用户和组的管理.ppt

《用户和组的管理.ppt》由会员分享，可在线阅读，更多相关《用户和组的管理.ppt（100页珍藏版）》请在三一办公上搜索。

1、2023/5/27,1,第6章用户与组的管理,用户的管理组的管理组策略对象的管理,本章要点,2023/5/27,2,6.1 用户的管理,每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。用户的账户类型有域账户、本地账户和内置账户。域账户用来登录网络，本地账户用来登录到某台计算机，内置账户用来对计算机进行管理。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是Windows Server 2003网络上的个人唯一标识

2、。用户账户通过活动目录验证后登录到计算机和域，并授权访问域资源。,账户的类型,2023/5/27,3,6.1 用户的管理,账户名的命名规则如下：账户名必须唯一，且不分大小写。最多包含20个大小写字符和数字，输入时可超过20个字符，但只识别前20个字符。不能使用保留字字符：”：；，？可以是字符和数字的组合。不能与组名相同。,账户的类型,2023/5/27,4,6.1 用户的管理,为了维护计算机的安全，每个账户必须有密码，设立密码应遵循以下规则：必须为Administrator账户分配密码，防止未经授权就使用。明确是管理员还是用户管理密码，最好用户管理自己的密码。密码的长度在8128之间。使用不易

3、猜出的字母组合，例如不要使用自己的名字、生日以及家庭成员的名字等。密码可以使用大小写字母、数字和其它合法的字符。,账户的类型,2023/5/27,5,6.1 用户的管理,Windows Server 2003服务器有两种工作模式：工作组模式和域模式，针对这两种工作模式有两种用户账户：本地账户和域账户。在前面介绍安装过程中，系统就询问过要将计算机加入一个域，还是一个工作组，我们选择默认的工作组workgrouop。在活动目录的安装过程中，我们设置了域，可以使用菜单“开始”“控制面板”“系统”命令，在弹出的“系统属性”窗口中的“计算机名”选项里，查看计算机究竟是属于工作组还是域,账户的类型,计算机

4、名称与域,2023/5/27,6,6.1 用户的管理,网络中可以创建多个域和多个工作组，域和工作组之间的区别可以归结为以下几点：创建方式不同：工作组可以由任何一个计算机的管理员来创建，用户在系统的“计算机名称更改”对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权利创建一个组；而域只能由域控制器来创建，然后才允许其它的计算机加入这个域。安全机制不同：在域中有可以登录该域的账户，这些由域管理员来建立；在工作组中不存在工作组的账户，只有本机上的账户和密码。登录方式不同：在工作组方式下，计算机启动后自动就在工作组中；登录域时要提交域用户名和密码，只到用户登录成功之后，才被赋予

5、相应的权限。,账户的类型,2023/5/27,7,6.1 用户的管理,1、本地账户本地账户对应对等网的工作组模式，建立在非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（SAM，Security Accounts Managers）。SAM数据库文件路径为系统盘下Windowssystem32configSAM。在SAM中，每个账户被赋予唯一的安全识别号（SID，Security Identifier），用户要访问本地计算机，

6、都需要经过该机SAM中的SID验证。本地的验证过程,都由创建本地帐户的本地机完成，没有集中的网络管理。,账户的类型,2023/5/27,8,6.1 用户的管理,2、域账户域账户对应于域模式网络，域账户和密码存储在域控制器上Active Directory数据库中，域数据库的路径为域控制器中的系统盘下WindowsNTDSNTDS.DIT域账户和密码被域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在Windows Server 2003域控制器上，域账户一旦建立，会自动地被复制到同域中的其它域控制器上。复制完成后，域中的所有域控制器都能在用户登录时提供身份验证功能,账

