WindowsServer2019版WindowsServer操作系统教程

组策略的配置与管理

目录PART01学习目标PART02项目描述PART03知识准备PART04项目实施PART05项目小结PART06项目拓展

学习目标01

学习目标理解组策略的基本概念理解组策略设置的类型理解组策略对象和活动目录容器熟悉针对计算机和用户的组策略设置掌握配置和使用组策略知识目标12345

学习目标技能目标能够进行组策略的安全性管理能够解决组策略冲突能够配置和使用组策略能够使用GPMC工具010302能够对组策略进行监视和排错0405

学习目标培养认真细致的工作态度和工作作风增强信息安全意识，提高策略服务器的可靠性。增强服务意识，为用户方便使用网络提供技术支持。素养目标

项目描述02

项目描述企业网络需求KIARUI科技有限公司的内部网络已经基本搭建完成并已联入Internet，公司部分管理工作都可以在基于工作组模式的网络环境中实现。但是，随着公司业务发展迅猛、人员激增，各类资源也大量增加，网络安全隐患越来越多。如何保证大量用户访问资源的同时，能够保证网络的安全、关闭相关的服务、设置账户策略、设置软件限制策略就成了重中之重。通过配置组策略来解决这些问题，根据客户需要设置账户策略、设置软件限制策略等，从而有效地实现组策略管理，保证网络的安全。

知识准备03

组策略概述组策略在部分意义上用于控制用户在计算机上的操作行为。例如，实施密码复杂性策略用于避免用户设置过于简单的密码；允许或阻止身份不明的用户从远程计算机连接到网络共享；阻止访问Windows任务管理器或限制访问特定文件夹，可以为特定用户或用户组定制可用的程序、桌面上的内容及“开始”菜单等，也可以在整个计算机范围内创建特殊的桌面配置等。简言之，组策略是Windows中的一套系统更改和配置管理工具的集合。所谓策略（Policy），是Windows中一种自动配置桌面设置的机制，而组策略（GroupPolicy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户设置多种配置，包括桌面配置和安全配置。组策略简介

组策略概述组策略的执行顺序要完成一组计算机的中央管理目标，计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象仅适用于该台计算机。要应用一个组策略对象到一个计算机组，组策略需要依赖于活动目录进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。在默认情况下，系统每隔90分钟刷新一次组策略，随机偏移30分钟。在域控制器上系统每隔5分钟刷新一次组策略。在刷新时，它会发现、获取和应用所有适用于这台计算机和已登录用户的组策略对象。某些设置(如自动化软件安装、驱动器映射、启动脚本或登录脚本)只在系统启动或用户登录时应用。用户可以从命令提示符窗口中使用“gpupdate”命令手动启动组策略刷新功能。

组策略概述组策略的主要功能账户策略的设定，如设定用户密码的长度、密码使用期限、账户锁定策略等。本地策略的设定，如审核策略的设定、用户权限的指派、安全性的设定。脚本（scripts）的设定，如“登录/注销”、“启动/关机”脚本的设定。用户工作环境的设定，如隐藏用户桌面上所有的图标，删除“开始”菜单中的“运行/搜索/关机”等功能，在“开始”菜单中添加“注销”的功能等。软件的安装与删除，用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。限制软件的运行，通过各种不同软件限制的规则，来限制域用户只能运行某些软件。文件夹转移，例如改变“我的文档”“开始菜单”等文件夹的存储位置。其他系统设定，例如让所有的计算机都自动信任指定的CA（certificateAuthoority）。

本地地组策略本地组策略用户配置指的是应用于用户个人配置文件的设置，这些设置只适用于已登录的用户。本地组策略(LocalGroupPolicy，LGP或LocalGPO)是组策略的基础版本，它面向独立且非域的计算机，影响本地计算机的安全设置，可以应用到域计算机。计算机配置指的是在Windows操作系统中，应用于计算机本身的设置。这些设置会影响计算机在登录过程中和操作过程中的行为，而与登录的用户无关。这些配置包括了各种安全设置、网络设置、软件安装等。

域环境中的组策略域环境中的组策略概述组策略是ActiveDirectory域服务中一个非常有价值的管理工具。通过使用组策略，管理员可以按照管理要求定义相应的策略，有选择地应用到ActiveDirectory中的用户和计算机上。组策略的设置存储在域控制器的GPO中。管理员可以在站点、域中为整个公司设置组策略，从而