6使用组策略部署基本设置.docx
《6使用组策略部署基本设置.docx》由会员分享,可在线阅读,更多相关《6使用组策略部署基本设置.docx(23页珍藏版)》请在冰点文库上搜索。
6使用组策略部署基本设置
使用组策略部署基本设置
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
可以使用组策略为各组用户和计算机定义和部署特定配置。
已通过使用组策略管理编辑器创建这些配置,并且这些配置包含在存储在ActiveDirectory中的一个或多个组策略对象(GPO)中。
若要部署这些设置,请将GPO链接到一个或多个ActiveDirectory容器(例如站点、域或组织单位(OU))。
然后将GPO中的设置自动应用到其对象存储在这些ActiveDirectory容器中的用户和计算机。
可以一次为用户配置工作环境,然后依赖于组策略强制执行设置。
有关组策略的概述,请参阅本指南中的组策略技术回顾。
有关组策略的详细信息,请参阅Windows服务器组策略(http:
//
通过使用组策略部署基本设置的步骤
在此部分中,创建一组OU以包含您的计算机帐户。
然后创建包含针对一组特定计算机设置的GPO。
使用组策略管理编辑器配置一个包含基本防火墙设置的GPO,然后将该GPO分配到包含测试计算机的OU。
最后,创建和应用WindowsManagementInstrumentation(WMI)筛选器以将GPO的应用限制于运行Windows指定版本的计算机。
这使您可以在一个ActiveDirectory容器(OU、站点或域)中具有多组要求不同设置的计算机,并确保每台计算机收到正确的GPO。
所配置的GPO包括作为典型企业防火墙设置一部分的某些基本高级安全Windows防火墙设置。
步骤1:
创建OU并在其中放置计算机帐户
步骤2:
创建GPO以存储设置
步骤3:
添加GPO设置以在成员客户端计算机上启用防火墙
步骤4:
使用测试防火墙设置部署初始GPO
步骤5:
添加阻止本地管理员应用冲突规则的设置
步骤6:
配置其余客户端计算机防火墙设置
步骤7:
创建WMI和组筛选器
步骤8:
启用防火墙日志记录
下一主题:
步骤1:
创建OU并在其中放置计算机帐户
步骤1:
创建OU并在其中放置计算机帐户
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,使用ActiveDirectory用户和计算机MMC管理单元在域层次结构中创建两个OU:
一个用于成员服务器,另一个用于成员客户端计算机。
然后将每个计算机帐户移动到相关的新OU中。
创建OU并在其中放置计算机帐户的步骤
1.在DC1上,依次单击“开始”、“管理工具”,然后单击“ActiveDirectory用户和计算机”。
备注
如果首先从Microsoft下载中心安装远程服务器管理工具,也可以在成员服务器或加入域的客户端计算机上运行此工具。
2.或者,可以使用服务器管理器。
依次展开“角色”、“ActiveDirectory域服务”,然后展开“ActiveDirectory用户和计算机[DC]”。
3.在导航窗格中,右键单击,单击“新建”,然后单击“组织单位”。
4.在“名称”框中,键入MyMemberServers,然后单击“确定”。
5.再次右键单击,然后单击“新建”,然后单击“组织单位”。
6.在“名称”框中,键入MyClientComputers,然后单击“确定”。
7.在导航窗格中,单击“计算机”。
8.在结果窗格中,右键单击CLIENT1,然后单击“移动”。
9.在“移动”对话框中,单击MyClientComputers,然后单击“确定”。
10.在结果窗格中,右键单击MBRSVR1,然后单击“移动”。
11.在“移动”对话框中,单击MyMemberServers,然后单击“确定”。
完成后,将显示类似于下图的图形。
12.关闭“ActiveDirectory用户和计算机”管理单元。
下一主题:
步骤2:
创建GPO以储设置
步骤2:
创建GPO以存储设置
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,将创建新的GPO。
因为它尚未链接到任何OU,您所配置的设置尚未应用于任何计算机。
创建GPO的步骤
1.在MBRSVR1上,请依次单击“开始”、“管理工具”,然后单击“组策略管理”。
或者,如果使用服务器管理器,请展开“功能”,然后再展开“组策略管理”。
2.在导航窗格中,依次展开“林:
”、“域”和。
3.在导航窗格中,右键单击“组策略对象”,然后单击“新建”。
4.在“名称”框中,键入WindowsServer的防火墙设置,然后单击“确定”。
5.在导航窗格中,右键单击“组策略对象”,然后单击“新建”。
6.在“名称”框中,键入Windows客户端的防火墙设置,然后单击“确定”。
7.选择“组策略对象”节点,显示如下图所示。
