用户和组的管理.ppt

2023/5/27,1,第6章用户与组的管理,用户的管理组的管理组策略对象的管理,本章要点,2023/5/27,2,6.1 用户的管理,每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。用户的账户类型有域账户、本地账户和内置账户。域账户用来登录网络，本地账户用来登录到某台计算机，内置账户用来对计算机进行管理。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是Windows Server 2003网络上的个人唯一标识。用户账户通过活动目录验证后登录到计算机和域，并授权访问域资源。,账户的类型,2023/5/27,3,6.1 用户的管理,账户名的命名规则如下：账户名必须唯一，且不分大小写。最多包含20个大小写字符和数字，输入时可超过20个字符，但只识别前20个字符。不能使用保留字字符：”：；，？可以是字符和数字的组合。不能与组名相同。,账户的类型,2023/5/27,4,6.1 用户的管理,为了维护计算机的安全，每个账户必须有密码，设立密码应遵循以下规则：必须为Administrator账户分配密码，防止未经授权就使用。明确是管理员还是用户管理密码，最好用户管理自己的密码。密码的长度在8128之间。使用不易猜出的字母组合，例如不要使用自己的名字、生日以及家庭成员的名字等。密码可以使用大小写字母、数字和其它合法的字符。,账户的类型,2023/5/27,5,6.1 用户的管理,Windows Server 2003服务器有两种工作模式：工作组模式和域模式，针对这两种工作模式有两种用户账户：本地账户和域账户。在前面介绍安装过程中，系统就询问过要将计算机加入一个域，还是一个工作组，我们选择默认的工作组workgrouop。在活动目录的安装过程中，我们设置了域，可以使用菜单“开始”“控制面板”“系统”命令，在弹出的“系统属性”窗口中的“计算机名”选项里，查看计算机究竟是属于工作组还是域,账户的类型,计算机名称与域,2023/5/27,6,6.1 用户的管理,网络中可以创建多个域和多个工作组，域和工作组之间的区别可以归结为以下几点：创建方式不同：工作组可以由任何一个计算机的管理员来创建，用户在系统的“计算机名称更改”对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权利创建一个组；而域只能由域控制器来创建，然后才允许其它的计算机加入这个域。安全机制不同：在域中有可以登录该域的账户，这些由域管理员来建立；在工作组中不存在工作组的账户，只有本机上的账户和密码。登录方式不同：在工作组方式下，计算机启动后自动就在工作组中；登录域时要提交域用户名和密码，只到用户登录成功之后，才被赋予相应的权限。,账户的类型,2023/5/27,7,6.1 用户的管理,1、本地账户本地账户对应对等网的工作组模式，建立在非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（SAM，Security Accounts Managers）。SAM数据库文件路径为系统盘下Windowssystem32configSAM。在SAM中，每个账户被赋予唯一的安全识别号（SID，Security Identifier），用户要访问本地计算机，都需要经过该机SAM中的SID验证。本地的验证过程,都由创建本地帐户的本地机完成，没有集中的网络管理。,账户的类型,2023/5/27,8,6.1 用户的管理,2、域账户域账户对应于域模式网络，域账户和密码存储在域控制器上Active Directory数据库中，域数据库的路径为域控制器中的系统盘下WindowsNTDSNTDS.DIT域账户和密码被域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在Windows Server 2003域控制器上，域账户一旦建立，会自动地被复制到同域中的其它域控制器上。复制完成后，域中的所有域控制器都能在用户登录时提供身份验证功能,账户的类型,2023/5/27,9,6.1 用户的管理,3、内置账户:Windows Server 2003内置账户与服务器的工作模式无关。当系统安装完毕后，系统会在服务器上自动创建一些内置账户，系统经常使用的内置账户有Administrator和Guest。Administrator（系统管理员）拥有最高的权限，管理着系统和域。系统管理员的默认名字是Administrator，可以更改系统管理员的名字，但不能删除该账户。该账户无法被禁止，永远不会到期，不受登录时间和只能使用指定计算机登录的限制。Guest（来宾）是为临时访问计算机的用户提供的，该账户自动生成，且不能被删除，可以更改名字。Guest只有很少的权限，默认情况下，该账户被禁止使用。例如当希望局域网中的用户都可以登录到自己的计算机，但又不愿意为每一个用户建立一个账户时，就可以启用Guest。