第05讲 系统安全维护之(三)组策略与本地安全策略.ppt

第05讲 组策略与本地安全策略 5.1 组策略基础知识 5.2　本地安全策略配置 5.3 组策略其他配置 组策略的内容 组策略包括：计算机配置、用户配置 其组策略包含以下内容： 1）管理模板：包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。 2）Windows设置：包括脚本、安全设置（户策略和本地策略）等相关的策略。 3）软件设置：包括软件安装策略，可以进应用程序的指派与发布。 Gpupdate Gpresult * * 目标、重点、难点 目标：掌握组策略和本地安全策略的基本技能 重点：组策略和本地安全配置 难点：组策略和本地安全配置 什么是组策略 所谓策略（Policy），是Windows中的一种自动配置桌面设置的机制。 所谓组策略（Group Policy），顾名思义，就是基于组（模块、单元）的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。 5.1 组策略基础知识 譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。 组策略的作用 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。 而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更强大。 组策略在系统的用户配置里是介于控制面板和注册表之间的工具。 从方便度排序（不绝对）是：控制面板、组策略、注册表。 从功能大小排序是：注册表、组策略、控制面板。 组策略的运行 在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。 使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：  (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 　 (2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 　　 (3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 　 (4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。 　　(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。 　　(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 组策略的模板 在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作： 　　首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。 2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为： 　　(1)System.adm：默认安装在“组策略”中，用于系统设置。 　　(2)Inetres.adm：默认安装在“组策略”中，用于Internet 　　Explorer(IE)策略设置。 　　(3)Wmplayer.adm：用于Windows Media Player设置。 　　(4)Conf.adm：用于NetMeeting设置 帐户策略-密码策略 帐