网络操作系统（Windows Server 2008）课件（共13单元）项目6、组策略与安全设置.pptVIP

任务二、域组策略设置 * 图6-13 活动目录与计算机 任务二、域组策略设置 【操作步骤】 1．组策略设置 下例针对组织单元业务部内的用户禁止运行浏览器Internet Explorer，也就是要创建一个链接到组织单元业务部的GPO，并通过此GPO内的用户配置来禁止用户运行浏览器Internet Explorer，如图6-14所示。 * 任务二、域组策略设置 * 图6-14 业务部的用户 任务二、域组策略设置 【操作步骤】 1．组策略设置 （1）到域控制器上使用系统管理员身份登录。 （2）选择“开始”→“管理工具”→“组策略管理”。 （3）展示组织单元“业务部”，右击“业务部”，选择“在这个域中创建GPO并在此处链接”，如图6-15所示。（4）在“新建GPO”对话框中为此GPO命名，单击“确定”按钮，如图6-16所示。 （5）右击新建的GPO，选择“编辑”，如图6-17所示。 * 任务二、域组策略设置 * 图6-16 GPO的命名 图6-15 创建GPO 图6-17 编辑GPO 任务二、域组策略设置 【操作步骤】（6）单击“用户配置”→“管理模板”→“系统”后，双击右边的“不要运行指定的Windows应用程序”，如图6-18所示。（7）选择“已启用”，单击“显示”→“添加”，输入Internet Explorer的文件名iexplore.exe，再依次单击3次“确定”，如图6-19所示。 * 任务二、域组策略设置 * 图6-18 用户配置GPO 图6-19设置添加选项 任务二、域组策略设置 【操作步骤】 2．组策略例外排除 通过“测试GPO”的用户配置来禁止组织单元业务部内用户运行浏览器Internet Explorer后，业务部内的所有用户都不可以运行Internet Explorer。不过，也可以通过让此GPO不应用到特定的用户，例如业务部经理jackie，如此jackie便仍然可以运行Internet Explorer，这个操作被称为组策略筛选（group policy filtering）。 * 任务二、域组策略设置 【操作步骤】组织单元业务部内的用户，默认都会应用该组织单元内的所有GPO设置，因此他们对这些GPO都具有读取与应用组策略的权限。如图6-20所示，单击“测试GPO”右方的“委派”选项卡，单击“高级”，可知Authenticated Users具有这两个权限。若不想将此GPO的设置应用到用户jackie,则只要单击添加，选择用户jackie，然后将jackie的这两个权限设为“拒绝”即可，如图6-21所示。 * 任务二、域组策略设置 * 图6-21 用户权限设置 图6-20 GPO的委派 任务三 本地安全策略设置 【任务引入】安全策略是影响计算机上安全性的安全设置组合。工作组中和域环境下都可以应用本机的安全策略，其设置方式也很相似。管理员可以利用本地安全策略编辑本地计算机上的账户和本地策略。 * 任务三 本地安全策略设置 【任务分析】用户通过本地安全策略可以控制访问计算机的用户的一系列操作权限，可以授权用户使用计算机上的哪些资源，以及是否在事件日志中记录用户或者组的操作。本任务对本地安全策略进行设置，需在未加入域的计算机上操作，以免受到域内组策略的干扰。因为域内的组策略优先权较高，可能会造成本地安全策略的设置无效，因而影响到操作结果。 * 任务三 本地安全策略设置 【操作步骤】（1）使用本地计算机策略中的安全设置，或者单击“开始”→“管理工具”→“本地安全策略”，打开“本地安全策略”窗口来设置计算机安全，这些设置包含密码策略、账户锁定策略与本地策略等，如图6-22所示。 * 任务三 本地安全策略设置 * 图6-22 本地安全策略 任务三 本地安全策略设置 【操作步骤】（2）密码策略 单击“账户策略”下的“密码策略”，在右侧可以进行密码策略的设置，如图6-23所示。 * 图6-23 密码策略 任务三 本地安全策略设置 【操作步骤】（3）账户锁定策略单击“账户策略”下的“账户锁定策略”，在右侧可以进行用户锁定策略的设置，如图6-24所示。如设置“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定阈值”为3次无效登录，如图6-25所示。 * 任务三 本地安全策略设置 * 图6-24 账户锁定策略 图6-25 账户锁定策略配置 任务三 本地安全策略设置 【操作步骤】（4）用户权限分配 单击“本地策略”下的“用户权限分配”，可分配给用户或组的权限，如图6-26所示。 想要分配任何一个权限给用户或组时，只要双击该权限，在弹出的对话框中单击“添加用户或组”，将用户或组加入即可，如图6-27所示。 * 任务三 本地安全策略设置 * 图