用户与群组
5.1用户与群组
5.2利用配置文件来管理使用者工作环境
在运行Windows Server 操作系统的计算机上,用户配置文件将自动创建并维护本地计算机上的每个用户工作环境的桌面设置,包括个人显示设置、网络和打印机连接,以及其他指定的设置。当用户第一次登录到计算机的时候,系统为每个独立用户创建一个用户配置文件。
在日常系统管理工作中,使用用户配置文件可以为我们提供以下方便:多个用户可以使用同一台计算机。当多个用户在同一台计算机中登录网络时,用户将收到上次注销时的桌面设置,而不受其他用户设置影响。
创建本地用户配置文件在用户第一次登录到计算机上时被创建,这个本地用户配置文件被储存在计算机的本地硬盘驱动器上。任何对本地用户配置文件所作的更改都只对发生改变的计算机产生作用。
创建漫游性用户配置文件一个本地配置文件的副本被复制及储存在网络上的一个服务器共享上。当用户每次登录到网络上的任一台计算机上时,这个文件都会被下载,并且当用户注销时,任何对漫游用户配置文件的更改都会与服务器的拷贝同步。
创建强制性用户配置文件是一种特殊类型的配置文件,使用它管理员可为用户指定特殊的设置。只有系统管理员才能对强制用户配置文件作修改。当用户从系统注销时,用户对桌面做出的修改就会丢失。
5.2.1用户配置文件文件夹
n 位于%SystemDrive%\用户文件夹
n 使用者第1次登入的起始设定
- Default + %SystemDrive%\ProgramData
- Default文件夹是隐藏式文件夹
- ProgramData储存着所有使用者的共同设定
n 也可以透过【开始Ü控制面板Ü系统Ü高级Ü点击 用户配置文件右边的 设置】来查看
5.2.2漫游与强制用户配置文件
让域使用者不论到域内任何一台计算机登入时,都能够使用相同的工作环境
漫游用户配置文件(roaming user profile)工作环境的变更会自动回存到漫游用户配置文件
强制用户配置文件(mandatory user profile)工作环境的变更并不会被回存到强制用户配置文件
在Active Directory中,管理员可以为用户配置文件指派服务器位置。如果在用户的域账户中输入了用户配置文件的路径,当用户注销时,该用户本地用户配置文件的副本将保存到本地和用户配置文件路径位置。用户下次登录时,用户配置文件路径位置中存储的配置文件将与本地用户配置文件文件夹中的副本进行比较,然后打开最新的配置文件副本。这样不论用户在什么地方登录,只要账户相同,都可以使用用户配置文件中的设置和文档,大大简化了用户环境的配置。
指定漫游用户配置文件给使用者在服务器上建立共享文件夹,并确定使用者对此文件夹的共享权限至少要为参与者(也就是变更的权限)到域控制器上利用Domain Admins或Enterprise Admins群组成员的身分登入,然后透过Active Directory用户和计算机来设定使用者Alex到网域内的任何一台计算机登入时,系统就会自动在共享路径\\Server1\Profiles内建立漫游用户策略文件文件夹Alex.V2,不过此时该文件夹内尚未包含任何数据指定漫游用户配置文件给使用者另外,用户配置文件夹创建后只能由对应用户打开,其他用户(包括系统管理员)访问时会出错的,这就保证了用户配置文件的私密性。若用户第一次利用此计算机登入,则其工作环境是透过Default来设定。若用户之前曾经利用此计算机登入过,则其工作环境是透过他的本机用户配置文件来设定。使用者注销时,其工作环境会被储存到漫游内与本机用户配置文件内。以后该使用者到域内的任何一台计算机登入时,都会读取漫游用户配置文件。
实验环境:
使用VM虚拟机,客户端为Windows XP,服务器端为Windows Server 2008企业版。
首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。
实验步骤:
1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图
2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成
4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹
主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。
现在配置基本完成,我们从客户端登录一下试试看
