《任务24:组策略的应用与管理(组策略应用案例.docx》由会员分享,可在线阅读,更多相关《任务24:组策略的应用与管理(组策略应用案例.docx(22页珍藏版)》请在第一文库网上搜索。
1、任务24:组策略的应用与管理(组策略应用案例实验环境BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的有关设置需统一管理,要求企业管理员按如下要求完成设置1所有域用户不能随便修改背景,保证公司使用带有公司1oGo的统一背景。2.所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。4禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,能够使用运行。5保证域用户有关机权限,保证员工下班能够自行关机,节约公司资源。6关闭2003的事件跟踪,公司使用其他手段监控用户计算机。7隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩
2、溃。8操纵面板中隐藏“添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。9取消自动播放,以防止插入U盘有病毒,自动运行病毒10除管理员外的任何域帐号都不能够更换计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。实验目的1所有域用户不能随便修改背景2所有域用户只能运行规定的程序4所有域用户帐号无法使用运行,管理员能够使用运行5域用户帐号能够关机6域用户帐号关机时没有事件跟踪提示7域用户帐号看不到C盘8域用户帐号在操纵面板中看不到添加删除windows组件”9取消自动播放10管理员能够使用本地连接一属性,任何域用户帐号不可使用.实验准备1一人一组2准备两台Win
3、dowsServer2003虚拟机(一台DC,一台成员主机)3实验网络环境192.168.8.0/24域控制器实验步骤1所有域用户不能随便修改背景,保证公司使用带有公司1oGo的统一背景。设置所有帐号统一背景,先创建共享,把共享图片放入,授权设置用户策略%组策略编辑器文件)操作(A)查看也)帮助Qf)手gbcDD-XQQMPZUQIZ38.sohu.coB扇计篁机配置国口软件设置SOWindows设置.田口管理模板选择一个项目来查看它的描述.语罟用ACtiVeDeSkt1-审奏曲ACt.DeSktoPsO软件设置SC3Windows设置-,管理模板由。Windows组件口任务栏和开始J菜WAc
4、tiveDirectorj商i禁用所有项目函不允许更改备禁止添加项目扇禁止册I除项目第禁止编辑项目函禁止关闭项目商i添加/删除项目舶只允许使用位图墙纸1J控制面板口共享文件夹BO网络由。系统保证用户不能够更换更换桌面,对域名修改组策略质文件(E)操作查看Q)窗口飨帮助(H)Uf包的囱国同图I谊迤囱4物Jgcc船-IIQZ744JActiveDirectory用户和理属性1IX由UBui1tinOComputers画DomainContro11erOForeignSecurityPrO1ostAndFoundONTDSQuotasOProgramDataSystem1JUsers常规I管理者I对
5、象I安全组策略IbemF的当前组策略对象链接列表中较高位置的蛆策略对象具有最高的优先权.由获得这一列表新建(S)添力口).编辑圾)向上QDI删除立属性化)向下)I阻止策略继承也)确定I取消I与*Defau1tDomainPo1icysq匕显示务隐藏,啜置,选项卡等隐藏“屏幕保护程序,选项卡马屏幕保护程序生可执行的屏幕保护程序的名称密码保护屏幕保护程序箱屏幕保护程序超时国J计算机配置S_1软件设置:CWindows设置1.国!管理模板I1公用户配置国U软件设笃BCJWindows设置型远程安装厩务的脚本(登录胜毛国眇安全我置出口文件夹重定向国和InternetExp1orerE1UJ管理模板OW
6、indows组件口任务栏和开!由UJ桌面EJ口控制面板-J添药或删除0显示口打印机区域和语言口共享文件夹囹口网络JJJ_2IT2阻止更改墙纸显示属性要求:至少MicrosoftWindows20描述:防止用尸添加或更改桌面背景。在默认情况下,用户可以从“控制面板”的,显示小的嚏面,选项卡来添加桌面墙纸。如果您启用这个设置,“桌面,选项卡仍会出现,但选项卡上的所有选项都会被停用O虹口桌面主题务删除控制质板”中的显示”*时藏,泉面,选项津雕吟碎1刷新策略r反面验证效果,用帐号benei,所有帐号登录,显示属性能够看到同样桌面,且无法更换。弱10:35业开始IH有MKI屏易保护程序I外观I设置I2.
