6425C-Lab6 实现组策略

共有3个实验：

实验6A：组策略的实现

实验6B：管理组策略的作用域

实验6C：组策略应用的排错

==========

实验6A：组策略的实现

共2个练习：

练习1：创建、编辑和链接GPO

练习2：使用筛选器和注释

练习1：创建、编辑和链接GPO

任务1：创建一个GPO

　　在HQDC1计算机，在“管理工具”中点“组策略管理”。

　　展开左侧的树型列表，在“组策略对象”点右键，选“新建”。

 

　　输入名称“CONTOSO标准策略”，然后点“确定”。

 

任务2：编辑GPO的设置

　　在组策略管理控制台（GPMC，Group Policy Management console），右键点“CONTOSO标准策略”，选“编辑”。 

　　在左侧的树型列表中，依次展开“用户配置”、“策略”、“管理模板”，然后点“系统”，在右侧显示的项目中，双击“阻止访问注册表编辑工具”。

　　点“已启用”，在“是否禁用无提示运行regedit”下拉列表中选“是”。最后点“确定”。

　　展开“用户配置”、“策略”、“管理模板”，“控制面板”，然后点“个性化”。

　　在右侧显示的项目中，双击“屏幕保护程序超时”。修改为“已启用”，“启用屏幕保护之前等待的秒数”设为600。最后点“确定”。

　　再双击“密码保护屏幕保护程序”，修改为“已启用”。

　　关闭“组策略管理编辑器”（GPME）。所有的修改都已经实进保存了，所以这里没有“保存”菜单项。

 

任务3：使用GPO链接指定作用域

　　在GPMC控制台的树型列表中，右键点“contoso.com”域，选“链接现有GPO”。在策略对象列表中，选择“CONTOSO标准策略”，然后点“确定”。

 

 任务4：查看组策略的应用效果

　　启动CL1计算机（如果已经启动，则重启它），查看它的屏幕保护设置，可见用户不能设置等待时间。

　　在命令提示符运行：regedit.exe 。会弹出一个提示：注册表编辑已被管理员禁用。

任务5：查看GPO设置

　　转到HQDC1计算机，右键点“CONTOSO标准策略”，选“编辑”即可查看详细的设置。这一步请不要改变任何配置。

 

练习2：使用筛选器和注释

任务1：查看和筛选策略设定

　　在“组策略对象”容器，找到“CONTOSO标准策略”，编辑它。

　　在“组策略管理编辑器”中展开“用户配置”、“策略”，右键点“管理模板”，选“筛选器选项”。

　　勾选“启用关键字筛选器”，在输入框中填写“屏幕保护”，在旁边的下拉列表中选择“完全匹配”。点“确定”。

　　经过筛选，你会发现“管理模板”只包含少数几个包含“屏幕保护”的项目。

　　修改“筛选器选项”，去掉勾选的“启用关键字筛选器”，然后在“已配置”下拉列表中选择“是”。最后点“确定”。

　　经过一段时间筛选，你会发现“管理模板”只包含少数几个包含更改过设置的项目。

　　右键点“管理模板”，注意，“打开筛选器”这时候是勾选的，再点一下“打开筛选器”则去掉勾选。

 

任务2：编写GPO用户及其设定值的文档与注释

　　在GPME窗口，右键点“CONTOSO标准策略”的根节点，选“属性”。

 

　　在属性编辑窗口，选择“注释”选项卡，输入一些注释内容。完成之后点“确定”。

　　展开“用户配置”、“策略”、“管理模板”，“控制面板”，然后点“个性化”，在右侧的项目列表中双击“屏幕保护程序超时”，在属性编辑画面的注释框中填写一些注释内容。完成之后点“确定”。

==========

实验6B：管理组策略的作用域

本实验包含3个练习：

第1个练习，使用链接配置GPO的作用域。

第2个练习，使用筛选器配置GPO的作用域。

第3个练习，配置环回处理。

（附加）第4个练习，使用WMI筛选器。

练习1：使用链接配置GPO的作用域

任务1：新建一个GPO，具有高优先级并覆盖其他不一致的设定

　　在GPMC窗口，右键点“Contractors”OU，选“在这个域中创建GPO并在此处链接”，新建一个名为“新的替代组策略”的组策略对象。

　　编辑“新的替代组策略”，依次展开“用户配置”、“策略”、“管理模板”、“控制面板”，点“个性化”。

　　双击“屏幕保护程序超时”，点“已禁用”。然后点“确定”，关闭GPME。

　　在GPMC控制台，点“Contractors”OU，点“组策略继承”选项卡。注意到这个新建的策略具有高优先级。

　　说明：上图共有3条组策略，其中“Default Domain Controllers Policy”是默认的组策略，它作用于整个域，它与“新的替代组策略”没有冲突。“CONTOSO标准策略”是后来新建的并链接到“contoso.com”OU，因此“Contractors”OU从上层的OU继承下来了。

　　但是“新的替代组策略”与“CONTOSO标准策略”有冲突，处于最高优先级的“新的替代组策略”中的设定将在在其他的GPO之后应用。于是，最终“获胜”的结果是“屏幕保护程序超时”将对这个OU内的用户帐户“已禁用”。