,账户的类型,2023/5/27,10,6.1 用户的管理,本地账户是工作在本地机的，只有系统管理员才能在本地创建用户。下面举例说明如何创建本地用户，例如在Windows独立服务器上创建本地帐户Userl的操作步骤如下：1）选择菜单“开始”“管理工具”“计算机管理”“本地用户和组”选项，在弹出的“计算机管理”窗口中，右击“用户”，选择“新用户”命令，如图6-2所示。2）弹出“新用户”对话框，如图6-3所示，该对话框中的选项介绍如下：用户名：系统本地登录时使用的名称。全名：用户的全称。描述：关于该用户的说明文字。,创建本地账户,2023/5/27,11,6.1 用户的管理,密码：用户登录时使用的密码。确认密码：为防止密码输入错误，需再输入一遍。用户下次登录时须更改密码：用户首次登录时，使用管理员分配的密码，当用户再次登录时，强制用户更改密码，用户更改后的密码只有自己知道，这样可保证安全使用。用户不能更改密码：只允许用户使用管理员分配的密码。密码永不过期：密码默认的有限期为42天，超过42天系统会提示用户更改密码，选中此项表示系统永远不会提示用户修改密码。账户已禁用：选中此项表示任何人都无法使用这个账户登录，适用于企业内某员工离职时，防止他人冒用该账户登录。,创建本地账户,2023/5/27,12,6.1 用户的管理,图6-2“计算机管理”窗口,图6-3“新用户”对话框,2023/5/27,13,6.1 用户的管理,要对已经建立的账户更改登录名，具体的操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“用户”在列表中选择，右击该账户，选择“重命名”选项，输入新名字，如图6-4所示。,更改账户,图6-4 更改账户,2023/5/27,14,6.1 用户的管理,如果某用户离开公司，为防止其它用户使用该用户账户登录，就要删除该用户的账户，具体的操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“用户”，在列表中选择，右击该账户，选择“删除”；单击“是”按钮，即可删除。,删除账户,2023/5/27,15,6.1 用户的管理,重设密码可能会造成不可逆的信息丢失，出于安全的原因，要更改用户的密码分以下几种情况：如果用户在知道密码的情况下想更改密码，登录后按Ctrl+Alt+Del键，输入正确的旧密码，然后输入新密码即可。如果用户忘记了登录密码，可以使用“密码重设盘”来进行密码重设，密码重设只能用于本地机中。,更改账户密码,2023/5/27,16,6.1 用户的管理,创建“密码重设盘”的具体操作步骤如下：1）登录后按Ctrl+Alt+Del键，单击“更改密码”按钮，如图6-5所示；弹出“更改密码”对话框，单击“备份”按钮，如图6-6所示。2）弹出“忘记密码向导”对话框，单击“下一步”按钮，按照提示，在软驱中插入一张空白盘，单击“下一步”按钮。3）如图6-7所示，输入当前的密码，单击“下一步”按钮，开始创建密码重设盘。,更改账户密码,2023/5/27,17,6.1 用户的管理,图6-5“Windows 安全”窗口,图6-6“更改密码”窗口,2023/5/27,18,6.1 用户的管理,图6-7输入密码,2023/5/27,19,6.1 用户的管理,创建密码重设盘后，如果你忘记了密码，你可以插入这张制作好的“密码重设盘”来设置新密码，具体的操作步骤如下：1）在登录输入密码有误时，会弹出如图6-8所示的对话框，单击“重设”按钮，弹出“重设密码向导”对话框，单击“下一步”按钮。2）弹出“插入密码重设盘”对话框，将密码重设盘插入软驱，单击“下一步”按钮。3）如图6-9所示，输入新密码及密码提示，单击“下一步”按钮，打开“正在完成密码重设向导”对话框，单击“完成”按钮。注意：如果没有密码重设盘，可以直接在账户上更改密码，缺点是用户将无法访问受保护的数据，例如用户的加密文件、存储在本机用来连接Internet的密码等。操作步骤是单击“计算机管理中”“本地用户和组”选项，在“用户”的列表中选择并右击该账户，选择“设置密码”。,更改账户密码,2023/5/27,20,6.1 用户的管理,图6-8登录失败,图6-9输入新密码,2023/5/27,21,6.1 用户的管理,当某个用户长期休假或离职时，就要禁用该用户的账户，不允许该账户登录，该账户信息会显示为“X”。禁用与激活一个本地账户的操作基本相似，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“用户”在列表中选择，右击该账户，选择“属性”命令，如图6-10所示。2）弹出“userl属性”对话框，选择“常规”标签，选中“账户已禁用”复选框，单击“确定”按钮，该账户即被禁用。3）如果要重新启用某账户，只要取消选中“账户已禁用”复选框即可。,禁用与激活账户,2023/5/27,22,6.1 用户的管理,图6-10“User1”属性对话框,2023/5/27,23,6.1 用户的管理,创建域账户的具体操作步骤如下：1）在域控制器或者已经安装了域管理工具的计算机上的“控制面板”中，双击“管理工具”，选择“Active Directory用户和计算机”选项，弹出“Active Directory用户和计算机”窗口，如图6-12所示，在窗口的左部选中Users，右击，选择“新建”“User”命令。