基于新信息技術(shù)的Windows Server 2019服務(wù)器配置與管理項(xiàng)目教程 課件 項(xiàng)目4 組策略的配置與管理

任務(wù)1配置本地安全策略

任務(wù)2創(chuàng)建域環(huán)境中的安全策略項(xiàng)目背景某公司決定實(shí)施組策略來(lái)管理賬戶策略，配置服務(wù)器組策略，提高計(jì)算機(jī)的安全性。在項(xiàng)目3中，公司已經(jīng)進(jìn)行了OU設(shè)置，管理員需要?jiǎng)?chuàng)建組策略對(duì)象(grouppolicyobject，GPO)來(lái)部署計(jì)劃，使一些策略可應(yīng)用于所有域?qū)ο?，一些策略?yīng)用于武漢分公司，一些策略應(yīng)用于廣州分公司，并且使計(jì)算機(jī)和用戶設(shè)置不同的策略，所以必須將GPO管理委派給公司每個(gè)地點(diǎn)的管理員。網(wǎng)絡(luò)管理員小高通過(guò)查詢資料，獲知在域環(huán)境下建立組策略的基本步驟如下：(1)創(chuàng)建好相應(yīng)的組織單位。(2)創(chuàng)建組織單位的組策略對(duì)象。(3)編輯組織單位的組策略對(duì)象。任務(wù)1配置本地安全策略某公司新購(gòu)置了一臺(tái)服務(wù)器，已經(jīng)安裝了WindowsServer2019。公司管理員小高需要在該服務(wù)器上配置本地安全策略，完成對(duì)用戶賬戶和計(jì)算機(jī)賬戶的集中化管理和配置。一、組策略組策略是微軟WindowsNT家族操作系統(tǒng)的一個(gè)特性，它可以控制用戶賬戶和計(jì)算機(jī)賬戶的工作環(huán)境。組策略提供了操作系統(tǒng)、應(yīng)用程序和活動(dòng)目錄中用戶設(shè)置的集中化管理和配置。組策略的一個(gè)版本名為本地組策略，它可以在獨(dú)立且非域的計(jì)算機(jī)上管理組策略對(duì)象。(一)組策略概述組策略在部分意義上用于控制用戶可以或不能在計(jì)算機(jī)上做什么(例如，施行密碼復(fù)雜性策略，以避免用戶選擇過(guò)于簡(jiǎn)單的密碼，允許或阻止身份不明的用戶從遠(yuǎn)程計(jì)算機(jī)連接到網(wǎng)絡(luò)共享，阻止訪問(wèn)Windows任務(wù)管理器或限制訪問(wèn)特定文件夾)，為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容及“開(kāi)始”菜單等，在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置等。簡(jiǎn)言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。(二)組策略的執(zhí)行順序要完成一組計(jì)算機(jī)的中央管理目標(biāo)，計(jì)算機(jī)應(yīng)該接收和執(zhí)行組策略對(duì)象。駐留在單臺(tái)計(jì)算機(jī)上的組策略對(duì)象僅適用于該臺(tái)計(jì)算機(jī)。要應(yīng)用一個(gè)組策略對(duì)象到一個(gè)計(jì)算機(jī)組，組策略依賴活動(dòng)目錄進(jìn)行分發(fā)?；顒?dòng)目錄可以分發(fā)組策略對(duì)象到一個(gè)Windows域中的計(jì)算機(jī)。在默認(rèn)情況下，MicrosoftWindows每90分鐘刷新一次組策略，隨機(jī)偏移30分鐘。在域控制器上，MicrosoftWindows每隔5分鐘刷新一次。