 

任务2：检查强制GPO链接的效果

　　在GPMC控制台，右键点“Domain Controllers”OU，选“在这个域中创建GPO并在此处链接”，新建一个名为“允许本地交互登录策略”的GPO。

　　修改这个新的GPO，依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”，“本地策略”，点“用户权限分配”，修改“允许本地登录”。

　　先勾选“定义这些策略设置”，然后将本地管理员组（Administrators）、域管理员组（contoso\Domain Admins）和普通用户“contoso\ZhangS”加入到列表中。然后点“确定”，最后关闭GPME。

　　这时候，点“Domain Controllers”OU，在“组策略继承”选项卡中，可以发现优先级最高的仍然是“Default Domain Controllers Policy”，他将覆盖其他GPO的不一致的设定。

　　注意：默认情况下“Default Domain Controllers Policy”GPO指定了哪些用户帐户可以登录到DC（即：BUILTIN\Print Operators，BUILTIN\Server Operators，BUILTIN\Account Operators，BUILTIN\Backup Operators,BUILTIN\Administrators）。为了增强DC的安全性，普通用户是没有本地登录的权限。为了允许非特权用户帐户能够在DC上登录，我们需要覆盖默认的设定，使DC允许非特权用户帐户的本地登录。

　　展开“Domain Controllers”OU，右键点“允许本地交互登录策略”选“强制”。这个链接的图标上多了一把锁的标识。这样，多个GPO中关于用户权限中不一致的设定将由“允许本地登录的策略”最终胜出。

说明：在旧版本中，“强制”也被称为“禁止替代”。

　　从HQDC1计算机注销，然后尝试用contoso\ZhangS帐户登录，确认GPO强制的效果。

 

任务3：应用“阻止继承”

　　在GPMC控制台，点“Contractors”OU，在“组策略继承”选项卡中检查“组策略继承”。这时可以显示3条组策略：“新的替代组策略”、“Default Domain Policy”、“CONOTO标准策略”。

　　右键点“Contractors”OU，选“阻止继承”。这时候再检查“组策略继承”，只显示链接到这个OU本身的GPO，这个OU不再继承上层OU的策略。这个OU的图标上加了一个蓝色的感叹号。

　　这时候，展开“contoso.com”OU，右键点它下面的链接“CONTOSO标准策略”，选“强制”。

　　再去检查“Contractors”OU的“组策略继承”，会发现除了链接到这个OU本身的“新的替代组策略”，同时，还有一个优先级更高的“强制”的GPO也将显示出来了。

　　说明：“强制”优先于“阻止继承”。“强制”在往下层OU应用时，会忽略下层OU的“阻止继承”。

详细说明请见：http://technet.microsoft.com/zh-cn/library/cc757050(v=ws.10).aspx

 

练习2：使用筛选器配置GPO的作用域

任务1：使用安全筛选器配置策略应用者

　　展开“contoso.com”OU，点它下方的“CONTOSO标准策略”链接，查看“作用域”选项卡，可见“安全筛选”显示为“Authenticated Users”。

　　在“安全筛选”下方点“删除”移除“Authenticated Users”，删除前会提示确认“你想删除此委派特权吗”。删除之后再点“添加”，添加需要应用此策略的用户帐户或安全组，未添加的用户帐户和安全组则不应用此策略。

 

任务2：使用安全筛选配置免除者

　　点“委派”选项卡，点右下方的“高级”按钮，弹出“CONTOSO标准策略 安全设置”对话框。 

 

　　点“添加”，加入一个用户“ZhaoL”，然后在这个用户的权限显示框中找到“应用组策略”，勾选“拒绝”。最后点“确定”。这时弹出一个警告信息。 

 

 　　点“是”完成设置。完成后的“委派”选项卡如下图： 

  

练习3：配置环回处理

任务1：配置环回处理

　　在GPMC控制台，编辑“新的替代组策略”GPO，在GPME中依次展开“计算机配置”、“策略”、“管理模板”、“系统”，点“组策略”，双击“用户组策略环回处理模式”。

　　选择“已启用”，模式为“合并”。完成后点“确定”返回GPME。最后退出GPME。

　　说明：“替换”模式表示用这台计算机的组策略对象中定义的用户设置替换通常情况下应用于用户的用户设置。“合并”模式表示将在这台计算机的组策略对象中定义的用户设置与通常情况下应用于用户的用户设置组合在一起。如果设置相冲突，则计算机的组策略对象中的用户设置优先于用户的通常设置。如果禁用或不配置此设置，用户的组策略对象将决定应用哪些用户设置。

 

（附加）练习4：使用WMI筛选器。

任务1：创建一个WMI筛选器

　　在“组策略管理”控制台，在左侧的树状列表中用右键单击“WMI筛选器”，选择“新建”。

　　输入名称“WMI筛选器_Windows7”和描述信息，然后点“添加”。

 

　　在“WMI查询”窗口，输入查询语句。

　　说明1：Windows7和Windows 2008 R2 的版本号（version ）为6.1；Windows Vista和Windows2008的版本号为6.0；Windows XP的版本号为5.1；Windows 2003的版本号为5.2；Windows 2000的版本号为5.0。