2）如图6-13所示，在弹出“新建对象User”对话框，输入用户的姓名以及登录名等资料，注意登录名才是用户登录系统所需要输入的。3）单击“下一步”按钮，打开新对话框，如图6-14所示，输入密码并选择对密码的控制项，单击“下一步”按钮，单击“完成”按钮。,创建域账户,2023/5/27,24,6.1 用户的管理,图6-12创建域账户,图7-13 输入登录名,2023/5/27,25,6.1 用户的管理,图6-14 输入密码,图6-15创建用户结束,创建完毕，在窗口右部的列表中会有新创建的用户。域用户是用一个人头像来表示，和本地用户的差别在于域的人头像背后没有计算机图标，如图6-15所示。,创建域账户,2023/5/27,26,6.1 用户的管理,图6-16删除域账户,在删除域账户之前，要确定计算机或网络上是否有该账户加密的重要文件，如果有则先将文件解密再删除账户，否则该文件将不会被解密，如图6-16所示。,删除域账户,2023/5/27,27,6.1 用户的管理,图6-17禁用域账户,如果某用户离开公司，就要禁用该账户，操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击要禁用的账户名，选择“禁用账户”命令即可，如图6-17所示。,禁用域账户,2023/5/27,28,6.1 用户的管理,同一部门的员工一般都属于相同的组，有基本相同的权限，系统管理员无需为每个员工建立新账户，只需要建好一个员工的账户，然后以此为模板，复制出多个账户即可，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击选择作为模板的账户，选择“复制”命令，如图6-18所示。2）弹出“复制对象User”对话框，依次输入即可，如图6-19所示。3）其他步骤与新建用户账户相同。,复制域账户,2023/5/27,29,6.1 用户的管理,图6-18复制域账户,图6-19输入新用户的登录名,2023/5/27,30,6.1 用户的管理,重设密码,当用户忘记密码时，系统管理员也无法知道该密码是什么，这时就需要重设密码，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，系统管理员右击要改密码的账户，选择“重设密码”命令，如图6-20所示。2）弹出“重设密码”对话框，输入新密码。建议用户选中“用户下次登录时须更改密码”复选框，如图6-21所示，单击“确定”按钮，这样用户下次登录时，可重新设置自己的密码。,2023/5/27,31,6.1 用户的管理,图6-20重设密码,图6-21输入新密码,2023/5/27,32,6.1 用户的管理,用户个人信息设置：包括姓名、地址、电话、传真、移动电话、公司、部门等信息，要设置这些详细的信息，在账户属性中的“常规”、“地址”、“电话”及“单位”等选项卡中设置即可，如图6-22所示。,域账户属性,图6-22设置个人信息,2023/5/27,33,6.1 用户的管理,登录时间的设置限制：要限制账户登录的时间，需要设置账户属性的“账户”选项卡，默认情况下用户可以在任何时间登录到域。例如设置某用户登录时间是周一到周五早8点到晚6点，具体操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击要改设置登录时间的账户，选择“属性”菜单，选择“账户”标签，如图6-23所示，选择“登录时间（L）”按钮。2）打开登录时间对话框，如图6-24所示，选择周一到周五早8点到晚18点时间段，选择“允许登录”单选按钮，确定即可。注意：这里只能限制用户的登录域的时间，如果用户在允许时间段登录，但一直连到超过时间，系统不能自动将其注销。,域账户属性,2023/5/27,34,6.1 用户的管理,图6-23设置登录时间,图7-24设置允许登录时间,2023/5/27,35,6.1 用户的管理,设置账户只能从特定计算机登录：系统默认用户可以从域内任一台计算机登录域，但可以限制账户只能从特定计算机登录，具体操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击账户，选择“属性”菜单，单击“账户”标签中（参考图6-23），选择“登录到（T）”按钮。2）在弹出“登录工作站”对话框中，如图6-25所示，设置登录的计算机名。注意：计算机名称只能是NetBIOS名称，不支持DNS名和IP地址。,域账户属性,2023/5/27,36,6.1 用户的管理,图6-25设置登录的计算机,2023/5/27,37,6.1 用户的管理,设置账户过期日：一般是为了不让临时聘用的人员在离职后继续访问网络，通过对账户属性事先进行设置，可以使账户到期后自动失效，省去了管理员手工删除该账户的操作。如图6-26所示。