在刷新時(shí)，它會(huì)發(fā)現(xiàn)、獲取和應(yīng)用所有使用這臺(tái)計(jì)算機(jī)和已登錄用戶的組策略對(duì)象。某些設(shè)置(如自動(dòng)化軟件安裝、驅(qū)動(dòng)器映射、腳本啟動(dòng)或登錄)只在啟動(dòng)或用戶登錄時(shí)應(yīng)用。從WindowsXP開(kāi)始，用戶可以使用“gpupdate”命令手動(dòng)啟動(dòng)組策略刷新功能。組策略對(duì)象會(huì)按照以下順序(從上到下)處理：(1)本地：任何在本地計(jì)算機(jī)設(shè)置的組策略。在WindowsVista之前，每臺(tái)計(jì)算機(jī)只能有一份本地組策略。在WindowsVista和之后的Windows版本中，允許每個(gè)用戶賬戶分別擁有組策略。(2)站點(diǎn)：任何與計(jì)算機(jī)所在的活動(dòng)目錄站點(diǎn)關(guān)聯(lián)的組策略?；顒?dòng)目錄站點(diǎn)是旨在管理促進(jìn)物理上接近的計(jì)算機(jī)的一種邏輯分組。如果多個(gè)策略已鏈接到一個(gè)站點(diǎn)，則將按照管理員設(shè)置的順序進(jìn)行處理。(3)域：任何與計(jì)算機(jī)所在Windows域關(guān)聯(lián)的組策略。如果多個(gè)策略已鏈接到一個(gè)域，則將按照管理員設(shè)置的順序進(jìn)行處理。(4)組織單元：任何與計(jì)算機(jī)或用戶所在的活動(dòng)目錄組織單元(OU)關(guān)聯(lián)的組策略。OU是幫助組織和管理一組用戶、計(jì)算機(jī)或其他活動(dòng)目錄對(duì)象的邏輯單元。如果多個(gè)策略已鏈接到一個(gè)OU，則將按照管理員設(shè)置的順序進(jìn)行處理。(三)組策略與注冊(cè)表注冊(cè)表是Windows中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫(kù)。隨著Windows功能的不斷豐富，注冊(cè)表里的配置項(xiàng)也越來(lái)越多。很多配置項(xiàng)是可以自定義設(shè)置的，但這些配置項(xiàng)被發(fā)布在注冊(cè)表的各個(gè)角落，用戶進(jìn)行手動(dòng)配置是非常困難和煩瑣的，而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。簡(jiǎn)單來(lái)說(shuō)，組策略用于修改注冊(cè)表中的配置項(xiàng)。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比用戶手動(dòng)修改注冊(cè)表更方便、靈活，功能也更加強(qiáng)大。按“Windows?+?R”組合鍵，打開(kāi)“運(yùn)行”對(duì)話框，在“打開(kāi)”文本框中輸入“regedit”，按回車(chē)鍵后打開(kāi)“注冊(cè)表編輯器”窗口，如圖4-1所示。二、本地組策略(一)本地組策略概述本地組策略(localgrouppolicy，LGP或Local(GPO))是組策略的基礎(chǔ)版本，它面向獨(dú)立且非域的計(jì)算機(jī)，會(huì)影響本地計(jì)算機(jī)的安全設(shè)置，可以應(yīng)用到域計(jì)算機(jī)。本地組策略的打開(kāi)方法是在“運(yùn)行”對(duì)話框中輸入“gpedit.msc”，打開(kāi)“本地組策略編輯器”窗口，如圖4-2所示。(二)本地組策略的分類本地組策略主要包含計(jì)算機(jī)配置和用戶配置。無(wú)論是計(jì)算機(jī)配置還是用戶配置，都包括軟件設(shè)置、Windows設(shè)置和管理模板三部分內(nèi)容。