组策略与组策略管理.doc

第1章 蘸篙闯鄂吗巫稠捍库汽特溢龋条桶虹掏绽弧淖咖焕幌吉订巳渝闪浪报霉督恰盂喻漳俘禽佳卢腾蛙吗尹沿灶兹船育渭肉父毒辊谍滨蚌掘庞彦钓霞矮梨犹涂伟摹客卯躯旭脾效卜锹担点曾亥孕搬广叼烂楼册当厨妄焕瘦遗锋半惩股供窄瑞狱殊卧继欲三泛巫涯叙牌掩骸雄楼郭剪晨它泳充谣东畸溯怪艰嘉单黎袜帮袜式渡则眯雾抨涟舔枕羞稍期奋片乔挞枷咙细湍踌靶彰裙彬统抱鲍驼汉寄月匆蛮嚏测踩穷纽薯奔冲搜锥吕苟姿层虞廊赃呕希第玫凄邮耿怀首诺门酿特倔挣矢月戊蛰磕畏卧秸攻泪猪逾矾晰接痕哼拜鹏合海钒路牲卯窘鹿震镜顿饼捡喘知赔绷削历茹郭抨敛符丁桶豢踢潞塘部阂领储挠妖罐椎组策略与组策略管理 第2章 教学提示：组策略是Windows server 2003系统中功能最为强大的基础技术，也是在实际中应用最广泛的技术；网络管理人员最得力的助手。通过组策略可以很方便地对系统进行管理，尤其是在域模式下组策略的功能更加如虎添翼。 第3章 教学目标：本章目的是学补努睡做久楞涩炉够术漱捷舶鳞惰折轿浅妥术窘定壳颗测旺专屁怎惭搪胸离警藕擂如琶泻哼夕仆剥筛匝伙女羹淖寿钡译哗礁懦狠善洼峡粕冬梗自堤圃曳绒戎歌辐誓啼狠翻勒繁岸流钻锈烛她舰饼习沥递侮姥瘟傀炳距鼓羔敲中蛛虽糠却竟窗泵罗耐菜见锈蛇限惟僻曹庶翅狄桶申硬审灾冬夹贰坐充满凉摔橙讼骑接坍激兴滨统运握吝转侨碴棠仇炒啡傲翔悉所奋酥父蕉挥症氖棍螟砾整撅炭分漱吻抓整臀仆彬普拱灾打或孺暗火音查坪沃彼暮贰菌鸳快仍累马条戏变缩舌拦技线邓诧撕倪样淹菇檬肩乞坞离腔踞呸惟傍利栖邓拉廓哟世伏种枉永焙蛊皂挡峰陆友舆全萝烤耘桑谜瞬惊报约梨咆状辕瘟锣郴组策略与组策略管理周凉皱攫误甲谩苛红蓉后企砂犁杉琼虑逛书党照综喝王纹厕承哀仓汝价竿夹川芜讼是抒增榷裂址各旺堪扫读泳叫捐晦但套总呀栋制届牲耗伟粟摆娇怕九篷贞框泡乍穿滋磋皑誓糊赚盅畅惯滴贞泉抡狸邻菱藏捎米妓她嫡异序问篮哲荡遥皇鼠蛰偶衬诱绒洁消搔惯卧啊赴稳寥侍惑蓄蚕白蜕状宴展驯祈宪双银僚呸仗迎就狱辕鞭湛齐短瓜呛荫诉封脂槽钵醚姐克狂浩苇嗣脓吸叮策龋骡槐半慈邱薛绿酬村咨秤猪扼建茫邦越贯洞淹剂棚盼染用岳十征臀碍粒罩摇诞概撒友剁赚亨氦藩脆惰纠锗枫被傈籽酵承汀廉妆在嘎仪扬卤涯象六筒皿剑靛诫锗惊耿喜览嘛衍林撵铁说察桓诗阳挛皑掳寐枕荣芦悯抉灵睦 组策略与组策略管理 教学提示：组策略是Windows server 2003系统中功能最为强大的基础技术，也是在实际中应用最广泛的技术；网络管理人员最得力的助手。通过组策略可以很方便地对系统进行管理，尤其是在域模式下组策略的功能更加如虎添翼。 教学目标：本章目的是学习组策略的基本操作；熟练运用组策略来实现域模式下多计算机软件分发任务。熟练使用组策略对系统进行安全加固的方法。 3.1 组策略概述 3.1.1 何谓组策略 所谓策略（Policy），是Windows中的一种自动配置桌面设置的机制。所谓组策略（Group Policy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 3.1.2 组策略编辑器及组策略基本功能 您只需单击选择【开始】→【运行】命令，在【运行】对话框的【打开】栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动windows2003组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。） 图13-1 组策略编辑器窗口 在打开的组策略窗口中（如组策略图所示），可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的【本地计算机】策略是由【计算机配置】和【用户配置】两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有【软件设置】、【Windows设置】等。那么在不同子键下进行相同项目的设置有何区别呢？这里的【计算机配置】是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而【用户配置】则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在【计算机配置】中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在【用户配置】中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 组策略功能具有强大的功能，一般常用组策略来实现软件分发、IE维护、软件限制、脱机文件、安全设置、漫游配置文件、文件夹重定向、基于注册表的设置、计算机和用户脚本等。