7、所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。更换策略用户不能更换主页Tn组策略编辑器文件操作查看M帮助(H)-J软件设置BOWndows设置臼CJ管理模板E-OWindows组件ItiCJ系统ItiCJ网络口打曲机I!施用户亩豆JInternetExp1orer禁用更改主页设置显示属性设置由口软件设置S-CJWndows设置日。管理模板BCJWindows组件甲.1NatMaatiruj_j|InternetExpkI应用程程序U帮助和支持CJWindows资tS)CJMcroSoftMar1J任务计划程田口终端服务CJWindowsInsiOWindowsMe*OWindow
8、sUpcUJWindowsMav-pi-rrrr-J要求:至少InternetExp1orerV5.01描述:禁止用户更改浏览器主页。主页是用尸启动浏览器时最菊i现的页。如果启用该策略,Internet选项对话框中“常规选项卡上“主页,区域的设置将变如果禁用该策略或不对其进行配置,则用户可以更改其主页。甲Kg滴耳工、FH白15才任在客户端注销以帐号benet登录验证结果internet控制质板CJ脱机页口浏览器菜单口工具栏口持续行为口管理员认可的控件朗搜索:禁用自定义搜索尊搜索:禁用在浏览器中通过按F3查找文件急禁用InternetExptorer的外部商标第禁用导入和导出收藏夹I国禁用缓存自
9、动代理脚本各显示有关代理脚本下我失败的出错信息域禁用更改internet临时文件设置并禁用更改历史记录设置圆禁用更改颜色设置箱禁用更改链接颜色设置&禁用更改字体设置,笆禁用更改语言设置4.禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,能够使用运行。选定域名,设置策略WACtWeDirectory用户和计算与1口保存的杳询白围OBui1tinOComputErs()DomainContro11ers-CjForeignSecurItyPrIncipa1O1ostAndFoundSCNTDSQuotasC1ProgramDataOSystemIUsers
10、I属性富规I哲理老I对象I安全殂策略Ibenet的当前坦策略对象槌接列表中较高位置的组策略对象具召最高的优先权.向上曲向下把)1由sq12beneteg.Cn旅程这一列表新建I添加)I确更)IiJ9).I崎H).I扇性D)I阴止策略继承)取消I应用I2J文件但)操作()查看(X)帮助国)I囱画I直同I阕热计算机配置用尸配置BCJ软件设置司”口Windows设置B-D管理模板由硒Windows蛆件_|任务栏和开始J菜1由口桌面由口控制面板共享文件夹出口网络由0系统阻止访问注册表编辑工具显示要求:至少MicrosoftWindows2000描述禁用HindoWS注册表编辑器Regedit.exe如
11、果这个设置被启用,并且用户试图启动注册表翡辑器,解释设置禁止这类操作的消息会出现.要防止用户使用其它系统管理工具,请使用“只运行许可的Windows应用程序”设置。设置口用户配置文厂_脚本Ctr1+A1t+De1选项一)登录_J蛆策略一|电源管理,登录时不显示欢迎屏幕20年份转译然配置驱动程序查找位置热设备驱动程序的代码签名,自定义用户界面段阻止访问命令提示符.I阻止访问注册表编辑工具手|只花仃讦口的WindOWsJ曳用思序第不要运行指定的Windows应用程序扇关闭自动播放务限制这些程序从帮助启动强下载丢失的COM蛆件Windows自动更新设置域管理员除外?1常规I管理者I对象I安全组策略签
12、benet的当前组策略对象链接向上也向下出)列表中较高位置的犯策略对象具有最高的优先权。由获得这一列表新建国)添加。Ia选项(Q).册赊I1F隹SD阻止策略继承重)YJJfau1tDomain常规I提接安全IWM1筛选器添加也).I删除组或用户名称):DomainAdmins的权限化)允许拒绝读取写入创建所有子对象删除所有子对象应用组策略特别的权限S000U1-J特别权限或高级设置,话单击“高级”。高级(V)确定I取消I应用I在客户端注销,用bene【登录验证结果,不能使用运行在客户端注销,用administraior登录验证结果,能够使用运行5保证域用户有关机权限,保证员工下班能够自行关机,节约公司资源。选定域名,设置策略泛ACtiVeDireCtOry用户和计算机Z文件操作查看馍窗口侬帮助(H)jJJ.国的r?国园隰国谊遏囱3ActiveDrectory用户和计算:t川口保存的杳询白碗beret,由口Bu11tinOComputers曲DomainContro11ersOForeignsecurityPr1nc1pa1O1ostAndFoufX1-CJNTDSQuotas-CjProgramData+System1-QusersI.