初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。
回到服务器上我们会看到生成好多文件,刚才这里面还是空的
这些文件就是我们注销的时候下面提示正在保存配置文件的时候,其实就是把文件写入我们服务器里面了。
我们再次重新登陆一下
打开我的电脑会发现多了一个磁盘映射
这就是我们专门为此用户设计的一个共享文件夹,用户可以把重要的数据等存放在这里,其实就是存放在服务器上,相对来说就更加安全了。
至此,漫游用户配置文件就配置完毕了。
小提示:如果配置过程中出现一些问题,那么多数是权限设置问题。这时候需要检查一下权限即可。其他方面一般很少出现问题。另外,如果,服务器上共享的文件夹只给予只读权限,那么,用户配置文件所有内容在下次登录的时候都会失效,像还原卡一样。因为,在注销时向服务器更新配置文件的时候是没有权限的,而下次登录的时候再次向服务器请求配置文件,自然而然就是旧的了,而不是最新的。
5.3本机使用者与群组账户管理
5.3.1内置账户及新建修改删除本机用户帐户
Administrator
拥有最高的权限,您可以利用它来管理计算机,例如建立/修改/删除用户与组帐户、设定安全原则、建立打印机、设定用户权力等
您无法将此账户删除,不过为了更安全起见,建议将其改名
Guest
它是供没有账户的使用者来临时使用的,它只有很小的权限
您可以更改其名称,但是无法将它删除。此账户内定是未开放的(disabled)
5.3.2内置本地组及新建修改删除组
Administrators
Backup Operators
Guests
Network Configuration Operators
Performance Monitor Users
Power Users
Remote Desktop Users
Users
善用群组来管理用户帐户的权限与权利,以减轻管理负担
5.3.3特殊组帐户
Everyone
Authenticated Users
Interactive
Network
Anonymous Logon
Dialup
5.3.4安全标识符(SID)
每一个用户账户都有一个唯一的安全标识符(security identifier,SID)系统内部会利用SID来代表该使用者,同时权限与权力也都是通过SID来记录。
实验 本地用户和组
实验目的:
熟练掌握Windows Server 2008用户帐户的作用
实验要求:
1、Windows 2000/XP/2008操作系统
注意事项:
内置用户GUEST的使用场合
操作步骤:
1、 创建本地用户帐户
步骤:”管理工具”è计算机管理è系统工具è本地用户和组è用户è在右边页面鼠标右击è新用户 输入所需信息即可
2、 创建本地组
步骤:”管理工具”è计算机管理è系统工具è本地用户和组织è用户è在右边页面鼠标右击è选择”新建组” 填写相关信息完成,如下图
3、 实验将本地用户添加到本地组中,同时给本地组指派权限
步骤:”管理工具”è计算机管理è系统工具è本地用户和组织è用户è在右边页面鼠标右击è选择要添加成员的组è右击选择”添加到组”è在组属性中选择添加输入所要添加的本地用户名称完成
实验小结:
5.4组策略与安全设定
5.4.1本地组策略概述
组策略就是将系统重要的配置功能汇集成各种配置模块供管理人员直接使用,从而达到方便管理计算机的目的。简而言之,组策略是一种用来修改注册表设置项目的有效工具。 例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。Windows 2008系统默认已经安装了组策略组件,在开始菜单中单击【运行】菜单项,然后在【打开】编辑框中输入gpedit.msc命令并按回车键,打开“组策略编辑器”窗口。在组策略中,分为“计算机配置”与“用户配置”两部分。
1、计算机配置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户配置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
当计算机启动时, 就会应用计算机配置中的内容。而用户配置是当用户登录时所应用的内容。
软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
WINDOWS设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中,能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。