7、户的类型,2023/5/27,9,6.1 用户的管理,3、内置账户:Windows Server 2003内置账户与服务器的工作模式无关。当系统安装完毕后，系统会在服务器上自动创建一些内置账户，系统经常使用的内置账户有Administrator和Guest。Administrator（系统管理员）拥有最高的权限，管理着系统和域。系统管理员的默认名字是Administrator，可以更改系统管理员的名字，但不能删除该账户。该账户无法被禁止，永远不会到期，不受登录时间和只能使用指定计算机登录的限制。Guest（来宾）是为临时访问计算机的用户提供的，该账户自动生成，且不能被删除，可以更改名字。Gue

8、st只有很少的权限，默认情况下，该账户被禁止使用。例如当希望局域网中的用户都可以登录到自己的计算机，但又不愿意为每一个用户建立一个账户时，就可以启用Guest。,账户的类型,2023/5/27,10,6.1 用户的管理,本地账户是工作在本地机的，只有系统管理员才能在本地创建用户。下面举例说明如何创建本地用户，例如在Windows独立服务器上创建本地帐户Userl的操作步骤如下：1）选择菜单“开始”“管理工具”“计算机管理”“本地用户和组”选项，在弹出的“计算机管理”窗口中，右击“用户”，选择“新用户”命令，如图6-2所示。2）弹出“新用户”对话框，如图6-3所示，该对话框中的选项介绍如下：用户

9、名：系统本地登录时使用的名称。全名：用户的全称。描述：关于该用户的说明文字。,创建本地账户,2023/5/27,11,6.1 用户的管理,密码：用户登录时使用的密码。确认密码：为防止密码输入错误，需再输入一遍。用户下次登录时须更改密码：用户首次登录时，使用管理员分配的密码，当用户再次登录时，强制用户更改密码，用户更改后的密码只有自己知道，这样可保证安全使用。用户不能更改密码：只允许用户使用管理员分配的密码。密码永不过期：密码默认的有限期为42天，超过42天系统会提示用户更改密码，选中此项表示系统永远不会提示用户修改密码。账户已禁用：选中此项表示任何人都无法使用这个账户登录，适用于企业内某员工离

10、职时，防止他人冒用该账户登录。,创建本地账户,2023/5/27,12,6.1 用户的管理,图6-2“计算机管理”窗口,图6-3“新用户”对话框,2023/5/27,13,6.1 用户的管理,要对已经建立的账户更改登录名，具体的操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“用户”在列表中选择，右击该账户，选择“重命名”选项，输入新名字，如图6-4所示。,更改账户,图6-4 更改账户,2023/5/27,14,6.1 用户的管理,如果某用户离开公司，为防止其它用户使用该用户账户登录，就要删除该用户的账户，具体的操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“用户”，在列表中

11、选择，右击该账户，选择“删除”；单击“是”按钮，即可删除。,删除账户,2023/5/27,15,6.1 用户的管理,重设密码可能会造成不可逆的信息丢失，出于安全的原因，要更改用户的密码分以下几种情况：如果用户在知道密码的情况下想更改密码，登录后按Ctrl+Alt+Del键，输入正确的旧密码，然后输入新密码即可。如果用户忘记了登录密码，可以使用“密码重设盘”来进行密码重设，密码重设只能用于本地机中。,更改账户密码,2023/5/27,16,6.1 用户的管理,创建“密码重设盘”的具体操作步骤如下：1）登录后按Ctrl+Alt+Del键，单击“更改密码”按钮，如图6-5所示；弹出“更改密码”对话框

12、，单击“备份”按钮，如图6-6所示。2）弹出“忘记密码向导”对话框，单击“下一步”按钮，按照提示，在软驱中插入一张空白盘，单击“下一步”按钮。3）如图6-7所示，输入当前的密码，单击“下一步”按钮，开始创建密码重设盘。,更改账户密码,2023/5/27,17,6.1 用户的管理,图6-5“Windows 安全”窗口,图6-6“更改密码”窗口,2023/5/27,18,6.1 用户的管理,图6-7输入密码,2023/5/27,19,6.1 用户的管理,创建密码重设盘后，如果你忘记了密码，你可以插入这张制作好的“密码重设盘”来设置新密码，具体的操作步骤如下：1）在登录输入密码有误时，会弹出如图6-

