC) 两个管理单元组成,用于提供对 Windows 2000 操作系统进行安全配置和分析的功能。第一个管理单元是“安全模板”管理单元,可以为管理员提供管理 .inf 文件(用于应用安全设置)的图形方式。第二个管理单元是“安全配置和分析”管理单元,用于管理员分析与特定模板相关的系统的安全性以及将模板中的设置应用于系统。这些界面如图 2 所示。为了查看这些管理单元,必须创建一个新的控制台。 ? 创建新的控制台 1. 单击“开始”,然后单击“运行...”并运行 MMC。 2. MMC 出现后,单击“控制台”,然后单击“添加/删除管理单元...”。接着,单击“添加...”,然后双击“安全配置和分析”以及“安全模板”。 3. 单击“关闭”和“确定”返回控制台。为了将来使用,现在可以保存此控制台以便在“开始”菜单上的“管理工具”文件夹中可用。 图 2:安全配置编辑器 使用 SCE 工具,管理员可以配置 Windows 2000 操作系统的安全性,然后执行对系统的定期分析以确保保持配置完整或者随时间推移进行必要的更改。这些工具可以有效地提供对组策略“安全设置”树中显示的每一项内容的访问能力。 有关使用 SCE 工具的详细信息,请参阅:http://www.microsoft.com/windows2000/tec ... s/security/sctoolset.asp(英文)。 其他工具 有许多 Windows 2000 附带的其他工具可以用于管理安全性。本部分简要介绍其中的一些工具。估计管理员已熟悉这些工具并且不需要对这些工具进行更多的介绍。 ? Windows Explorer – 允许配置文件系统上的随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。 ? Regedt32.exe – 允许配置注册表上的 DACL 和 SACL。 ? Cacls.exe – 命令行工具,此工具允许配置和查看文件系统 DACL。 ? Net.exe – 命令行工具,可以用于创建和配置用户帐户和组成员身份以及用于配置各种设置(如系统在网络浏览列表中是否可见)。 ? Netsh.exe – 命令行工具,用于配置网络参数。 ? Secedit.exe – 命令行工具,提供与 SCE 工具相同的功能。 Win2003 Server帐户和本地策略配置 在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。 一、密码策略的设置 密码策略作用于域帐户或本地帐户,其中就包含以下几个方面: 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码 以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。 1. 对于本地计算机 对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。 第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。 第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。 因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。 如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求: (1)不包含全部或部分的用户帐户名 (2)长度至少为六个字符 (3)包含来自以下四个类别中的三个的字符: 英文大写字母(从A到Z) 英文小写字母(从a到z) 10个基本数字(从0到9) 非字母字符(例如,!、$、#、%) 如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。 默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。 这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。 其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。 强制密码历史 重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。 在域控制器上的默认值为24;而在独立服务器上为0。 【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。 密码最长使用期限 该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。 默认值:42。 【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。 第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。 如果希望上面设置的“强制密码历史”安全策略选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。 第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。 第五步,用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。 当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。 上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。 2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站 对于这种情形,用户的本地密码策略配置方法如下: 第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开Microsoft管理控制台(MMC),如图所示。 第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。 第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。 因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。 第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。 第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。 第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。 3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站 对于这种情形,密码策略的配置方法如下: 第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。 第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。 第3步,选择对话框“组策略对象链接”列表中的项目以选择现 帐户锁定策略用于域帐户或本地用户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面: 帐户锁定时间 帐户锁定阈值 复位帐户锁定计数器 1. 帐户锁定时间 该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。 默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。 2. 帐户锁定阈值 该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。 对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。 3.复位帐户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。 如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。 默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。 它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。 配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。 Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。 对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。 可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。 如果客户端系统尝试向运行其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。 使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。 Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。 Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面: 强制用户登录限制 服务票证最长寿命 用户票证最长寿命 用户票证续订最长寿命 计算机时钟同步的最大容差 1. 强制用户登录限制 本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。 2. 服务票证最长寿命 该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。 【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。 Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。 票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。 服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。 3. 用户票证最长寿命 该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。 4. 用户票证续订最长寿命 该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。 5. 计算机时钟同步的最大容差 本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。 为防止“轮番攻击”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值:5分钟。 【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。 以上各Kerberos策略安全选项的配置方法如下: 第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。 第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。 选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。 Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。 1. 对于本地计算机 在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。 双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。 要审核成功的尝试,请选中“成功”复选项。 要审核未成功的尝试,请选中“失败”复选项。 2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上 这种情形下审核策略的配置方法如下: 第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。 第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。 第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。 3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上 在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。 审核策略的配置方法与前两种情形中介绍的一样,不再赘述。 4. 对于域或组织单位,您是在一台成员服务器上或已加入 |
|