其中比較常見(jiàn)的是“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”中的各種配置，這部分安全設(shè)置對(duì)應(yīng)“本地安全策略”。注：選擇“服務(wù)器管理器”→“工具”→“本地安全策略”選項(xiàng)，即可打開(kāi)“本地安全策略”窗口，如圖4-3所示。本地安全策略影響本地計(jì)算機(jī)的安全設(shè)置，當(dāng)用戶登錄安裝WindowsServer2019操作系統(tǒng)的計(jì)算機(jī)時(shí)，就會(huì)受到此臺(tái)計(jì)算機(jī)的本地安全策略的影響。在學(xué)習(xí)設(shè)置本地安全策略時(shí)，建議在未加入域的計(jì)算機(jī)上配置，以免受到域組策略的影響，因?yàn)橛蚪M策略的優(yōu)先級(jí)較高，可能會(huì)造成本地安全策略的設(shè)置無(wú)效或無(wú)法設(shè)置。本地安全策略主要包括賬戶策略和本地策略，下面進(jìn)行詳細(xì)介紹。1.賬戶策略1)密碼策略(1)密碼必須符合復(fù)雜性要求：英文字母大小寫(xiě)、數(shù)字、特殊符號(hào)四者取其三。(2)密碼長(zhǎng)度最小值：設(shè)置范圍為0～14，設(shè)置為0表示不需要密碼。(3)密碼最長(zhǎng)使用期限：默認(rèn)為42天，設(shè)置為0表示密碼永不過(guò)期，設(shè)置范圍為0～9909。(4)密碼最短使用期限：設(shè)置為0表示隨時(shí)可以更改密碼。(5)強(qiáng)制密碼歷史：最近使用過(guò)的密碼不允許再使用，設(shè)置范圍為0～24，默認(rèn)為0，表示可以隨意使用過(guò)去使用過(guò)的密碼。2)賬戶鎖定策略(1)賬戶鎖定閾值：輸入幾次錯(cuò)誤密碼后，將鎖定用戶賬戶，設(shè)置范圍為0～999，默認(rèn)為0，表示不鎖定用戶賬戶。(2)賬戶鎖定時(shí)間：賬戶鎖定多長(zhǎng)時(shí)間后自動(dòng)解鎖，單位為分鐘，設(shè)置范圍為0～99?999，其中0表示必須由管理員手動(dòng)解鎖。(3)重置賬戶鎖定計(jì)數(shù)器時(shí)間：用戶輸入的密碼錯(cuò)誤后開(kāi)始計(jì)時(shí)，當(dāng)該時(shí)間過(guò)后，計(jì)數(shù)器重置為0。此時(shí)間必須小于或等于賬戶鎖定時(shí)間。需要注意的是，賬戶鎖定策略對(duì)本地管理員賬戶無(wú)效。2.本地策略1)審核策略(1)審核策略更改。(2)審核登錄事件。(3)審核對(duì)象訪問(wèn)。(4)審核進(jìn)程跟蹤。(5)審核目錄服務(wù)訪問(wèn)。(6)審核特權(quán)使用。(7)審核系統(tǒng)事件。(8)審核賬戶登錄事件。(9)審核賬戶管理。2)用戶權(quán)限分配用戶權(quán)限分配，常用策略如下：(1)關(guān)閉系統(tǒng)。(2)更改系統(tǒng)時(shí)間。(3)拒絕本地登錄，允許本地登錄(作為服務(wù)器的計(jì)算機(jī)不能讓普通用戶交互登錄)。3)安全選項(xiàng)(1)安全選項(xiàng)常用策略。(2)用戶試圖登錄時(shí)的消息標(biāo)題、消息文本。(3)訪問(wèn)本地賬戶的共享和安全模式。(4)使用空白密碼的本地賬戶只允許登錄到控制臺(tái)。注意：可以執(zhí)行“gpupdate”命令使本地安全策略生效或重啟計(jì)算機(jī)，執(zhí)行“gpupdate/force”命名強(qiáng)制刷新策略。服務(wù)器作為域控制器之前，需要完成如下本地安全策略的設(shè)置。(1)配置密碼策略。①

