 |
帖子主题: [推荐]第二十章 让所有的桌面保持一致 |
头衔:论坛总管理员
|
Admin   |
荣誉:管理员
职务:总版主
级别:圣骑士
积分:547
经验:3330
文章:271
注册:03-01-20 23:27
|
|
|
 发表: 2006-06-08 17:25:14 人气:14190   | 楼主 |
[推荐]第二十章 让所有的桌面保持一致
由于公司一些员工不听话,老是乱装一些与工作无关的软件或者进行一些错误的操作,系统总是时不时地崩溃。作为网管的彭彭发现每天自己都在做一些重复的工作,为每个系统损坏的计算机修复系统。彭彭想要提高自己的工作效率,就要避免这类事件的频繁发生。彭彭决定将整个网络升级到域管理模式,利用活动目录的组策略对公司员工的计算机进行一定的合理限制,让大家的桌面保持一致的设置,杜绝非法的操作导致计算机系统的崩溃,呵呵,这样还有助于提升公司的形象。
20.1 了解组策略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。管理员可以通过修改活动目录中的组策略配置客户端的桌面环境、安装应用程序、控制计算机和用户的状态。组策略可以让管理员只用管理少量的策略而不用花费大量的时间和精力去对付众多的用户和计算机。
组策略能通过修改注册表对系统的各种特殊属性进行设置,从而满足管理员对系统进行相关设置和限制的需要。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。
20.2 管理组策略
20.2.1 组策略的实施
组策略对象创建于一个域中,一个组策略对象可以连接任何数量的站点、域或组织单位,而一个站点、域或组织单位也可以连接到多个组策略对象上。前面提到了活动目录,计算机和用户是活动目录中可以接受组策略的对象,当计算机启动或用户登录时将自动获得相应的组策略。
组策略与Active Directory 用户中的域和文件夹以及计算机MMC(Microsoft管理控制台)管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory 站点和服务管理单元还可将组策略应用到站点。
子文件夹从父文件夹继承组策略,子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充。组策略可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。 组策略对象包含实现多种类型安全策略的权限和参数。总之,组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点,这个组策略会应用到父等级以下所有站点,包括每个容器中的用户和计算机对象。
有九种组策略安全功能。它们是位于组策略对象“安全设置”节点的容器。它们包括:账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory 中的网际协议安全策略。有些策略只应用于域的范围,也就是说,策略设置是在域范围内进行的。例如账户策略一律应用于域内的所有用户账户。不能为同一域内的不同部门定义不同账户策略。 至于安全策略范围,账户策略和公钥策略都具有域范围。所有其它策略范围都可在部门等级设定。
Windows 2000为在网络环境设置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件。可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上。把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略。
在Windows 2000 局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务(Active Directory),然后在域上实施组策略。其次应将工作站置于服务器所管理的域中。
一、服务器设置
1.启动活动目录服务