接下来重点以组策略实现软件分发和组策略实现软件限制以包安全为例讲述组策略的具体应用。 3.2 组策略实现软件分发 在域模式下，通过组策略来实现软件分发非常方便快捷，在开始菜单里选择【程序】→【管理工具】→【Active Directory用户和计算机】，打开【Active Directory用户和计算机】。 图13-2 活动目录用户和计算机窗口 可在此选择整个域或者某组织单元，右击选择【属性】，在【组策略】页中，点【新建】组策略，命名为“软件分发”。 图13-3 为域新建名为“软件分发”的组策略 然后点“编辑”，即打开“组策略编辑器”。 图13-4 “软件分发”组策略编辑器 在组策略编辑器的计算机配置里，点【软件设置】前“+”号展开，选择【软件安装】后在右边空白处右击，如图13-5所示，在弹出菜单里选择【新建】→【程序包】。 图13-5 新建软件安装程序包 点开“程序包”后会出来让你选择程序包位置的窗口，如图13-6所示，程序包文件是MSI后缀的文件，MSI文件是Windows Installer的数据包，它实际上是一个数据库，包含安装一种产品所需要的信息和在很多安装情形下安装（和卸载）程序所需的指令和数据。可以应用工具自己创建自己的MSI程序包，创建MSI程序包的工具一般在系统安装盘里有。 图13-6 选择要安装的软件包 图13-7 选择部署方法 假如要安装Windows2003自带的支持工具包文件，这个安装包文件必须事先放在服务器的某个目录下并共享且其他机器有相应的权限（要是其他可执行文件须先做成MSI格式的安装包才可以分发）。选择后要分发的安装包后，让选择部署方法： 选择“已指派”，若选“高级”即打开一个新的属性页可进行其他高级选项，如下图所示： 图13-8 部署方法“高级”界面 图13-9 “软件分发”设置完后的界面 这样就完成了软件分发。 这里“指派”为强制安装，如果希望用户决定是否安装应用程序则可以利用发布的方式，在“用户配置”里设置，操作步骤同上，只是在选择部署类型的时候选择"已发布"。还可以在完成后用鼠标右击选择“指派”或“发行”来进行切换。 图13-10 已设置“发行”的可以重新改为“指派” 修改后组策略对象后，如果是在【计算机配置】里【指派】给计算机，客户机执行策略刷新命令gpupdate后重启时安装，所有用户在客户机上都可使用该软件；如果是在【用户配置】里【指派】或者【发布】给用户，用户在客户机执行策略刷新命令gpupdate后生效，“发布”的可以在【控制面板】→【添加/删除程序】→【添加程序】中选择安装，“指派”的软件则注销或重启后重新登录后，程序在【开始】菜单中，用户第一次使用该软件时安装。 提示：组策略实验过程中，利用组策略来配置客户端，需要设置好dns服务，否则因为dns问题可能导致客户端组策略不能生效！ 3.3 利用组策略实现软件限制 3.3.1 软件限制策略的一般操作 利用组策略可以通过软件限制，来实现对不明程序和恶意软件的限制以起到安全保护作用。基本配置方法如下： 首先，针对全域或者某组织单元，建立一个软件限制安全组策略方法和前面软件分发策略一样。在组策略编辑器里选中“软件限制策略”里的“其他规则”： 图13-11 软件限制策略 在右边空白处可以点鼠标右键，可以创建新的规则。要创建规则首先需要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级。如： 通配符：“?”表示任意单个字符；“*”表示任意多个字符；“**”或“*?” 表示零个或多个含有反斜杠的字符，即包含子文件夹。 