　　说明2：客户端（Windows 7、Windows Vista、Windows XP、Windows 2000 Pro）的产品类型（producttype）为1；域控制器的产品类型为2；成员服务器的产品类型为3。

　　根据上述说明，Windows 7的查询语法为：
select * from win32_operatingsystem where version like "6.1%" and producttype="1"

　　在“WMI查询”窗口点“确定”，回到“新建WMI筛选器”窗口，单击“保存”。

任务2：使用WMI筛选器进行筛选

　　选择一个GPO，在右侧的详细窗格中选择“作用域”选项卡，在下方的“WMI筛选”下拉列表中选择一个WMI筛选器。

 

==========

实验6C：组策略应用的排错

本次练习共有3个：

第1个练习，执行RSoP分析。

第2个练习，使用组策略建模向导。

第3个练习，查看策略事件。

练习1：执行RSoP分析

任务1：刷新组策略

　　转到CL1计算机，在“命令提示符”窗口，输入以下命令：

gpupdate.exe /force

 

任务2：创建一个组策略结果RSoP报告

　　转到HQDC1计算机，打开GPMC控制台，在左侧最下方用右键点“组策略结果”，选“组策略结果向导”。

　　在向导的 “欢迎使用组策略结果向导”页面点“下一步”。

　　在“计算机选择”页面点“另一台计算机”，然后输入“CONTOSO\CL1”，再点“下一步”。

　　注意：CL1计算机这时候可能已经应用了组策略，域网络的防火墙可能已经自动开启，由此导致在这一步操作时会显示找不到CL1客户机。需手动关闭CL1的域网络的防火墙功能。

　　在“选择用户”页面点“显示策略设置”，点“选择一个特定用户”，选择“contoso\ZhangS”，点“下一步”。

　　在“选择的摘要”页面点“下一步”。最后点“完成”，组策略结果报告RSoP就显示在控制台。

　　检查组策略结果的“摘要”选项卡，注意检查“计算机配置摘要”和“用户配置摘要”的“上一次策略处理的时间”。

　　检查“设置”选项卡，检查具体的策略的应用情况。

　　检查“策略事件”选项卡，查看任务1所做刷新组策略操作所留下的日志。

　　点“摘要”选项卡，右键菜单选择“保存报告”，将RSoP 报告以HTML格式文件保存到C:\LabFiles文件夹。

 

任务3：使用gpresult 分析RSoP

　　转到CL1计算机，打开“命令提示符”窗口，输入以下命令：

gpresult  /r

　　窗口会显示RSoP摘要结果。这些信息与GPMC控制台使用组策略结果向导得到的报告非常相似。

 　　继续输入以下命令：

gpresult /v

　　这将显示一个更加详细的报告。注意到有许多的客户端组策略设定显示在这个报告中。

　　继续输入以下命令：

gpresult /z and press Enter.

　　这样将得到最详细的RSoP报告。

　　继续输入以下命令：

gpresult /h:"%userprofile%\Desktop\RSOP.html"

　　一份HTML文件格式的RSoP报告将生成到你的桌面上。

 

练习2： 使用组策略建模向导

　　转到HQDC1计算机，打开GPMC。展开“林：contoso.com”，点“组策略建模”选“组策略建模向导”。

　　在向导的“欢迎使用组策略建模向导”页面，点“下一步”。

　　在“域控制器选择”页面，点“下一步”。

　　在“用户和计算机选择”页面，在“用户信息”区域点“用户”单选框并输入“ZhangS”。在“计算机信息”区域，点“计算机”单选框并输入CL1。最后，点“下一步”。

　　在“高级模拟选项”页面，勾选“环回处理模式”然后点“合并”。 即使前面的练习中有的GPO指定了环回处理模式，你仍然需要让组策略建模向导考虑环回处理模式。

　　点下一步。

　　在“可选的Active Directory路径”页面，点“计算机位置”旁边的“浏览”按钮，选择“Contractors”容器。

　　点“下一步”按钮。

　　在“用户安全组”页面，点“下一步”。

　　在“计算机安全组”页面，点“下一步”。

　　在“用户的WMI筛选器”页面，点“下一步”。

　　在“计算机的WMI筛选器”页面，点“下一步”。

　　在“选择的摘要”页面，检查刚才的设定，然后点“下一步”。

　　最后，点“完成”。

　　依次检查“摘要”、“设置”选项卡

 

练习3：检查策略事件

　　转到CL1计算机，打开“控制面板”、“系统和安全”、“管理工具”、“查看事件”。

　　在“事件查看器”中，展开“Windows日志”，点“系统”。你可以点“操作”菜单选“筛选当前日志”，仅选择“来源”为“GroupPolicy”的事件。

　　还可以查看“应用程序”中的事件记录。

说明：由于CL1计算机运行时间的不够长，可能在“应用程序”中找不到任何事件记录。

　　在左侧的树型列表中，依次展开“应用程序和服务日志”、“Microsoft”、“Windows”、GroupPolicy”，点“Operational”，查看组策略相关的操作事件。