下一主题:
步骤3:
添加GPO设置以在成员客户端计算机上启用防火墙
步骤3:
添加GPO设置以在成员客户端计算机上启用防火墙
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,您将配置客户端GPO以包含一个设置,该设置将在所有运行应用了GPO的Windows7或WindowsVista的客户端计算机上启用Windows防火墙。
添加GPO设置以在成员客户端计算机上启用防火墙的步骤
1.在MBRSVR1上的“组策略管理”中,单击“组策略对象”,右键单击“Windows客户端的防火墙设置”,然后单击“编辑”。
2.在“组策略管理编辑器”中,右键单击顶级节点“Windows客户端[DC]策略的防火墙设置”,然后单击“属性”。
3.选中“禁用用户配置设置”复选框,然后单击“确定”。
备注
建议您删除任何GPO中不再使用的用户或计算机部分。
当客户端计算机应用GPO时,这将改善它的性能。
4.在“确认禁用”对话框中,单击“是”,然后单击“确定”。
5.在“计算机配置”下,依次展开“策略”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”。
6.单击节点“高级安全Windows防火墙-LDAP:
//cn={GUID},cn=policies,cn=system,DC=contoso,DC=com”,其中GUID是分配给域的唯一编号。
7.在结果窗格中的“概述”下,注意每个网络位置配置文件的“未配置Windows防火墙状态”,然后单击“Windows防火墙属性”。
8.在“域配置文件”选项卡上,单击“防火墙状态”旁的下拉列表,然后单击“启用(推荐)”。
备注
这一步看起来并不需要,因为在默认情况下,客户端计算机上已经打开防火墙。
但是,如果将此项设置保留为“未配置”,则本地管理员可以禁用防火墙。
如该步骤中所示在GPO中设置防火墙,将打开防火墙并防止本地管理员禁用它。
9.单击“确定”保存更改。
请注意,在结果窗格中,“域配置文件”现在显示“Windows防火墙已启用”。
10.关闭“组策略管理编辑器”。
下一主题:
步骤4:
使用测试防火墙设置部署初始GPO
步骤4:
使用测试防火墙设置部署初始GPO
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,将GPO链接到OU以将其应用于加入域的客户端计算机。
部署防火墙设置的步骤
1.在MBRSVR1上的“组策略管理”的导航窗格中,右键单击“我的客户端计算机”,然后单击“链接现有GPO”。
2.在“组策略对象”列表中,单击“Windows客户端的防火墙设置”,然后单击“确定”。
在下一步中,请确认客户端计算机是否接收并应用新的GPO设置。
测试新GPO的步骤
1.在CLIENT1上,打开管理员命令提示符。
2.在命令提示符窗口中,键入gpupdate/force,然后按Enter。
在进入下一步之前,等待命令完成。
3.若要验证是否已正确应用GPO,请运行gpresult/r/scopecomputer。
在输出中,查找“应用的组策略对象”部分。
确认它包含“Windows客户端的防火墙设置”和“默认域策略”的条目。
4.打开高级安全Windows防火墙管理单元。
5.右键单击顶级节点“本地计算机上的高级安全Windows防火墙”,然后单击“属性”。
6.请注意,“防火墙状态”设置为“打开(推荐)”,并且列表控件已禁用。
它现在由组策略控制,无法在本地(即使由管理员)进行更改。
7.关闭“属性”对话框和高级安全Windows防火墙管理单元。
下一主题:
步骤5:
添加阻止本地管理员应用冲突规则的设置
步骤5:
添加阻止本地管理员应用冲突规则的设置
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,配置并测试某设置,该设置可阻止本地管理员所创建的防火墙规则应用于计算机,以及阻止可能与GPO部署的规则冲突。
默认情况下,计算机上的本地Administrators组成员可以使用高级安全Windows防火墙创建并启用防火墙规则和连接安全规则。
然后将这些本地规则与从组策略接收的规则合并,并应用于计算机的活动配置。
在此部分中描述的设置可阻止在本地定义的规则与部署的GPO中包含的规则合并。
重要事项
尽管此设置阻止本地管理员应用规则,但它也阻止高级安全Windows防火墙向用户提示新的程序并在用户同意时创建入站规则。
如果启用该设置,则必须确保每一个要求防火墙规则的程序都具有在GPO中定义的正确规则。
确认本地管理员可以创建冲突规则的步骤
1.在CLIENT1上的管理员命令提示符处,运行pingdc1。
Ping命令正常工作,这表示CLIENT1能够与DC1通信。
2.启动高级安全Windows防火墙管理单元。
3.在“高级安全Windows防火墙”下,右键单击“出站规则”,然后单击“新建规则”。