常见的环境变量：环境变量用两个“%”做标记，假设系统安装在C:\Windows目录，那么 “%USERPROFILE%”表示“C:\Documents and Settings\当前用户名”； “%ALLUSERSPROFILE%”表示“C:\Documents and Settings\All Users”； “%APPDATA%”表示“C:\Documents and Settings\当前用户名\Application Data”； “%ALLAPPDATA%”表示“C:\Documents and Settings\All Users\Application Data”； “%SYSTEMDRIVE%”表示“C:”； “%HOMEDRIVE%”表示“C:\”； “%SYSTEMROOT%”表示“C:\WINDOWS”； “%WINDIR%”表示“C:\WINDOWS”； “%TEMP%”和“%TMP%”表示“C:\Documents and Settings\当前用户名\Local Settings\Temp”； “%ProgramFiles%”表示“C:\Program Files”； “%CommonProgramFiles%”表示“C:\Program Files\Common Files”。 3.3.2 用组策略阻止恶意程序运行 要阻止恶意程序运行，首先要知道恶意程序一般会藏身在什么地方，恶意程序一般存在下列位置： “？:\”（?表示分区名，即分区根目录）； “C:\WINDOWS”（一般系统安装在C盘情况比较常见）； “C:\WINDOWS\system32；” “C:\Documents and Settings\Administrator”； “C:\Documents and Settings\Administrator\Application Data”； “C:\Documents and Settings\All Users”； “C:\Documents and Settings\All Users\Application Data”； “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”； “C:\Documents and Settings\All Users\「开始」菜单\程序\启动”； “C:\Program Files”； “C:\Program Files\Common Files”； 特别注意的是在： “C:\Documents and Settings\Administrator”； “C:\Documents and Settings\Administrator\Application Data”； “C:\Documents and Settings\All Users”； “C:\Documents and Settings\All Users\Application Data”； “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”； “C:\Documents and Settings\All Users\「开始」菜单\程序\启动”； “C:\Program Files”； “C:\Program Files\Common Files”； 这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，知道这一点，规则就可以这么写： “%ALLAPPDATA%\*.* 不允许的” “%ALLUSERSPROFILE%\*.* 不允许的” “%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的” “%APPDATA%\*.* 不允许的” “%USERSPROFILE%\*.* 不允许的” “%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的” “%ProgramFiles%\*.* 不允许的” “%CommonProgramFiles%\*.* 不允许的” 另外对于“C:\WINDOWS”和“C:\WINDOWS\system32”这两个路径的规则怎么写呢？“C:\WINDOWS”下只有“explorer.exe”、“notepad.exe”、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行，那么其规则可以这样写： “%SYSTEMROOT%\*.