13、8所示的对话框，单击“重设”按钮，弹出“重设密码向导”对话框，单击“下一步”按钮。2）弹出“插入密码重设盘”对话框，将密码重设盘插入软驱，单击“下一步”按钮。3）如图6-9所示，输入新密码及密码提示，单击“下一步”按钮，打开“正在完成密码重设向导”对话框，单击“完成”按钮。注意：如果没有密码重设盘，可以直接在账户上更改密码，缺点是用户将无法访问受保护的数据，例如用户的加密文件、存储在本机用来连接Internet的密码等。操作步骤是单击“计算机管理中”“本地用户和组”选项，在“用户”的列表中选择并右击该账户，选择“设置密码”。,更改账户密码,2023/5/27,20,6.1 用户的管理,图6-8

14、登录失败,图6-9输入新密码,2023/5/27,21,6.1 用户的管理,当某个用户长期休假或离职时，就要禁用该用户的账户，不允许该账户登录，该账户信息会显示为“X”。禁用与激活一个本地账户的操作基本相似，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“用户”在列表中选择，右击该账户，选择“属性”命令，如图6-10所示。2）弹出“userl属性”对话框，选择“常规”标签，选中“账户已禁用”复选框，单击“确定”按钮，该账户即被禁用。3）如果要重新启用某账户，只要取消选中“账户已禁用”复选框即可。,禁用与激活账户,2023/5/27,22,6.1 用户的管理,图6-10“U

15、ser1”属性对话框,2023/5/27,23,6.1 用户的管理,创建域账户的具体操作步骤如下：1）在域控制器或者已经安装了域管理工具的计算机上的“控制面板”中，双击“管理工具”，选择“Active Directory用户和计算机”选项，弹出“Active Directory用户和计算机”窗口，如图6-12所示，在窗口的左部选中Users，右击，选择“新建”“User”命令。2）如图6-13所示，在弹出“新建对象User”对话框，输入用户的姓名以及登录名等资料，注意登录名才是用户登录系统所需要输入的。3）单击“下一步”按钮，打开新对话框，如图6-14所示，输入密码并选择对密码的控制项，单击“

16、下一步”按钮，单击“完成”按钮。,创建域账户,2023/5/27,24,6.1 用户的管理,图6-12创建域账户,图7-13 输入登录名,2023/5/27,25,6.1 用户的管理,图6-14 输入密码,图6-15创建用户结束,创建完毕，在窗口右部的列表中会有新创建的用户。域用户是用一个人头像来表示，和本地用户的差别在于域的人头像背后没有计算机图标，如图6-15所示。,创建域账户,2023/5/27,26,6.1 用户的管理,图6-16删除域账户,在删除域账户之前，要确定计算机或网络上是否有该账户加密的重要文件，如果有则先将文件解密再删除账户，否则该文件将不会被解密，如图6-16所示。,删除

17、域账户,2023/5/27,27,6.1 用户的管理,图6-17禁用域账户,如果某用户离开公司，就要禁用该账户，操作步骤为：在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击要禁用的账户名，选择“禁用账户”命令即可，如图6-17所示。,禁用域账户,2023/5/27,28,6.1 用户的管理,同一部门的员工一般都属于相同的组，有基本相同的权限，系统管理员无需为每个员工建立新账户，只需要建好一个员工的账户，然后以此为模板，复制出多个账户即可，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击选择作为模板的账户，选择“复制”命

18、令，如图6-18所示。2）弹出“复制对象User”对话框，依次输入即可，如图6-19所示。3）其他步骤与新建用户账户相同。,复制域账户,2023/5/27,29,6.1 用户的管理,图6-18复制域账户,图6-19输入新用户的登录名,2023/5/27,30,6.1 用户的管理,重设密码,当用户忘记密码时，系统管理员也无法知道该密码是什么，这时就需要重设密码，具体的操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，系统管理员右击要改密码的账户，选择“重设密码”命令，如图6-20所示。2）弹出“重设密码”对话框，输入新密码。建议用户选中“用户下次登录时须更改