密碼必須符合復(fù)雜性要求。②

密碼長(zhǎng)度最小值為7。③

密碼最短使用期限為3天。④

密碼最長(zhǎng)使用期限為42天。⑤

強(qiáng)制密碼歷史為3個(gè)記住的密碼。⑥

賬戶鎖定時(shí)間為30分鐘。⑦

賬戶鎖定閾值為3次無(wú)效登錄。⑧

重置賬戶鎖定計(jì)數(shù)器時(shí)間為30分鐘。(2)只允許Administrators組的用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到服務(wù)器上。(3)賦予zhangsan用戶修改系統(tǒng)時(shí)間的權(quán)限。操作步驟如下：(1)“本地安全策略”窗口中，啟用“密碼必須符合復(fù)雜性要求”策略，如圖4-4所示。(2)在“本地安全策略”窗口中，啟用“密碼長(zhǎng)度最小值”策略，將其值設(shè)置為“7”，如圖4-5所示。(3)在“本地安全策略”窗口中，啟用“密碼最短使用期限”策略，將其值設(shè)置為“3”，如圖4-6所示。(4)在“本地安全策略”窗口中，啟用“密碼最長(zhǎng)使用期限”策略，將其值設(shè)置為“42”，如圖4-7所示。(5)在“本地安全策略”窗口中，啟用“強(qiáng)制密碼歷史”策略，將其值設(shè)置為“3”，如圖4-8所示。(6)在“本地安全策略”窗口中，啟用“賬戶鎖定時(shí)間”策略，將其值設(shè)置為“30”，如圖4-9所示。(7)在“本地安全策略”窗口中，啟用“賬戶鎖定閾值”策略，將其值設(shè)置為“3”，如圖4-10所示。(8)在“本地安全策略”窗口中，啟用“重置賬戶鎖定計(jì)數(shù)器”策略，將其值設(shè)置為“30”，如圖4-11所示。(9)在“本地安全策略”窗口中，將默認(rèn)的“BackupOperators”“Everyone”和“Users”組刪除，僅保留“Administrators”組，設(shè)置只允許Administrators組的用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到服務(wù)器上，如圖4-12所示。(10)在“本地安全策略”窗口中，將默認(rèn)的可修改系統(tǒng)時(shí)間的用戶刪除，并添加zhangsan用戶，然后賦予zhangsan用戶修改系統(tǒng)時(shí)間的權(quán)限，如圖4-13所示。用戶可以使用命令提示符窗口或Microsoft管理控制臺(tái)(MMC)打開(kāi)“本地安全策略”窗口。要完成本地組策略的編輯，用戶必須具有GPO的編輯設(shè)置權(quán)限。在默認(rèn)情況下，DomainAdministrators組、EnterpriseAdministrators組或GroupPolicyCreatorOwners組的成員具有GPO的編輯設(shè)置權(quán)限。(1)本地組策略對(duì)象(LGPO)在域控制器上不可用。(2)本地組策略對(duì)象按以下順序進(jìn)行處理：本地組策略(也被稱為“本地計(jì)算機(jī)策略”)→管理員或非管理員本地組策略→特定用戶本地組策略。最后一個(gè)LGPO優(yōu)先于所有其他的LGPO。任務(wù)2創(chuàng)建域環(huán)境中的安全策略某公司的網(wǎng)絡(luò)管理員小高已經(jīng)在公司的服務(wù)器上安裝域控制器，現(xiàn)在需要按照公司的信息安全規(guī)定對(duì)域或者OU內(nèi)的賬戶和計(jì)算機(jī)賬戶進(jìn)行集中管理和配置。一、域環(huán)境中的組策略概述組策略是ActiveDirectory域服務(wù)中一個(gè)非常有價(jià)值的管理工具。通過(guò)使用組策略，管理員可以按照管理要求定義相應(yīng)的策略，有選擇地應(yīng)用到ActiveDirectory中的用戶和計(jì)算機(jī)上。組策略的設(shè)置存儲(chǔ)在域控制器的GPO中。管理員可以在站點(diǎn)、域中為整個(gè)公司設(shè)置組策略，從而集中地管理組策略，也可以在組織單位層次為每個(gè)部門(mén)設(shè)置組策略來(lái)實(shí)現(xiàn)組策略的分散管理。組策略包括針對(duì)用戶的組策略和針對(duì)計(jì)算機(jī)的組策略，可以使網(wǎng)絡(luò)管理員實(shí)現(xiàn)用戶和計(jì)算機(jī)的一對(duì)多管理的自動(dòng)化。