,域账户属性,图6-26设置账户过期时间,2023/5/27,38,6.1 用户的管理,将域账户加入到组：例如将用户USERl加入到“信息部”组中，步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击账户USERl，弹出“USERl属性”对话框，选择“隶属于”标签，如图6-27所示。2）单击“添加”按钮，弹出“选择组”对话框，如图6-28所示，单击“高级（A）”按钮，在弹出的“选择组”对话框中，单击“立即查找（N）”按钮，然后在查找的结果中选择组名“信息部”，如图6-29所示，单击“确定”按钮。（注意：“信息部”组事先已建立好。）3）“信息部”组就加入到“隶属于”列表了，如图6-30所示，单击“确定”按钮。,域账户属性,2023/5/27,39,6.1 用户的管理,图6-27“隶属于”选项卡,图6-28将域账户加入到组,2023/5/27,40,6.1 用户的管理,图6-29“隶属于”选项卡,图6-30将域账户加入到组,2023/5/27,41,6.2 组的管理,在Windows Server 2003中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。引入组的概念主要是为了方便管理访问权限相同的一系列用户账户。我们在前面学习过组织单位（OU），组和组织单位有很大的不同：组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源，单个域、域目录树或目录林。,组的概念,2023/5/27,42,6.2 组的管理,Windows Server 2003使用唯一安全标识符SID来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创建该组，不能期望所有权限和特权都与以前相同。新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。在Windows Server 2003中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。,组的概念,2023/5/27,43,6.2 组的管理,与用户账户一样，根据Windows Server 2003服务器的工作组模式和域模式，组分为本地组和域组。本地组：创建在本地的组账户。可以在Windows Server 20032003NT独立服务器或成员服务器、Windows XP、Windows NT Workstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地机使用，它有两种类型：用户创建的组和系统内置的组。域组：该账户创建在Windows Server 2003的域控制器上，组账户的信息被存储在Active Directory数据库中，这些组能够被使用在整个域中的计算机上。,组的分类,2023/5/27,44,6.2 组的管理,域组分类方法有很多，根据权限不同，域组可以分为安全组和分布式组。安全组：被用来设置权限，例如可以设置安全组对某个文件有读取的权限。分布式组：与权限无关，例如可以将电子邮件发送给分布式组。系统管理员无法设置分布式组的权限。,组的分类,2023/5/27,45,6.2 组的管理,根据组的作用范围，Windows Server 2003域组又分为通用组、全局组和本地域组，它们的成员和权限作用范围见表。,组的分类,2023/5/27,46,6.2 组的管理,创建本地组的用户必须是Administrators组或Account Operators组的成员，建立本地组并在本地组中添加成员的具体操作步骤如下：1）以Administrator身份登录，右击“我的电脑”，选择“管理”“计算机管理”“本地用户和组”“组”，右击“组”，选择“新建组”命令，如图6-31所示。2）如图6-32所示，在弹出的“新建组”对话框中输入组名、组的描述，单击“添加”按钮，即可把已有的账户或组添加到该组中，该组的成员在“成员”列表框中列出。3）单击“创建”按钮完成创建工作。本地组用背景为计算机的两个人头像表示，如图6-33所示。,创建与管理本地组,2023/5/27,47,6.2 组的管理,图6-31创建本地组图,图7-32“新建组”对话框,2023/5/27,48,6.2 组的管理,创建与管理本地组,管理本地组操作较简单，在“计算机管理”窗口右部的组列表中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更改组名，或者为组添加或删除组成员。,图6-33创建完毕,2023/5/27,49,6.2 组的管理,创建域组的步骤如下：1）打开菜单“开始”“管理工具”“Active Directory用户和计算机”，单击域名，右击某组织单位，选择“新建”“组”，如图6-34所示，在弹出“新建对象组”对话框，输入组名，如图6-35所示。2）选择“组作用域”、“组类型”后，单击“确定”按钮即可完成创建工作。