19、密码”复选框，如图6-21所示，单击“确定”按钮，这样用户下次登录时，可重新设置自己的密码。,2023/5/27,31,6.1 用户的管理,图6-20重设密码,图6-21输入新密码,2023/5/27,32,6.1 用户的管理,用户个人信息设置：包括姓名、地址、电话、传真、移动电话、公司、部门等信息，要设置这些详细的信息，在账户属性中的“常规”、“地址”、“电话”及“单位”等选项卡中设置即可，如图6-22所示。,域账户属性,图6-22设置个人信息,2023/5/27,33,6.1 用户的管理,登录时间的设置限制：要限制账户登录的时间，需要设置账户属性的“账户”选项卡，默认情况下用户可以在任何时

20、间登录到域。例如设置某用户登录时间是周一到周五早8点到晚6点，具体操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击要改设置登录时间的账户，选择“属性”菜单，选择“账户”标签，如图6-23所示，选择“登录时间（L）”按钮。2）打开登录时间对话框，如图6-24所示，选择周一到周五早8点到晚18点时间段，选择“允许登录”单选按钮，确定即可。注意：这里只能限制用户的登录域的时间，如果用户在允许时间段登录，但一直连到超过时间，系统不能自动将其注销。,域账户属性,2023/5/27,34,6.1 用户的管理,图6-23设置登录时间,图7-24设置允许登录时间,2

21、023/5/27,35,6.1 用户的管理,设置账户只能从特定计算机登录：系统默认用户可以从域内任一台计算机登录域，但可以限制账户只能从特定计算机登录，具体操作步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击账户，选择“属性”菜单，单击“账户”标签中（参考图6-23），选择“登录到（T）”按钮。2）在弹出“登录工作站”对话框中，如图6-25所示，设置登录的计算机名。注意：计算机名称只能是NetBIOS名称，不支持DNS名和IP地址。,域账户属性,2023/5/27,36,6.1 用户的管理,图6-25设置登录的计算机,2023/5/27,37,6.1 用

22、户的管理,设置账户过期日：一般是为了不让临时聘用的人员在离职后继续访问网络，通过对账户属性事先进行设置，可以使账户到期后自动失效，省去了管理员手工删除该账户的操作。如图6-26所示。,域账户属性,图6-26设置账户过期时间,2023/5/27,38,6.1 用户的管理,将域账户加入到组：例如将用户USERl加入到“信息部”组中，步骤如下：1）在“计算机管理”窗口中，选择“本地用户和组”“User”在列表中选择，右击账户USERl，弹出“USERl属性”对话框，选择“隶属于”标签，如图6-27所示。2）单击“添加”按钮，弹出“选择组”对话框，如图6-28所示，单击“高级（A）”按钮，在弹出的“选

23、择组”对话框中，单击“立即查找（N）”按钮，然后在查找的结果中选择组名“信息部”，如图6-29所示，单击“确定”按钮。（注意：“信息部”组事先已建立好。）3）“信息部”组就加入到“隶属于”列表了，如图6-30所示，单击“确定”按钮。,域账户属性,2023/5/27,39,6.1 用户的管理,图6-27“隶属于”选项卡,图6-28将域账户加入到组,2023/5/27,40,6.1 用户的管理,图6-29“隶属于”选项卡,图6-30将域账户加入到组,2023/5/27,41,6.2 组的管理,在Windows Server 2003中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某

24、个资源的权限，这个组的用户都会自动拥有该权限。引入组的概念主要是为了方便管理访问权限相同的一系列用户账户。我们在前面学习过组织单位（OU），组和组织单位有很大的不同：组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源，单个域、域目录树或目录林。,组的概念,2023/5/27,42,6.2 组的管理,Windows Server 2003使用唯一安全标识符SID来跟踪组，权限的设置都是通过SID进行的，而不是利用组名。更改任何一个组的账户名，并没有更改该组的SID，这意味着在删除组之后又重新创