管理員使用組策略可以完成如下操作：(1)應(yīng)用標(biāo)準(zhǔn)配置。(2)部署軟件。(3)強(qiáng)制實(shí)施安全設(shè)置。(4)強(qiáng)制實(shí)施相同的桌面環(huán)境。需要注意的是，當(dāng)不同的策略出現(xiàn)矛盾時(shí)，后應(yīng)用的策略會(huì)覆蓋先前設(shè)置的策略，即子容器的組策略的優(yōu)先級(jí)更高。多個(gè)組策略對(duì)象可鏈接到同一個(gè)容器上，它們的優(yōu)先級(jí)可在控制臺(tái)中被定義。二、域環(huán)境中默認(rèn)的組策略在域環(huán)境中有默認(rèn)的組策略，如表4-1所示。默認(rèn)域策略和默認(rèn)域控制器策略對(duì)于域的正常運(yùn)行非常關(guān)鍵。作為最佳操作，管理員不應(yīng)該編輯默認(rèn)域控制器策略或默認(rèn)域策略，下列情況除外。(1)需要在默認(rèn)域策略中配置賬戶策略。(2)如果在域控制器上安裝的應(yīng)用程序需要修改用戶權(quán)限或?qū)徍瞬呗栽O(shè)置，則必須在默認(rèn)域控制器策略中修改策略的設(shè)置。三、創(chuàng)建和編輯組策略對(duì)象管理員可以使用組策略管理控制臺(tái)(GPMC)來(lái)創(chuàng)建和編輯GPO。需要注意的事項(xiàng)如下：(1)在創(chuàng)建GPO時(shí)，只有將其鏈接到站點(diǎn)、域或組織單位時(shí)才會(huì)生效。(2)在默認(rèn)情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者組的成員才能創(chuàng)建和編輯GPO。(3)若要在GPO中編輯IPSec策略，則IPSec賬戶必須是域Administrators組的成員。管理員還可以通過(guò)以下方法編輯GPO，在鏈接GPO的容器中右擊該GPO的名稱，然后在彈出的快捷菜單中選擇“編輯”命令。四、控制組策略對(duì)象的作用域1.鏈接組策略對(duì)象若要將現(xiàn)有GPO鏈接到站點(diǎn)、域或組織單位，則管理員必須在該站點(diǎn)、域或組織單位上有鏈接GPO的權(quán)限。在默認(rèn)情況下，只有域管理員和企業(yè)管理員對(duì)域和組織單位有此權(quán)限，林根域的企業(yè)管理員和域管理員對(duì)站點(diǎn)有此權(quán)限。若要?jiǎng)?chuàng)建和鏈接GPO，則管理員必須對(duì)所需域或組織單位有鏈接GPO的權(quán)限，并且必須有權(quán)在域中創(chuàng)建GPO。在默認(rèn)情況下，只有域管理員、企業(yè)管理員和組策略創(chuàng)建者所有者組的成員有創(chuàng)建GPO的權(quán)限。對(duì)于站點(diǎn)，“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”選項(xiàng)不可用。管理員可以在林中的任何域內(nèi)創(chuàng)建GPO，然后使用“鏈接現(xiàn)有GPO”選項(xiàng)將其鏈接到站點(diǎn)。2.阻止繼承組策略對(duì)象在設(shè)置組策略時(shí)，域管理員、企業(yè)管理員和組策略創(chuàng)建者可以阻止組策略對(duì)域或組織單位的繼承。如果阻止繼承組策略對(duì)象，則會(huì)阻止子層自動(dòng)繼承鏈接到更高層站點(diǎn)、域或組織單位的組策略對(duì)象，步驟如下：(1)打開(kāi)組策略管理控制臺(tái)，在林中找到包含要阻止繼承GPO鏈接的域或組織單位，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“阻止繼承”命令，如圖4-14和圖4-15所示。如果設(shè)置為阻止繼承，則在控制臺(tái)樹(shù)中會(huì)顯示一個(gè)感嘆號(hào)。(2)當(dāng)需要取消繼承時(shí)，只需把“阻止繼承”命令前面的對(duì)鉤取消就可以了，如圖4-16所示。某公司決定實(shí)施不同的組策略來(lái)管理賬戶策略，配置服務(wù)器組策略，提高計(jì)算機(jī)的安全性。組策略的配置信息如下：(1)設(shè)置默認(rèn)的組策略，完成密碼策略的設(shè)置。①