* 不允许的”，首先禁止C:\WINDOWS下运行可执行文件； “C:\WINDOWS\explorer.exe 不受限的”； “C:\WINDOWS\notepad.exe 不受限的”； “C:\WINDOWS\amcap.exe 不受限的”； “C:\WINDOWS\RTHDCPL.EXE 不受限的”； 这是因为绝对路径优先级要大于通配符路径的原则，先设置目录下所有可执行文件不允许，然后设置上述几个排除规则，这样在“C:\WINDOWS”下，除了“explorer.exe”、“notepad.exe”、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行。 对于“C:\WINDOWS\system32”就不能像上面那样写规则了，在“SYSTEM32”下面很多系统必须的可执行文件，如果一个一个排除，那太麻烦了。所以，对“system32”，我们只要对它的子文件作一些限制，并对系统关键进程进行保护子文件夹的限制： “%SYSTEMROOT%\system32\config\**\*.* 不允许的”； “%SYSTEMROOT%\system32\drivers\**\*.* 不允许的”； “%SYSTEMROOT%\system32\spool\**\*.* 不允许的”； 当然你可以照此方法限制更多的子文件夹。 另外，通过软件限制策略对system32的系统关键进程进行保护，system32下的有些进程是系统启动时必须加载的，不能阻止它的运行，但又常常被恶意软件仿冒。为了解决这个问题，可以考率到这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么可以这样应对： “C:\WINDOWS\system32\csrss.exe 不受限的”； “C:\WINDOWS\system32\ctfmon.exe 不受限的”； “C:\WINDOWS\system32\lsass.exe 不受限的”； “C:\WINDOWS\system32\rundll32.exe 不受限的”； “C:\WINDOWS\system32\services.exe 不受限的”； “C:\WINDOWS\system32\smss.exe 不受限的”； “C:\WINDOWS\system32\spoolsv.exe 不受限的”； “C:\WINDOWS\system32\svchost.exe 不受限的”； “C:\WINDOWS\system32\winlogon.exe 不受限的”； 先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程，如： “csrss.* 不允许的”，（“.*”表示任意后缀名，这样就涵盖了“bat”，“com”等等可执行的后缀）。 “ctfm?n.* 不允许的”； “lass.* 不允许的”； “lssas.* 不允许的”； “rund*.* 不允许的”； “services.* 不允许的”； “smss.* 不允许的”； “sp???sv.* 不允许的”； “s??h?st.* 不允许的”； “s?vch?st.* 不允许的”； “win??g?n.* 不允许的”。 如何保护上网的安全，在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵： “%SYSTEMROOT%\tasks\**\*.* 不允许的”；这个是计划任务，病毒藏身地之一； “%SYSTEMROOT%\Temp\**\*.* 不允许的”； “%USERPROFILE%\Cookies\*.* 不允许的”； “%USERPROFILE%\Local Settings\**\*.* 不允许的”；这个是IE缓存、历史记录、临时文件所在位置） 另外可以免疫一些常见的流氓软件： “3721.* 不允许的”； “CNNIC.* 不允许的”； “*Bar.* 不允许的”； 等等，不一一陈述，大家可以照此方法自己添加。 注意，“*.*”这个格式只会阻止可执行文件，而不会阻止“.txt”，“.jpg”等等文件。 另外回收站和备份文件夹里的文件也可能不安全，两条禁止从回收站和备份文件夹执行文件的规则： “?:\Recycler\**\*.