25、建该组，不能期望所有权限和特权都与以前相同。新的组将有一个新的安全标识符，旧组的所有权限和特权已经丢失。在Windows Server 2003中，用组账户来表示组，用户只能通过用户账户登录计算机，不能通过组账户登录计算机。,组的概念,2023/5/27,43,6.2 组的管理,与用户账户一样，根据Windows Server 2003服务器的工作组模式和域模式，组分为本地组和域组。本地组：创建在本地的组账户。可以在Windows Server 20032003NT独立服务器或成员服务器、Windows XP、Windows NT Workstation等非域控制器的计算机上创建本地组。这些组

26、账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地机使用，它有两种类型：用户创建的组和系统内置的组。域组：该账户创建在Windows Server 2003的域控制器上，组账户的信息被存储在Active Directory数据库中，这些组能够被使用在整个域中的计算机上。,组的分类,2023/5/27,44,6.2 组的管理,域组分类方法有很多，根据权限不同，域组可以分为安全组和分布式组。安全组：被用来设置权限，例如可以设置安全组对某个文件有读取的权限。分布式组：与权限无关，例如可以将电子邮件发送给分布式组。系统管理员无法设置分布式组的权限。,组的分类,2023/5/27,45,

27、6.2 组的管理,根据组的作用范围，Windows Server 2003域组又分为通用组、全局组和本地域组，它们的成员和权限作用范围见表。,组的分类,2023/5/27,46,6.2 组的管理,创建本地组的用户必须是Administrators组或Account Operators组的成员，建立本地组并在本地组中添加成员的具体操作步骤如下：1）以Administrator身份登录，右击“我的电脑”，选择“管理”“计算机管理”“本地用户和组”“组”，右击“组”，选择“新建组”命令，如图6-31所示。2）如图6-32所示，在弹出的“新建组”对话框中输入组名、组的描述，单击“添加”按钮，即可把已有

28、的账户或组添加到该组中，该组的成员在“成员”列表框中列出。3）单击“创建”按钮完成创建工作。本地组用背景为计算机的两个人头像表示，如图6-33所示。,创建与管理本地组,2023/5/27,47,6.2 组的管理,图6-31创建本地组图,图7-32“新建组”对话框,2023/5/27,48,6.2 组的管理,创建与管理本地组,管理本地组操作较简单，在“计算机管理”窗口右部的组列表中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更改组名，或者为组添加或删除组成员。,图6-33创建完毕,2023/5/27,49,6.2 组的管理,创建域组的步骤如下：1）打开菜单“开始”“管理工具”“Activ

29、e Directory用户和计算机”，单击域名，右击某组织单位，选择“新建”“组”，如图6-34所示，在弹出“新建对象组”对话框，输入组名，如图6-35所示。2）选择“组作用域”、“组类型”后，单击“确定”按钮即可完成创建工作。注意：关于“组作用域”和“组类型”，这两项是创建组时要特别注意的，默认情况下，创建全局安全组。域组用两个人头像表示，人头像背后没有计算机图标，有别于本地组。和管理本地组的操作相似，在“Active Directory用户和计算机”窗口中，右击选定的组，选择快捷菜单中的相应命令可以删除组、更改组名，或者为组添加或删除组成员。,创建与管理域组,2023/5/27,50,6.

30、2 组的管理,图6-34创建域组,图7-35“新建对象组”对话框,2023/5/27,51,6.2 组的管理,Windows Server 2003在安装时会自动创建一些组，这种组叫内置组。内置组又分为内置本地组和内置域组。内置本地组创建于Windows Server 2003/2003/NT独立服务器或成员服务器、Windows XP、Windows NT等非域控制器的“本地安全账户数据库”中，这些组在建立的同时就已被赋予一些权限，以便管理计算机，如图6-36所示。,内置组,2023/5/27,52,6.2 组的管理,图6-36内置的本地组,2023/5/27,53,6.2 组的管理,Adm