系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。
策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。
策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GPO-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。
管理员可以针对站点、域与组织单元设置组策略。这些组策略应用时的范围不同。还可以对本地计算机设置本地组策略,使组策略只应用于该计算机。
组策略的继承顺序依次为“本地组策略”、“站点组策略”、“域组策略”、“组织单元组策略”。如果其中有的策略冲突,将以后应用的策略为基准。例如本地组策略与站点组策略冲突。将以站点组策略为准而施行。
本地计算机原则与域组策略有冲突的话,以域的设定优先。“计算机配置”和“用户配置”发生冲突时,大多情况以“计算机配置”为先。
本机计算机原则实例演练
n 计算机设定实例演练
- 停用 显示关机事件追踪器
n 用户设定实例演练
- 移除「关机」、「重新启动」、「睡眠」及「休眠」命令
- 移除浏览器Internet Explorer的「安全性」与「联机」标签
- 将「控制台」内的「Windows防火墙」隐藏起来
5.4.2本地安全策略
安全设置策略是一个广泛的概念,它由很多其他策略构成,例如帐户策略、本地策略和软件限制策略等。 安全是用户在使用计算机时最关切的问题。在组策略中,Windows Server 将安全设置详细的分层。包括帐户策略(登录密码、帐户锁定等)、本地策略(审核、权限分配等)、公钥策略(加密文件等)、软件限制策略和IP安全策略。用户合理的使用这些策略,可以极大的提高计算机安全性。
帐户策略 登录到计算机,让计算机进行身份验证,这是安全问题的第一步,如果让非法用户登录,后果一定很严重,把好第一关的重要性自然不言而喻。 帐户策略中常用的两组策略为密码策略与帐户锁定策略。帐户锁定阈值帐户锁定时间自动解除锁定手动解除锁定重设帐户锁定计数器的时间间隔
密码策略① 密码必须符合复杂性要求:如果密码不具备系统要求的复杂性,系统会要求用户重新输入,直到用户输入的密码符合要求。但这里的复杂性不是指密码的长度。 ② 密码长度最小值:指密码长度不应小于该值。如果小于该值,系统会要求用户重新输入。 ③ 密码最长使用期限:指用户最长使用期限,用户登录时,如果使用期限已到,系统会要求用户更改密码。 ④ 密码最短使用期限:指用户最短使用期限,如果使用期限没到,系统不允许用户更改密码。 ⑤ 强制密码历史:记录用户曾经使用的密码,使用户在更改密码时,可以重复使用旧密码。
账户锁定策略① 复位帐户锁定计数器:在用户没有登录时,计数器值为0,用户登录失败一次,计数器加1,如果登录成功,计数器归0,若锁定计数器的值等于帐户锁定阈值。该帐户即被锁定。 ② 帐户锁定时间:设置将用户锁定多长时间,在这段时间之后,帐户会自动解除锁定,如果该值为0,表示永远不会解除锁定,必须以管理员身份登录后解除锁定。
③ 帐户锁定阈值:设置帐户登录失败次数,若在限次内未成功登录到计算机,将锁定该帐户
本地策略-用户权限的分配允许本机登入拒绝本机登入将工作站新增至网域关闭系统从网络存取这台计算机拒绝从网络存取这台计算机强制从远程系统进行关闭备份文件及目录还原档案及目录管理审核及安全性记录变更系统时间载入及卸除设备驱动器取得档案或其他对象的拥有权本机原则-安全选项交互式登录:不要求按CTRL+ALT+DEL键交互式登录:不要显示上次登入的使用者名称交互式登录:先前域控制器无法使用时的登入缓存次数,默认记录10个用户。交互式登录:在密码过期前提示用户变更密码交互式登录:给登入用户的消息本文、给登入 用户的消息标题关机:允许不登入就将系统关机
审核资源的使用透过审核功能可以让系统管理员来追踪是否有用户存取计算机内的资源、追踪计算机运作情况等
n 审核程序
- 启用审核策略:需Administrators群组的成员
- 设定欲审核的资源:需具备管理审核及安全性记录权利,预设是Administrators拥有此权利
n 可透过本机安全策略、网域安全策略、域控制器安全策略或组织单位的组策略来设定
可审核的项目
n 审核目录服务存取
n 审核系统事件
n 审核物件存取
n 审核策略变更
n 审核特殊权限使用
n 审核账户登入事件