在“程序”菜单“管理工具”组启动“配置服务器项”,然后选中左边的“Active Directory”项启动活动目录安装向导。在设置过程中关键是要将服务器设置为第一个域目录树,在DNS域名输入最开始设置的域名。假设域名为lannet.cn ,服务器名是Server 2000,这样完整的服务器名称是“Server 2000.lannet.cn”。
2.打开组策略控制台
从“管理工具”组中启动“Active Directory 目录和用户”项,在右面对象容器树中的根目录——lannet.cn 上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。
3.设置组策略
Windows 2000 组策略有100多种与安全有关的设置和450多种基于注册表的设置,为管理用户计算机环境提供了众多的选项,某一选项一旦被设置将会作用于登录到BIOS域(lannet)上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下,供策略设置时参考。
● 启用“登录屏幕”上不显示上次登录的用户名
这一选项可以保护用户账号的安全,阻止账号盗用行为的发生。该选项所处位置按照“计算机配置→安全设置→本地策略→安全选项”的顺序查找。
找到后双击该选项,选择“启用”再单击“确定”按钮。当用户下次登录lannet 域时,该项策略将被应用在用户操作的工作站上。
● 允许在未登录前关机
该选项可以方便用户和管理员执行关机操作,免去不必要的登录过程。其位置及设置方法与前一项相同。
● 启动“活动桌面墙纸”
使用此选项,局域网上登录域的所有计算机将使用同一桌面墙纸,并且不能被更改。因此,可以通过这一项策略的设置,防止临时用户随意更换桌面墙纸,使局域网中的工作站具有相同的界面。
该选项所处的位置是 :“用户配置→管理模板→桌面→活动桌面”。
二、工作站设置
设置工作站的目的是使工作站能够登录lannet 域,发挥组策略的作用。通常Windows 2000 Professional 是以“工作组”(Workgroup)方式工作的,要改变这种方式使它加入到域中,可在桌面上右击“我的电脑”图标,选择快捷菜单中的“属性”,弹出图20.2.1所示的窗口,单击“属性”按钮,然后就可依照提示将工作站加入域中。需要注意的是,被要求输入的域名是BIOS域名——lannet,而不是完整域名——lannet.cn。
图20.2.1 网络标志
要想让工作站登录域,还需要在工作站登录时从“登录到”下拉菜单中选择“lannet”,而不是选择“登录本机”。为了防止用户在本机登录,须删除除“administrator”超级用户之外的所有本地账号。
当管理员更改了组策略之后,并不是马上就能够为计算机或用户所接受,而是需要等到组策略更新的时候才行。组策略更新时间见下表。
组策略的更新时间表
更 新 内 容 更 新 时 间
默认时间 最快时间
Windows 2000 工作站 每90分钟 每30分钟
Windows 2000 成员服务器 每90分钟 每30分钟
Windows 2000 域控制器 每5分钟
软件安装和文件夹重定向配置 重新启动或注销时
在默认情况下,组策略的应用按照以下顺序进行,后应用的组策略覆盖前应用的组策略。
1.Windows NT4格式的组策略。
2.本地组策略对象。
3.站点组策略对象。
4.域组策略对象。
5.组织单位中,按“从父到子”在每个组织单位级别上按管理指定顺序。
本地组策略只支持安全配置、管理模板和脚本,它在网上组策略之前运行,如果网上组策略和本地组策略产生冲突,将以本地组策略为准。
20.2.2 组策略的管理功能
组策略包括影响用户的“用户配置”和影响计算机的“计算机配置”,每一个配置组中含有若干项目。其中计算机配置用于计算机本身的配置,用户配置用于进行用户的设置。组策略设置保存在组策略对象中,它们与活动目录相关联,并产生作用。
管理员在计算机节点上进行的组策略配置,无论哪个用户登录到计算机上都将应用于该计算机。在默认情况下计算机配置有三个子项目:软件设置、Windows设置和管理模板。无论用户从哪一台计算机登录,都将应用管理员在用户配置节点上进行的组策略配置。用户配置和计算机配置一样包含三个子节点:软件设置、Windows设置和管理模板。