密碼必須符合復(fù)雜性要求。②

密碼長(zhǎng)度最小值為8。(2)在“武漢分公司”的OU中設(shè)置組策略，完成如下信息項(xiàng)的設(shè)置：①

為所有用戶設(shè)置統(tǒng)一的桌面。②

禁用所有的移動(dòng)設(shè)備。(3)在“武漢分公司”的“銷售部1”的OU中設(shè)置組策略，完成如下信息項(xiàng)的設(shè)置：①

禁止用戶使用遠(yuǎn)程桌面連接客戶端來(lái)保存密碼。②

用戶每次登錄不顯示上次登錄的名字。一、設(shè)置默認(rèn)的組策略(1)在“運(yùn)行”對(duì)話框的“打開(kāi)”文本框中輸入“mmc”，如圖4-17所示，打開(kāi)控制臺(tái)?？刂婆_(tái)1的初始界面如圖4-18所示。(2)在控制臺(tái)的“文件”下拉菜單中選擇“添加/刪除管理單元”命令，如圖4-19所示，打開(kāi)“添加或刪除管理單元”對(duì)話框。在該對(duì)話框中添加“組策略管理”管理單元，如圖4-20所示。(3)在“控制臺(tái)根節(jié)點(diǎn)”列表下進(jìn)行域的組策略設(shè)置，有兩個(gè)入口，如圖4-21和圖4-22所示。選擇右鍵快捷菜單中的“編輯”命令后調(diào)出“組策略管理編輯器”窗口，如圖4-23所示。(4)編輯默認(rèn)的組策略，完成密碼策略的設(shè)置，啟用“密碼必須符合復(fù)雜性要求”策略，如圖4-24所示；啟用“密碼長(zhǎng)度最小值”選項(xiàng)，將其值設(shè)置為“8”，如圖4-25所示。二、設(shè)置“武漢分公司”O(jiān)U的組策略(1)在“控制臺(tái)根節(jié)點(diǎn)”列表下找到“武漢分公司”選項(xiàng)，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”命令，如圖4-26所示。在打開(kāi)的“新建GPO”對(duì)話框的“名稱”文本框中輸入要?jiǎng)?chuàng)建的GPO的名字“武漢分公司”，如圖4-27所示，然后編輯“武漢分公司”的GPO入口，如圖4-28所示。(2)在圖4-28中右擊“武漢分公司”選項(xiàng)，在彈出的快捷菜單中選擇“編輯”命令，打開(kāi)“武漢分公司”的“組策略管理編輯器”窗口，如圖4-29所示。(3)編輯“武漢分公司”的組策略，為所有用戶設(shè)置統(tǒng)一的桌面，如圖4-30所示。禁用所有的移動(dòng)設(shè)備，如圖4-31所示。三、在“武漢分公司”的“銷售部1”的OU中設(shè)置組策略(1)在“控制臺(tái)根節(jié)點(diǎn)”列表下，找到“武漢分公司”的“銷售部1”的OU，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”命令，如圖4-32所示。在打開(kāi)的“新建GPO”對(duì)話框的“名稱”文本框中輸入要?jiǎng)?chuàng)建的GPO的名字“銷售部1”，如圖4-33所示，然后編輯“銷售部1”的GPO，入口如圖4-34所示。(2)在圖4-34中，點(diǎn)擊“銷售部1