n 审核账户管理
n 审核登入事件
审核程序追踪
审核实例演练
n 审核登入事件
n 审核档案的存取行为
n 审核打印机的存取行为
n 审核Active Directory对象的存取行为
组策略基本观念
n 域组策略
- 会被套用到域内的所有计算机与用户
n 组织单位组策略
- 会被套用到该组织单位内的所有计算机与用户
n 组织单位会继承域组策略的设定
- 有效设定=域组策略+组织单位组策略
- 若两者之间的设定有冲突的话,默认是以组织单位的原则设定优先
* 可透过禁止继承与强制继承来变更默认值
n 透过GPO来设定组策略,内建有两个GPO:
- Default Domain Policy
- Default Domain Controllers Policy
组策略实例演练
n 针对组织单位GPO内的 使用者设定 来禁止使用者执行浏览器Internet Explorer
组策略例外排除
n 原则设定会被套用到网域或组织单位内的所有用户与计算机。
n 可透过群组原则筛选来将所选的用户或计算机排除、不套用。
域安全策略
n 透过群组原则管理来管理
n 域内的所有计算机都会受到网域安全策略的影响
n 域内计算机的本机安全策略与域安全策略的设定有冲突时,以域安全策略的设定优先
n 只有在域安全策略是被设定成尚未定义 时,本机安全策略的设定才有效,若域安全策略是启用或停用的话,则本机安全策略的设定无效
域安全策略的套用时机
n 本机安全策略有异动时
n 本机计算机重新启动时
n 定时套用
- 域控制器:每隔5分钟自动套用
- 非域控制器:每隔90到120分钟自动套用
- 所有计算机每隔16小时会自动强制套用网域安全策略内的所有设定,即使原则设定没有异动
n 手动套用
- gpupdate
- gpupdate /force
n 多台域控制器的情况:PDC操作主机
域控制器安全策略
n 透过群组原则管理来设定
n 位于组织单位Domain Controllers内的所有域控制器都会受到影响
n 域控制器安全策略与域安全策略的设定有冲突时,预设是以域控制站安全策略的设定优先,也就是域安全策略自动无效
- 帐户策略 例外:域安全策略的帐户策略设定对域内所有的用户都有效,包含组织单位Domain Controllers ,也就是域控制器安全策略的帐户策略对Domain Controllers内的使用者并没有作用
n 域控制器安全策略的设定必须要套用到域控制器后,这些设定对域控制器才有作用。套用时机如前所述
首选项与原则设定
n 只有域内的组策略才有首选项功能,本机计算机原则并无此功能
n 首选项非强制性,客户端可自行变更设定值(故适合于当作默认值),然而原则设定是强制性设定,客户端套用这些设定后就无法变更
n 原则设定:客户端计算机的操作系统或应用程序需支持组策略。 首选项:不需此要求
n 筛选设定
- 原则设定:需针对整个GPO来筛选
- 首选项:可以针对单一设定项目来筛选
n 原则设定优先于首选项
n 客户端计算机需安装首选项的client-side extension(CSE)
首选项
n Windows设定
- 以前可能需要透过撰写脚本(scripts)才做得到的事情,现在可以透过此处来设定,不需要再撰写脚本,例如磁盘驱动器对应、环境变量设定、登录值设定、建立文件夹与档案等
n 控制台设定
- 用来设定客户端控制台内的项目,例如地区选项、电源选项、打印机等
组策略的配置及使用
一、 实验名称
组策略的配置及使用
二、 实验类型
验证性实验
三、 实验目的
通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。
四、 实验内容
(1)通过控制台访问组策略
(2)对用户设置密码策略
(3)对用户设置登录策略
(4)退出系统时清除最近打开的文件的历史
五、 相关知识
1、组策略对象的类型
组策略对象有两种类型:本地和非本地。
本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被 非本地组策略对象覆盖,所以仍然可以发挥作用。
非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。
2、组策略模板
组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。
3、组策略设置的类型
通过编辑组策略对象可以对组策略设置进行配置,可以进行配置的组策略类型有:
◆ 管理模板。用于配置应用程序以及用户桌面环境的基于注册表的设置。