注意：关于“组作用域”和“组类型”，这两项是创建组时要特别注意的，默认情况下，创建全局安全组。域组用两个人头像表示，人头像背后没有计算机图标，有别于本地组。和管理本地组的操作相似，在“Active Directory用户和计算机”窗口中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更改组名，或者为组添加或删除组成员。,创建与管理域组,2023/5/27,50,6.2 组的管理,图6-34创建域组,图7-35“新建对象组”对话框,2023/5/27,51,6.2 组的管理,Windows Server 2003在安装时会自动创建一些组，这种组叫内置组。内置组又分为内置本地组和内置域组。内置本地组创建于Windows Server 2003/2003/NT独立服务器或成员服务器、Windows XP、Windows NT等非域控制器的“本地安全账户数据库”中，这些组在建立的同时就已被赋予一些权限，以便管理计算机，如图6-36所示。,内置组,2023/5/27,52,6.2 组的管理,图6-36内置的本地组,2023/5/27,53,6.2 组的管理,Administrators组：在系统内有最高权限，拥有赋予权限，添加系统组件，升级系统，配置系统参数（如注册表的修改），配置安全信息等权限。内置的系统管理员账户是Administrators组的成员Backup Operators组：它是所有Windows Server 2003都有的组，可以忽略文件系统权限进行备份和恢复，可以登录系统和关闭系统，可以备份加密文件。Guests组：内置的Guest账户是该组的成员。Power Users组：存在于非域控制器上，可进行基本的系统管理，如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；但是它不能修改Administrators组、Backup Operators组，不能备份恢复文件，不能修改注册表。,内置本地组,2023/5/27,54,6.2 组的管理,Remote Desktop Users组：该组的成员可以通过网络远程登录。Users组：是一般用户所在的组，新建的用户都会自动加入该组对系统有基本的权力，如运行程序，使用网络，不能关闭Windows Server 2003，不能创建共享目录和本地打印机。如果某台计算机机加入到域，则域的域用户自动被加入到该组的Users组。Network Configuration Operators组：该组内的用户可在客户端执行一般的网络配置，例如更改IP，但不能添加/删除程序，也不能执行网络服务器的配置工作。,内置本地组,2023/5/27,55,6.2 组的管理,在图6-37所示的左窗格单击Builtin或Users组织单元，可以看到部分内置的域组，内置的域组又分为以下几种情况：,内置域组,图6-37内置的域组,2023/5/27,56,6.2 组的管理,(1)内置本地域组：创建在域控制器的活动目录中，它在建立的同时就已被赋予一些权力，以便管理整个域和活动目录。Account Operator：成员可以创建、删除账户和组，不能修改Administrators组或任何Operators组。Administrator：成员可以在所有域控制器上完成全部管理工作，默认时Administrator是该组的成员。Backup Operators：成员可以备份和还原所有域控制器。Guest：成员只能完成授权的任务、访问授权的资源，默认时Guest和全局组Domain Guests是该组的成员。Server Operators：成员可以共享磁盘、备份和还原域控制器上的文件。Users：默认时，Domain Users组是其成员，可以用该组来指定每个在域中账户应该具有的权限。,2023/5/27,57,6.2 组的管理,(2)内置全局域组：创建在域控制器的活动目录中，它本身没有任何权力和权限，但可以通过加入到具备权力和权限的本地域组获得权力和权限，或直接给该组赋予权力和权限Domain Users：将Domain Users添加到本地域组Users中，每个新域账户自动成为该组的成员。Domain Admins：将Domain Admins添加到本地域组 Administrators中，这样Domain Admins成员可以在该域中任何地方的计算机上完成管理工作，默认时Administrator是该组的成员。Domain Guests：将Domain Guests添加到本地域组Guests中，默认时Guest账户是该组的成员。Enterprise Admins：对于那些要对整个网络有管理控制权的用户，可以把其账户加到该组中，然后把该组添加到每个域中的本地域组Administrators组中，默认时Administrator是该组的成员。,2023/5/27,58,6.2 组的管理,(3)内置特殊组：常见的内置特殊组有如下几种：Everyone：包括所有访问该计算机的用户，如果为Everyone指定了权限并启用Guest账户时一定要小心，Windows会将没有有效账户的用户当成Guest账户，该账户自动得到Everyone的权限。