31、inistrators组：在系统内有最高权限，拥有赋予权限，添加系统组件，升级系统，配置系统参数（如注册表的修改），配置安全信息等权限。内置的系统管理员账户是Administrators组的成员Backup Operators组：它是所有Windows Server 2003都有的组，可以忽略文件系统权限进行备份和恢复，可以登录系统和关闭系统，可以备份加密文件。Guests组：内置的Guest账户是该组的成员。Power Users组：存在于非域控制器上，可进行基本的系统管理，如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；但是它不能修改Administrators组、Backup

32、Operators组，不能备份恢复文件，不能修改注册表。,内置本地组,2023/5/27,54,6.2 组的管理,Remote Desktop Users组：该组的成员可以通过网络远程登录。Users组：是一般用户所在的组，新建的用户都会自动加入该组对系统有基本的权力，如运行程序，使用网络，不能关闭Windows Server 2003，不能创建共享目录和本地打印机。如果某台计算机机加入到域，则域的域用户自动被加入到该组的Users组。Network Configuration Operators组：该组内的用户可在客户端执行一般的网络配置，例如更改IP，但不能添加/删除程序，也不能执行网络服

33、务器的配置工作。,内置本地组,2023/5/27,55,6.2 组的管理,在图6-37所示的左窗格单击Builtin或Users组织单元，可以看到部分内置的域组，内置的域组又分为以下几种情况：,内置域组,图6-37内置的域组,2023/5/27,56,6.2 组的管理,(1)内置本地域组：创建在域控制器的活动目录中，它在建立的同时就已被赋予一些权力，以便管理整个域和活动目录。Account Operator：成员可以创建、删除账户和组，不能修改Administrators组或任何Operators组。Administrator：成员可以在所有域控制器上完成全部管理工作，默认时Administr

34、ator是该组的成员。Backup Operators：成员可以备份和还原所有域控制器。Guest：成员只能完成授权的任务、访问授权的资源，默认时Guest和全局组Domain Guests是该组的成员。Server Operators：成员可以共享磁盘、备份和还原域控制器上的文件。Users：默认时，Domain Users组是其成员，可以用该组来指定每个在域中账户应该具有的权限。,2023/5/27,57,6.2 组的管理,(2)内置全局域组：创建在域控制器的活动目录中，它本身没有任何权力和权限，但可以通过加入到具备权力和权限的本地域组获得权力和权限，或直接给该组赋予权力和权限Domain

35、 Users：将Domain Users添加到本地域组Users中，每个新域账户自动成为该组的成员。Domain Admins：将Domain Admins添加到本地域组 Administrators中，这样Domain Admins成员可以在该域中任何地方的计算机上完成管理工作，默认时Administrator是该组的成员。Domain Guests：将Domain Guests添加到本地域组Guests中，默认时Guest账户是该组的成员。Enterprise Admins：对于那些要对整个网络有管理控制权的用户，可以把其账户加到该组中，然后把该组添加到每个域中的本地域组Administr

36、ators组中，默认时Administrator是该组的成员。,2023/5/27,58,6.2 组的管理,(3)内置特殊组：常见的内置特殊组有如下几种：Everyone：包括所有访问该计算机的用户，如果为Everyone指定了权限并启用Guest账户时一定要小心，Windows会将没有有效账户的用户当成Guest账户，该账户自动得到Everyone的权限。Authenticated Users：包括在计算机上或活动目录中的所有通过身份验证的账户，用该组代替Everyone组可以防止匿名访问。Creator Owner：包括创建资源的账户。Network：包括当前从网络上的另一台计算机与该计算

37、机上的共享资源保持联系的任何账户。Interactive：包括当前在该计算机上登录的所有账户。Anonymous Logon：包括Windows Server 2003不能验证身份的任何账户。Dialup：包括当前建立了拨号连接的任何账户。,2023/5/27,59,6.3 组策略的管理,组策略是一种在用户或计算机集合上强制使用一些配置的方法，定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等各种配置。网络管理主要是依赖组策略来进行，它是在活动目录上的最大应用。在此要说明的是，“