一、软件的安装和维护策略
使用了组策略的软件设置后,彭彭每次更新软件时只须在服务器上定制好安装程序,然后发行或指派给相关的用户或计算机就可以了,当用户或计算机下次登录到网络的时候就会自动安装或更新本地的软件。
选用指派模式时,可以将—个软件指派给所选的组策略。当完成指派工作以后,组策略中的每个用户或计算机都会接到一个软件安装的通知,同时在用户的计算机中安装有关该软件的信息,如在开始菜单中建立该软件的快捷方式、建立文件关联等,而该软件本身并没有真正安装。当组策略中的用户第—次需要用到该软件时,无论是通过运行开始菜单中的快捷方式还是通过文件关联,都将进行安装服务。这时安装程序才与服务器联系,完成整个软件的安装。对于用户来讲,不用了解这些后台的动作。由于接到安装软件通知就会进行软件信息的安装,这种安装方式事实上是即用即装的。
被指派的用户是不能决定放弃安装管理员指派的软件的。当用户删除掉被指派的应用程序后,下次登录时还会接到安装该软件的通知。相对于指派方式,使用发行方式时用户有权选择是否要安装管理员通知的软件。当管理员发行一个软件时,Windows安装服务除了安装软件信息外还将在“添加/删除程序”中加人该软件的信息。用户如果决定安装使用该软件,可以到“添加/删除程序”中进行安装操作,也可以通过打开与该软件相关联的文件来激活安装服务并完成安装。
用户在使用指派或发行的软件时,如果不小心删除或破坏了软件的相关文件,Windows安装服务将在下次使用该软件时自动检查,并连接到服务器对它进行修复。这样就保证了用户使用的软件永远都是完整可用的。
二、Windows系统的设置
用户设置和计算机设置中的Windows设置选项并不相同。计算机配置中的Windows设置仅包含了脚本的启动与关闭设置和安全设置(图20.2.2)。这里的脚本设置可以使用位于计算机配置节点下面的这个扩展件指定计算机启动或关闭时运行的脚本,这些脚本在本地系统运行。其中安全设置下面又包含了账户策略、本地策略、公钥策略和IP安全策略。在这里可以设置一系列的本机的安全选项设置。比如账号策略中的密码强度设置以及一些用户权利的指派等等。
图20.2.2 计算机配置中Windows设置目录
在用户设置中的Windows设置则包含了IE的维护、脚本设置、安全设置以及远程安装服务(图20.2.3)。用户设置比计算机设置主要增加了IE的维护设置和远程安装服务设置,此外,脚本的设置也不太一样。这里可以使用位于计算机配置节点下面的这个扩展件指定用户登录或注销计算机时运行的脚本。这些脚本以用户身份运行,但不能以管理员身份运行。IE维护的设置选项可以对IE浏览器进行详细的设置,其中包含IE的浏览器用户界面、连接、URL、安全、程序等设置。
图20.2.3 用户配置中Windows设置目录
三、管理模板
在计算机设置中管理模板主要提供了Windows组件、系统以及网络和打印机的详细策略配置管理(图20.2.4)。通过这些设置,彭彭可以对Windows组件中的NetMeeting、IE、任务计划程序以及安装服务,系统的登录、磁盘配额、DNS客户端、组策略和文件保护,网络的脱机文件和拨号连接等内容进行详细策略设置。
图20.2.4 计算机设置中的管理模板目录
用户配置中的管理模板主要包含了Windows组件、桌面、控制面板、网络以及系统的详细策略配置管理选项(图20.2.5)。通过管理模板就可以对每个详细指定的内容进行策略配置。
图20.2.5 用户配置中的管理模板目录
通过右键策略框内的项目属性可以看到策略的详细说明并可以对策略进行启用和禁用。比如要设置活动桌面里的“不允许更改”策略,打开属性页,选择策略标签页,选中“启用”,就完成了策略的应用(图20.2.6)。
图20.2.6 启用策略窗口
20.3 本地组策略的具体应用
组策略对本地计算机可以进行两个方面的设置 :本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。
20.3.1 组策略编辑器的启动
前面说了这么多的组策略的好处和计算机策略与用户策略的不同,灌了彭彭一肚子的理论,但到底怎么实现,彭彭还是知之甚少,只知道系统已经升级成了域,建立了组别,就连如何启动组策略都还不清楚!