◆ 安全设置。用于配置本地计算机、域和网络安全性的设置。
◆ 软件安装。用于将管理软件的安装、更新或删除操作集中起来的设置。
◆ 脚本。指定了系统在何时运行特定的脚本。
◆ 远程安装服务。指当通过“远程安装服务(RIS)”运行“客户安装向导”时,用于控制用户可用选项的设置。
◆ Internet Explorer维护。指用于管理和自定义Microsoft Internet Explorer的设置。
◆ 文件夹重定向。用于将特定的用户配置文件夹存储到网络服务器上的设置。
4、计算机和用户的组策略设置
存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。
通常可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。
(1)计算机配置
计算机配置的组策略设置包括操作系统行为、桌面行为、安全设置、计算机启动和关机脚本、计算机分配的应用程序选项和应用程序设置。在操作系统初始化和整个系统刷新间隔期间,系统将会应用与计算机有关的组策略设置。
(2)用户配置
用户的组策略设置包括特定的操作系统行为、桌面设置、安全设置、分配和发布的应用程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。在用户登录计算机以及整个策略刷新间隔期间,系统将会应用与用户相关的组策略设置。
一般来说,当计算机组策略设置和用户组策略发生冲突时,系统将优先应用计算机组策略设置。
六、 实验环境
联网的多台计算机,操作系统为Windows XP,要求分组操作完成。
七、 参考步骤
(1)通过控制台访问组策略
① 单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。
② 单击控制台窗口的“文件”→“添加/删除管理单元”,在弹出窗口单击“添加”,之后选择“组策略对象编辑器”并单击“添加”,在下一步的“选择组策略对象”对话框中选择对象。
③ 由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始时,允许更改‘组策略管理单元’的焦点”复选框如图所示。
最后添加进来的组策略如图所示。
(2)对用户设置密码策略
①在“组策略编辑器”窗口中,依次展开“计算机配置”-“Windows设置”-“安全设置”-“账户策略”-“密码策略”,如图所示。
②打开“密码策略”,双击“密码必须符合复杂性要求”,弹出如图所示的界面。
③在“密码必须符合复杂性要求属性”对话框中选择“定义这个策略设置”,然后选择“已启用”,再单击“确定”按钮。
④此时更改或设置用户密码,将弹出一个对话框,提示不能完成用户的密码更改,说明该策略已起作用,如图所示。
(3)对用户设置登录策略
①在“组策略编辑器”窗口中,依次展开“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权利指派”,如图所示。
②在“用户权限分配”中双击“在本地登录”,弹出如图所示的对话框。
③在“允许在本地登录”对话框中,确保用户b1不在“允许本地登录”中,然后注销当前用户。
④当出现登录界面时,以用户b1身份来登录,输入用户名和密码后,单击“确定”按钮,系统将提示“此系统的本地策略不允许您交互登录”,如图所示。
⑤此时,以管理员身份重新登录到系统中,并修改组策略,确保用户b1在“允许本地登录”中。
⑥注销并重新以b1身份登录,此时,该用户就可以登录到系统中。
(4)退出系统时清除最近打开的文件的历史
①在“组策略编辑器”窗口中,依次展开“用户配置”-“管理模板”-“任务栏和开始菜单”,如图所示。
②在“任务栏和开始菜单”中双击“退出系统时清除最近打开的文件的历史”,弹出如图所示的对话框。单击应用。
③此后用户退出时系统将会删除最近打开的文档的历史记录,因此,用户登录时“开始”菜单上的“文档”菜单总是空的。
八、 实验拓展
根据以下要求对Windows Server 2003服务器进行安全策略配置:
步骤(1)配置账户策略
密码策略:启用密码必须符合复杂性要求,密码最短使用期限改成0天
账户锁定策略:账户锁定阈值 5 次,账户锁定时间 10分钟
步骤(2)配置本地策略之审核策略
审核策略更改 成功 失败 审核登录事件 成功 失败
审核对象访问 失败 审核系统事件 成功 失败
审核账户登录事件 成功 失败 审核账户管理 成功 失败
组策略 |
|
|