38、组策略”中的“组”和以前介绍的用户组并没有什么直接关系，不要把组策略理解为针对用户组所配置的策略。简单理解，组策略就是一套Windows Server 2003的配置方案，如图标、菜单的设置等，这套方案可以应用到一批计算机或用户上。,组策略概述,2023/5/27,60,6.3 组策略的管理,组策略通过组策略对象设置，下列特性：组策略利用访问控制列表(Access Control List，ACL)记录权限设置，可以修改组策略的访问控制列表，指定哪些人对该组策略拥有何种权限。用户只要有足够的权限，就能添加或删除组策略，但无法复制组策略。系统已经有两个内建组策略对象：Default Domain

39、 Policy：默认域组策略，此策略已被连接到域，因此它将影响域内所有计算机和用户。Default Domain Controller Policy：默认域控制策略，此策略已被连接到Domain Controller OU，因此该策略将影响域控制器组织单位内的所有计算机和用户。,1、组策略对象,2023/5/27,61,6.3 组策略的管理,应用组策略时存在两种配置选项：计算机配置和用户配置。当计算机配置和用户配置发生冲突时，用户配置会覆盖计算机配置。计算机配置：用于管理控制计算机特定项目的策略，包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配、计算机启动和关机脚本运行。这些配置

40、应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制用户特定项目的管理策略，包括应用程序配置、桌面配置、应用程序分配、计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。,2、组策略配置类型,2023/5/27,62,6.3 组策略的管理,软件部署：包括应用程序分配和应用程序发行两部分内容。应用程序分配指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；应用程序发行指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：最常用的配置设置，这些选项定义了用户的工作环境。例如用户的“开始”菜单、屏幕保护程序或用户

41、配置文件的设置，包括操作系统组件和注册表设置。文件夹管理：允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。脚本：脚本能够用于在某些时间自动运行批处理文件的进程。安全：用于定义目录树、域、网络和本地计算机的安全配置，能够用于设置账户策略。,3、组策略功能类型,2023/5/27,63,6.3 组策略的管理,当组策略配置好后，这些配置要被应用到用户和计算机后才有效。组策略计算机配置的启动方式是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；手动启动。组策略用户配置的启动方式是：用户登录时自动启动；即使用户不注销、登录，系统默认每隔90-120分钟自动启动；手动启动

42、。,4、组策略的启动方式,2023/5/27,64,6.3 组策略的管理,组策略对象用于存储组策略的配置信息、控制站点、域和组织单元中用户和计算机的设置。在Windows Server 2003中有本地组策略、域组策略、域控制器组策略和组织单元组策略，它们的优先级如下：本地组策略；域组策略；域控制器组策略；组织单元组策略。默认情况下，这些策略不一致时，最后应用的策略将覆盖以前的策略。如果这些策略设置的对象不一致，前后的策略都将是有效策略。,5、组策略的优先级,2023/5/27,65,6.3 组策略的管理,创建域的组策略的具体操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中

43、，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，选择操作对象，右击并选择“属性”命令，如图6-38所示；在弹出的菜单选择“组策略”选项卡，如图6-39所示，图中列出了当前应用到域或者组织单元的全部组策略。2）单击“新建”按钮，输入新的组策略名称“组策略对象A”，然后单击“确定”按钮即可，如图6-40所示，这样就将“组策略对象A”组策略应用到该组织单元，但是该组策略尚未做任何设置。图6-40中各按钮作用解释如下：,创建组策略,2023/5/27,66,6.3 组策略的管理,图6-38 设置域属性,图6

44、-39“组策略”选项卡,2023/5/27,67,6.3 组策略的管理,图6-40 添加后新策略,添加：添加一个组策略对象链接。编辑：打开组策略对象编辑器来比较组策略对象。选项：进行组策略对象替代控制。删除：清除或删除组策略对象。向上、向下：修改组策略对象的优先级。阻止策略继承：用于防止父容器定义的策略在自身传递。,2023/5/27,68,6.3 组策略的管理,如果已经建立了组策略，现要将组策略应用到某个计算机或用户上，通过链接组策略对象操作，将组策略应用到站点、域或组织单元中，具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active