Authenticated Users：包括在计算机上或活动目录中的所有通过身份验证的账户，用该组代替Everyone组可以防止匿名访问。Creator Owner：包括创建资源的账户。Network：包括当前从网络上的另一台计算机与该计算机上的共享资源保持联系的任何账户。Interactive：包括当前在该计算机上登录的所有账户。Anonymous Logon：包括Windows Server 2003不能验证身份的任何账户。Dialup：包括当前建立了拨号连接的任何账户。,2023/5/27,59,6.3 组策略的管理,组策略是一种在用户或计算机集合上强制使用一些配置的方法，定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等各种配置。网络管理主要是依赖组策略来进行，它是在活动目录上的最大应用。在此要说明的是，“组策略”中的“组”和以前介绍的用户组并没有什么直接关系，不要把组策略理解为针对用户组所配置的策略。简单理解，组策略就是一套Windows Server 2003的配置方案，如图标、菜单的设置等，这套方案可以应用到一批计算机或用户上。,组策略概述,2023/5/27,60,6.3 组策略的管理,组策略通过组策略对象设置，下列特性：组策略利用访问控制列表(Access Control List，ACL)记录权限设置，可以修改组策略的访问控制列表，指定哪些人对该组策略拥有何种权限。用户只要有足够的权限，就能添加或删除组策略，但无法复制组策略。系统已经有两个内建组策略对象：Default Domain Policy：默认域组策略，此策略已被连接到域，因此它将影响域内所有计算机和用户。Default Domain Controller Policy：默认域控制策略，此策略已被连接到Domain Controller OU，因此该策略将影响域控制器组织单位内的所有计算机和用户。,1、组策略对象,2023/5/27,61,6.3 组策略的管理,应用组策略时存在两种配置选项：计算机配置和用户配置。当计算机配置和用户配置发生冲突时，用户配置会覆盖计算机配置。计算机配置：用于管理控制计算机特定项目的策略，包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配、计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制用户特定项目的管理策略，包括应用程序配置、桌面配置、应用程序分配、计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。,2、组策略配置类型,2023/5/27,62,6.3 组策略的管理,软件部署：包括应用程序分配和应用程序发行两部分内容。应用程序分配指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；应用程序发行指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：最常用的配置设置，这些选项定义了用户的工作环境。例如用户的“开始”菜单、屏幕保护程序或用户配置文件的设置，包括操作系统组件和注册表设置。文件夹管理：允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。脚本：脚本能够用于在某些时间自动运行批处理文件的进程。安全：用于定义目录树、域、网络和本地计算机的安全配置，能够用于设置账户策略。,3、组策略功能类型,2023/5/27,63,6.3 组策略的管理,当组策略配置好后，这些配置要被应用到用户和计算机后才有效。组策略计算机配置的启动方式是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；手动启动。组策略用户配置的启动方式是：用户登录时自动启动；即使用户不注销、登录，系统默认每隔90-120分钟自动启动；手动启动。,4、组策略的启动方式,2023/5/27,64,6.3 组策略的管理,组策略对象用于存储组策略的配置信息、控制站点、域和组织单元中用户和计算机的设置。在Windows Server 2003中有本地组策略、域组策略、域控制器组策略和组织单元组策略，它们的优先级如下：本地组策略；域组策略；域控制器组策略；组织单元组策略。默认情况下，这些策略不一致时，最后应用的策略将覆盖以前的策略。如果这些策略设置的对象不一致，前后的策略都将是有效策略。,5、组策略的优先级,2023/5/27,65,6.3 组策略的管理,创建域的组策略的具体操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，选择操作对象，右击并选择“属性”命令，如图6-38所示；在弹出的菜单选择“组策略”选项卡，如图6-39所示，图中列出了当前应用到域或者组织单元的全部组策略。