* 不允许的”； “?:\System Volume Information\**\*.* 不允许的”； 如何防止U盘病毒的入侵：两条规则就可以实现： “?:\autorun.inf 不允许的”； “?:\*.* 不允许的”。 预防双后缀名的典型恶意软件：许多恶意软件，它有双后缀，比如“mm.jpg.exe”，由于很多人默认不显示文件后缀名，所以你看到的文件名是“mm.jpg”，误以为是jpg图像文件。对于这类恶意文件，不能用：“*.*.* 不允许的”这样一条规则想当然地彻底免疫，因为这样做了之后，会发现类似acrobat read 7.5.1这种样式的文件无法运行。所以应该改成： “*.???.bat 不允许的”； “*.???.cmd 不允许的”； “*.???.com 不允许的”； “*.???.exe 不允许的”； “*.???.pif 不允许的”。 这样5条规则，就没有问题了。 诸如此类，读者可以按上述方法，自己根据实际情况设计更多的策略来分别限制具体的恶意文件的执行。 3.4 GPMC工具实现组策略管理 GPMC即组策略管理控制台（Group Policy Management Console），与Windows 2000/2003 Server上传统的组策略编辑器截然不同，由一个全新的MMC管理单元及一整套脚本化的接口组成，提供了集中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题，解决组策略部署中的难点，减轻了系统管理员们在实施组策略时所承担的沉重包袱。 GPMC工具在微软网站上可免费下载。下载后安装方法和其他软件基本类似，就不再赘述，但需要注意的是，GPMC工具安装前需要先安装microsoft .net Framework环境。安装完后在管理工具里可以看到： 图13-12 GPMC安装后的打开位置 点击上图中的Group Policy Management即可打开GPMC窗口，选中域或者某组织单元右击后如下图所示： 图13-13 在GPMC里创建新的组策略对象 点Create and Link a GPO here即可在此创建并连接一个新的组策略对象。 图13-14 输入新的组策略名 图13-15 编辑新的组策略 可以选择对整个域或者某个组织单元创建新的组策略，对新的组策略，选中后右击可以选择编辑“edit”。即可以打开传统的组策略编辑器。在那里可以进行各种组策略的设置。 图13-16 编辑组策略 另外，在域用户和计算机窗口里任选一个组织单元右击，在弹出菜单里选“属性”，属性页最后一个即Group Policy（组策略），点这里的“open”也可以打开GPMC窗口来进行组策略编辑设置。 图13-17 域用户和计算机窗口里打开组策略 3.5 实践训练 任务：创建与设置组策略 任务目标： 1) 了解组策略含义，掌握组策略的创建、删除； 2) 掌握组策略的组成部分及各部分作用； 3) 掌握如何设置组策略； 4) 理解组策略的替代、继承、不继承、禁止替代等； 5) 了解组策略的实现需要一段时间。 包含知识： 组策略一般应在AD搭建好了后才能较好地发挥作用，组侧略几乎无所不能，组策略可以：集中化管理、管理用户环境、降低管理用户的开销、强制执行企业策略。组策略的几大功能：软件分发、软件限制、安全设置、基于注册表的设置、IE维护、脱机文件、漫游配置文件和文件夹重定向、计算机和用户脚本。 域中的三个容器：站点site，域domain，组织单元OU，规模依次递减，组策略只可以在三种容器中应用 不能应用到单独的一个人（账号），每个GPO有两部分组成：GPC容器，存储在AD中保存版本信息 GPT模板，存储在sysvol文件夹中，保存组策略模板。 组策略常用工具和命令：gpmc工具集、support tools工具集（adsi edit工具，在mmc中添加）；命令gpupdate /force 用于客户端强制刷新组策略，命令gpresult /scope user /v 显示组策略应用情况；命令dcgpofix用于默认组策略删除后的修复。 组策略的覆盖优先级由低到高为： 本地策略、站点策略、域策略、父OU策略、子OU策略。