45、 Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，选择域或者要链接组策略的组织单元，右击并选择“属性”命令。2）如果要链接的组策略没有出现在组策略列表中，就单击“添加”按钮，弹出“添加组策略对象链接”对话框，选择“全部”标签，单击要链接的组策略；单击“确定”按钮，如图6-41所示。3）返回“组织单元属性”窗口，选择添加的组策略，单击“应用”按钮，再单击“确定”按钮即可。,链接已有的组策略对象,2023/5/27,69,6.3 组策略的管理,图6-41“添加组策略对象链接”对话框,2023/5/27,70,6.3 组策略的管理,在创建了组策略

46、对象以后，还需要对组策略对象进行配置，其具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选项，在弹出“Active Directory用户和计算机”窗口左部，右击域名，选择“属性”命令，选择“组策略”标签。2）选择组策略，单击“编辑”按钮，打开组策略编辑器，如图6-43所示。,设置组策略,2023/5/27,71,6.3 组策略的管理,图6-43 组策略编辑器,图6-44 设置策略的项目,2023/5/27,72,6.3 组策略的管理,3）在组策略编辑器的左边，扩展那个代表自己想要设置的特殊策略

47、项目。4）在窗口右侧，右击想要设置策略的项目，选择“属性”命令，弹出如图6-44所示的对话框，各个选项的解释如下：未配置：表示该设置不会更改注册表。已启用：表示该配置应用到该组策略对象的用户和计算机。已禁用：表示注册表将指示策略不会应用到隶属于该组策略的用户和计算机。,设置组策略,2023/5/27,73,6.3 组策略的管理,删除组策略对象链接就是将组策略对象与指定的站点、域或组织单元之间的链接断开。组策略对象仍然保留在活动目录中，直至被删除，具体的操作步骤如下：1）在已经安装并运行域控制器的计算机上的“控制面板”中，双击“管理工具”后，选择“Active Directory用户和计算机”选

48、项，在弹出“Active Directory用户和计算机”窗口左部，右击想要断开链接的站点、域或组织单元，并选择“属性”命令。2）在弹出的对话框中选择“组策略”标签，选择要断开的组策略对象，单击“删除”按钮。3）在弹出的“删除”对话框中，如图6-45所示，选择“从列表中移除链接”单选按钮，单击“确定”按钮即可。,删除组策略对象链接,2023/5/27,74,6.3 组策略的管理,如果要删除组策略，它就被从活动目录中删除了，组策略对象所链接的任何站点、域或组织单元都不会受到影响。它和删除组策略对象链接的操作基本一样，不同的是在如图6-45所示的“删除”对话框中，选择“移除链接并将组策略对象永久删

49、除”单选按钮即可。,删除组策略,图6-45 删除对话框,2023/5/27,75,6.3 组策略的管理,指派应用程序：可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机上，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击该软件的文档时，该软件才会被自动安装。软件指派应用程序既可以用于计算机配置，也可用于用户配置，具体的操作步骤如下：1）打开“组策略编辑器”窗口，选择“计算机配置”或“用户配置”下的“软件设置”，如图6-46所示。2）右击“软件安装”选项，选择“新建”“程序包”命令，如图6-47所示。,组策略的应

50、用,2023/5/27,76,6.3 组策略的管理,图6-46 选择软件设置,图6-47 新建程序包,2023/5/27,77,6.3 组策略的管理,3）在弹出的“打开”对话框中，如图6-48所示，选择要指派的软件包，单击“打开”按钮。4）在弹出的“部署软件”对话框中，如图6-49所示，选择“已指派”单选按钮，单击“确定”按钮。,指派应用程序,2023/5/27,78,6.3 组策略的管理,图6-48“打开”对话框,图6-49“部署软件”对话框,2023/5/27,79,6.3 组策略的管理,发布应用程序：和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要用“控制面板”“添加或