2）单击“新建”按钮，输入新的组策略名称“组策略对象A”，然后单击“确定”按钮即可，如图6-40所示，这样就将“组策略对象A”组策略应用到该组织单元，但是该组策略尚未做任何设置。图6-40中各按钮作用解释如下：,创建组策略,2023/5/27,66,6.3 组策略的管理,图6-38 设置域属性,图6-39“组策略”选项卡,2023/5/27,67,6.3 组策略的管理,图6-40 添加后新策略,添加：添加一个组策略对象链接。编辑：打开组策略对象编辑器来比较组策略对象。选项：进行组策略对象替代控制。删除：清除或删除组策略对象。向上、向下：修改组策略对象的优先级。阻止策略继承：用于防止父容器定义的策略在自身传递。,2023/5/27,68,6.3 组策略的管理,如果已经建立了组策略，现要将组策略应用到某个计算机或用户上，通过链接组策略对象操作，将组策略应用到站点、域或组织单元中，具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，选择域或者要链接组策略的组织单元，右击并选择“属性”命令。2）如果要链接的组策略没有出现在组策略列表中，就单击“添加”按钮，弹出“添加组策略对象链接”对话框，选择“全部”标签，单击要链接的组策略；单击“确定”按钮，如图6-41所示。3）返回“组织单元属性”窗口，选择添加的组策略，单击“应用”按钮，再单击“确定”按钮即可。,链接已有的组策略对象,2023/5/27,69,6.3 组策略的管理,图6-41“添加组策略对象链接”对话框,2023/5/27,70,6.3 组策略的管理,在创建了组策略对象以后，还需要对组策略对象进行配置，其具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，右击域名，选择“属性”命令，选择“组策略”标签。2）选择组策略，单击“编辑”按钮，打开组策略编辑器，如图6-43所示。,设置组策略,2023/5/27,71,6.3 组策略的管理,图6-43 组策略编辑器,图6-44 设置策略的项目,2023/5/27,72,6.3 组策略的管理,3）在组策略编辑器的左边，扩展那个代表自己想要设置的特殊策略项目。4）在窗口右侧，右击想要设置策略的项目，选择“属性”命令，弹出如图6-44所示的对话框，各个选项的解释如下：未配置：表示该设置不会更改注册表。已启用：表示该配置应用到该组策略对象的用户和计算机。已禁用：表示注册表将指示策略不会应用到隶属于该组策略的用户和计算机。,设置组策略,2023/5/27,73,6.3 组策略的管理,删除组策略对象链接就是将组策略对象与指定的站点、域或组织单元之间的链接断开。组策略对象仍然保留在活动目录中，直至被删除，具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，右击想要断开链接的站点、域或组织单元，并选择“属性”命令。2）在弹出的对话框中选择“组策略”标签，选择要断开的组策略对象，单击“删除”按钮。3）在弹出的“删除”对话框中，如图6-45所示，选择“从列表中移除链接”单选按钮，单击“确定”按钮即可。,删除组策略对象链接,2023/5/27,74,6.3 组策略的管理,如果要删除组策略，它就被从活动目录中删除了，组策略对象所链接的任何站点、域或组织单元都不会受到影响。它和删除组策略对象链接的操作基本一样，不同的是在如图6-45所示的“删除”对话框中，选择“移除链接并将组策略对象永久删除”单选按钮即可。,删除组策略,图6-45 删除对话框,2023/5/27,75,6.3 组策略的管理,指派应用程序：可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机上，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击该软件的文档时，该软件才会被自动安装。软件指派应用程序既可以用于计算机配置，也可用于用户配置，具体的操作步骤如下：1）打开“组策略编辑器”窗口，选择“计算机配置”或“用户配置”下的“软件设置”，如图6-46所示。2）右击“软件安装”选项，选择“新建”“程序包”命令，如图6-47所示。,组策略的应用,2023/5/27,76,6.3 组策略的管理,图6-46 选择软件设置,图6-47 新建程序包,2023/5/27,77,6.3 组策略的管理,3）在弹出的“打开”对话框中，如图6-48所示，选择要指派的软件包，单击“打开”按钮。4）在弹出的“部署软件”对话框中，如图6-49所示，选择“已指派”单选按钮，单击“确定”按钮。,指派应用程序,2023/5/27,78,6.3 组策略的管理,图6-48“打开”对话框,图6-49“部署软件”对话框,2023/5/27,79,6.3 组策略的管理,发布应用程序：和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要用“控制面板”“添加或