不说还真的不知道,原来访问本地组策略的方法有两种 :第一种方法是命令行方式 ;第二种方法是通过在MMC控制台中选择GPE插件来实现。
一、组策略编辑器的命令行启动
单击选择“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows 2000组策略编辑器。
在打开的组策略窗口中(图20.3.1),可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等,那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。
图20.3.1 组策略窗口
二、在MMC控制台中通过选择GPE插件来打开组策略编辑器
具体方法如下:
1.单击选择“开始→运行”,在弹出的对话框中键入“mmc”,然后单击“确定”按钮。打开Microsoft管理控制台窗口(图20.3.2)。
图20.3.2 Microsoft管理控制台窗口
2.选择“控制台”菜单下的“添加/删除管理单元”命令。
3.在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按钮。
4.弹出“添加独立管理单元”对话框(图20.3.3)。在“单元”列表中选择“组策略”选项,单击“添加”按钮(图20.3.4)。
图20.3.3 “添加独立管理单元”对话框 图20.3.4 “单元”列表
5.由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按钮查找所需的组策略对象(图20.3.5)。
图20.3.5 “选择组策略对象”对话框
6.单击“完成→关闭→确定”按钮,组策略管理单元即可打开要编辑的组策略对象。
【小提示】倘若希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。
20.3.2 “任务栏”和“开始”菜单相关选项的删除和禁用
在“‘本地计算机’策略”中,逐级展开“用户配置→管理模板→任务栏和‘开始’菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略(图20.3.6)。
图20.3.6 “任务栏”和“开始菜单”的有关策略
一、给“开始”菜单瘦身
如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在右侧窗格中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络和拨号连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单等策略。只要将不需要的菜单项所对应的策略启用即可。现在以删除“文档”菜单为例,具体操如下:
1.在策略列表窗格中用鼠标双击“从‘开始’菜单中删除‘文档’菜单”设置选项。
2.在弹出窗口的“设置”选项卡中,选择“已启用”单选按钮(图20.3.7),然后单击“确定”按钮即可。
图20.3.7 启用策略
二、保护好你的个人隐私
出于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
三、保护好“任务栏”和“开始”菜单的设置
倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏’和‘开始’菜单设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这项操作。
四、禁止“注销”和关机
当计算机启动以后,倘若不希望这个用户再进行关机和注销操作,那么必须将右侧窗格中的“删除‘开始’菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用即可。
【小提示】倘若在“开始”菜单上删除了“注销”,“注销〈用户名〉”项目就不会出现在“开始”菜单。这个设置还从“‘开始’菜单选项”删除“显示注销”项目。结果是,无法将“注销〈用户名〉”项目还原到“开始”菜单。
20.3.3 桌面相关选项的删除和禁用
Windows的桌面就像办公桌一样,有时需要进行整理和清洁,有了组策略编辑器,这项工作将变得易如反掌,只要在“‘本地计算机’策略”中,逐级展开“用户配置→管理模板→桌面”分支,即可在右侧窗格中显示相应的策略选项(图20.3.8)。
图20.3.8 桌面策略
1.隐藏桌面的系统图标
隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这样势必造成一定的风险,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有图标”启用即可;当启用了“删除桌面上的‘我的文档’图标”选项以后,“我的文档”图标将从电脑桌面上消失。
2.禁止对桌面的某些更改
如果不希望别人随意改变计算机桌面的设置,在右侧窗格中将“退出时不保存设置”这个策略选项启用。当启用了这个设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
20.3.4 禁止访问“控制面板”
如果不希望其他用户访问计算机的“控制面板”,只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐级展开“‘本地计算机’策略→用户配置→管理模板→控制面板”分支,然后将右侧窗格的“禁用控制面板”策略启用即可(图20.3.9)。
图20.3.9 控制面板策略
此项设置可以防止“控制面板”程序文件(Control.exe)的启动。其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。
|
|
9 7 1 8 : 此主题共有1帖 此页1帖 每页100帖 |
|
|
|
回复帖子 注意: *为必填项 |
|
|
Copyright © 2018 外贸网站建设,SOHO英文网页制作,网站设计公司--伊路网络工作室 版权所有
本论坛内容纯属发表个人意见,与雪风伊路网络科技立场无关
论坛域名:bbs.elut.cn
页面执行时间:48毫秒