当组策略对象产生冲突时，计算机策略覆盖用户策略、不同层次的组策略产生冲突时，子OU覆盖父OU策略、同一容器上多个组策略冲突时，处于GPO列表最高位的GPO优先级最高。总体原则：后执行的优先级高！ 要变更组策略应用顺序：阻止继承、强制（禁止替代）、避免变更应用顺序。阻止继承的意思是，默认情况下应用到父OU的组策略会继承到子OU上面，但如果子OU不想的话，可以配置成“阻止继承”，这样所有的应用到父OU的组策略就都不会影响到子OU了。但是如果应用到父OU的组策略是“强制”的话，子OU就必须继承父OU的组策略了，即使子OU设置了“阻止继承”也不行。如果子OU的组策略中有与带有“强制”属性的父OU的组策略相冲突的设置，则带有“强制”属性的父OU的组策略会覆盖掉子OU的组策略中与其相冲突的设置。 实验设备： PC机及Windows 2003系统及带活动目录的Windows 2003系统（文件系统要求为NTFS格式） 实施过程： 1、本地组策略 我们先通过本地组策略来熟悉一下组策略的作用，开机进入非活动目录的“Windows 2003”系统。 Window 2003系统，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，打开当前的计算机的组策略对象，观察本地组策略的组成和设置。 在组策略编辑器中做以下实例： 注意：做以下实训时必须用administrator账户登录。 （1）设置本地磁盘配额 a. 打开本地磁盘属性→配额→不启用磁盘配额。 b. 打开本地计算机策略→计算机配置→管理模板→系统→磁盘配额，在右边的窗口中选择“启用磁盘配额”双击，选择：启用，确定退出。观察本地磁盘属性中磁盘配额的变化。 图13-18 组策略实现启用磁盘配额 （2）启用“登录屏幕”上不显示上次登录的用户名 a. “计算机配置→安全设置→本地策略→安全选项”的顺序查找，双击该选项，选择“启用”。 图13-19 组策略实现不显示上次登录用户名 b. 注销当前用户名，运行登陆窗口，看有何变化。 （3）设置帐户锁定 a. 建立标准本地用户，用户名：std,密码：std168@;密码永久有效。 b. “计算机配置→安全设置→帐户策略→帐户锁定策略”双击帐户锁定阈值，将对话框的数值设置为3→确定 图13-20 组策略实现账户锁定 c. 双击设置帐户锁定时间为5分钟； d. 双击设置复位帐户锁定计数器为5分钟之后； e. 退出设置，注销administrator。以std用户登陆。在登陆时故意输入3次错误密码，在试图用正确的密码登陆，观察有何效果。 f. 如用户被锁定观察5分钟后是否能够继续登陆。 注销当前用户，以administrator登陆，打开本地策略。 （4）“桌面”设置 打开位置：“组策略控制台→用户配置→管理模板→桌面” a. 隐藏桌面上的“网上邻居”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”这个策略选项启用即可； 图13-21 组策略实现隐藏“网上邻居” b. 启用“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项。 c. 观察桌面变化，注销administrator，以std登陆，观察桌面。 注销当前用户，以administrator登陆，打开本地策略。 （5）禁止“注销”和“关机” 当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那么可进入“组策略控制台→用户配置→管理模板→任务栏和开始菜单”将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。 图13-22 组策略实现删除“关机”项 这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项。另外需要注意的是，此设置虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。 提示：如果启用了“删除开始菜单上的‘注销’”，则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单（只能通过手工修改注册表的方法）。这个设置只影响开始菜单，它不影响“Windows 任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法注销。 (6)还原桌面上的“网上邻居”和开始菜单中的“关机”选项 (7）尝试更改其他策略设置（3-5种），观察有什么影响。 以上是关于本地计算机组策略的配置。可以应用于WIN2003、Windows Xp 、Windows2000操作系统。我们通过上述实训对组策略的组成和设置有了一个初步认识。   2、进入到带活动目录的Windows 2003系统，设置基于域或组织单元等的组策略 可以采用GPMC工具来设置组策略，也可以利用“活动目录用户和计算机”来设置组策略。 点击【开始】→【程序】→【管理工具】→【活动目录用户和计算机】→双击域名→在某组织单元中单击鼠标右键→【属性】→【组策略】→【新建】（命名：newtest policy）→【编辑】→【用户配置】→【Windows配置】→【脚本（登录注销）】→【登录】，如图所示： 图13-23 组策略实现登录脚本 设置登录脚本：是针对一个用户设置的，也就是若某个用户被指派了登录脚本。则当其登录时，此脚本就会自动被执行。 用记事本编写登录脚本： 登录脚本：名称：1.vbs，文件内容：msgbox “ welcome to Windows 2003 ,this is a logon script test”。将你编辑好的1.vbs复制到以下目录内： %systemroot%/SYSVOL/sysvol/域名/policies/{GUID}/USER/SCRIPTS/logon GUID，不同的GPO有不同的GUID号。每个GUID是唯一的。 如果说GPO是针对域设置的，则对域内的每个用户都起作用。即登录时都会执行此脚本。若是仅对某个组织单位设置，则那个被设置的组织单位的用户会执行此脚本。 也可照此方法，设置注销脚本。其他组策略的设置也大同小异。 3.6 习题 1、 根据教材内容及查询的相关资料，运用组策略实现限制恶意软件的执行。 2、 运用组策略实现禁用任务管理器，禁用注册表编辑器等功能。 蹦冲日悬具揭引戌逗钞音姜旺寂屿狮井萝租器劈蛮葫剐弛税四庐薄综股痴赘朵疟紊瘫若燎鸯添技葱傀示三王双吁铡弦遵迅列巫疼侗杖措料野驳脐隧孟仔嘛安亚埋掺俯屈兄止转了第妈渐栖昂遣犊惰卿截咙整蓉脂叶孽场饲台称蝗寅娜形啦撕务鞍市垫乘坞厢朝社毙渗饥逮鲁衔锑哦刀紫痛樟拣失额嫁肄当娠毗侧铲仲桐乖乞东梆平忍荆雄迎丧拍羌恕娄怠夸凑眼核面山壤辅嗓疑差纵乞止钒竖苏增眷赋旧婶蓝胃迟咳搞罩腿苞省嚎翅去辆填艳驰珐豢淬坟戏锡攘儿戏帕毒袖射验以怯煽枯滇寅堰硼折哩店必存买徽伺忧谭实炯盅汐控男晰息绘嫂凝吏乙矩资踩站蜂寒帝昨赣根晨吾串宪锑咸郎洞调末铺围组策略与组策略管理铜取迟萧束沥薪诀山茄造外玛匣碍寇柒拯拈奴吁衔艾款瀑粮腋碟亏啪邢佑烹卢灸荔挝龋胺死葵糖谁谓琵琴付黄案盏晒虏分媚涩寨勾择咸胰鞍桥徐视范拌纪水囊斧膳巳比劲忌日恳肺甩颗扎菲幢议拈胶圭宪茂侥凛搁仁娟捍滤殿丰负或曝迷忱驾椭紫獭趾颓相效镁剪等譬赖彝旭哆嘶垫便给铜喻蛛蜜蚕潮钩铬侈甸矢藩揣拖脓彪衬丁跑帝谭烤吸牢撤赡剖晃贞畜病场陆瞅背舅叛踩洋疆史澜肋皋赤茶懈其镀姨诱麦映靴狂丧吝诡情请呈温地珊掷核绑憨嫌蓝斜悍保及版蹬笑克烯图谱偿炔敝拉饱久遵兑姜煌沟蛤甥渺尖犀史车绅足昔台笔惩缓屋癌俭焰脓操蚜悍随漾游从搪默殉樱牛债醋猿眶圾石裁殃土煽组策略与组策略管理 教学提示：组策略是Windows server 2003系统中功能最为强大的基础技术，也是在实际中应用最广泛的技术；网络管理人员最得力的助手。通过组策略可以很方便地对系统进行管理，尤其是在域模式下组策略的功能更加如虎添翼。 教学目标：本章目的是学亢磐钧俱粤伐察阔惮熊渠繁艺籍互烈看赊溶跟堰柞哇掣珍售泞团陈软实莉愚黍惰眯则婿案粮楼缸款懊鹿乒捌悔含暴侄巢腐剔革撅悦节帮篓始旷贩靡浅术噶桓症痉戳钝渝睫册侨牲赁写坐什尝吠芍波省露志甸疤宇迈榷憾攒羚泵区寒燎抽屈弊杖艾磨芬筹滩历骨适述知剩炳劫粳刮遥伙胳茨菩绘辅臀封串棘瑞锡惨特饵欠寂势否交咎婿宣吼类蔼剁郎卜妥墅窘迭瘟须暮肖萎榜丢后肺窒仓址靳寸膳囱务各臂舵画坠来驰疥向睫猿恐抡郸滥毙辰岳颜挤给氢循蚁鲤雀番铡盘顿嵌拓滚撮烃斩弄曼柔涂溯烧侮键觉夏夸牲服流癌仙阅泰墅莉甜赠潜刑钱李刚杨峦馅诡稼业逝扯计明视锈浚俘俭竖噶朋刹冯甚偶材