4.在“新建出站规则向导”的“规则类型”页上,单击“自定义”,然后单击“下一步”。
5.在“程序”页上,选择“所有程序”,然后单击“下一步”。
6.在“协议和端口”页上,使用默认设置,然后单击“下一步”。
7.在“作用域”页上,使用默认设置,然后单击“下一步”。
8.在“操作”页上,使用默认设置,然后单击“下一步”。
9.在“配置文件”页上,清除“专用”和“公用”复选框,但保留选中“域”,然后单击“下一步”。
10.在“名称”页上,输入名称“测试规则”(使用“A”作为第一个字符以确保该规则出现在列表的顶部),然后单击“完成”。
这会创建一条防火墙规则,它可阻止所有网络流量,有效地中断计算机的通信。
11.返回命令提示符窗口,再次运行pingdc1。
Ping命令失败,如下图的下半部分所示,因为本地防火墙规则阻止传出通信。
12.在高级安全Windows防火墙管理单元的导航窗格中,单击“出站规则”,右键单击“测试规则”,然后单击“禁用规则”。
必须禁用该规则以便为下一步重新启用通信。
13.保持“管理员:
命令提示符”窗口和“高级安全Windows防火墙”管理单元为打开状态。
在下一步中,将修改分配给客户端计算机的GPO以防在本地定义的规则合并且应用于活动防火墙配置。
另外,还禁用询问用户是否允许程序(其中不存在任何规则)的通知。
防止计算机使用由本地管理员定义的规则和设置的步骤
1.在MBRSVR1上的“组策略管理”中,单击“组策略对象”,右键单击“Vista客户端的防火墙设置”,然后单击“编辑”。
2.在“组策略管理编辑器”中,依次展开“策略”、“计算机配置”、“Windows设置”、“安全设置”,然后展开“高级安全Windows防火墙”。
3.右键单击“高级安全Windows防火墙-LDAP:
//cn={GUID},cn=policies,cn=system,DC=contoso,DC=com”,然后单击“属性”。
4.在“域配置文件”选项卡上的“设置”部分中,单击“自定义”。
5.将“显示通知”设置更改为“否”。
这会阻止Windows在程序被阻止的任何时候向用户显示通知。
6.在“规则合并”部分中,将“应用本地防火墙规则”列表更改为“否”。
7.在“规则合并”部分中,将“应用本地连接安全规则”列表更改为“否”。
8.单击“确定”两次返回“组策略管理编辑器”。
在下一步中,在CLIENT1上刷新组策略,然后确认在本地定义的规则无法阻止网络通信。
测试对本地管理员的新限制的步骤
1.在CLIENT1上的“管理员:
命令提示符”中,运行gpupdate/force。
等待命令完成。
2.在“高级安全Windows防火墙”管理单元的“出站规则”列表中,右键单击“测试规则”,然后单击“启用规则”。
3.在在“管理员:
命令提示符”中,运行pingdc1。
即使看起来已启用“测试规则”,ping命令也会正常工作。
在本地计算机上,规则列为已启用,但在上一步中在GPO上将“应用本地防火墙规则”设置为“否”时,已阻止将本地规则与GPO中分发的规则合并。
4.在“高级安全Windows防火墙”管理单元的导航窗格中,展开“监视”,然后单击“防火墙”以查看本地计算机上活动的规则列表。
未列出任何规则。
尚未创建GPO应用的任何规则,并且由于GPO中包含的设置,致使无本地规则处于活动状态。
5.在继续之前,请删除规则。
在CLIENT1上的导航窗格中,单击“出站规则”。
在结果窗格中,右键单击“测试规则”,单击“删除”,然后在确认对话框上单击“是”。
6.保持“管理员:
命令提示符”和“高级安全Windows防火墙”管理单元为打开状态。
下一步:
步骤6:
配置其余客户端计算机防火墙设置
步骤6:
配置其余客户端计算机防火墙设置
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
此时,您已经启用防火墙,并且本地管理员无法禁用它。
在此步骤中,通过添加其他常用设置以进一步控制运行Windows7或WindowsVista的计算机上的防火墙行为来完成客户端计算机GPO的配置。
在GPO中您保留默认值“未配置”的任何设置可以由本地管理员来配置。
因此,您可能不希望依赖于默认设置。
相反,应明确设置您希望以某种方式配置的值。
本部分中的过程说明如何配置您通常不希望本地管理员能够更改的其他常规设置。
确保本地管理员可以修改不被GPO强制使用的设置的步骤
1.在CLIENT1上,在“高级安全Windows防火墙”管理单元的导航窗格中,右键单击顶级节点“高级安全Windows防火墙”,然后单击“属性”。
2.在“域配置文件”选项卡上,将“出站连接”更改为“阻止”,然后单击“确定”。
3.在“管理员:
命令提示符”中,键入pingdc1,然后按Enter。
请注意该命令失败,因为所有传出网络流量将被高级安全Windows防火墙阻止。
4.在“高级安全Windows防火墙”管理单元中,右键单击顶级节点“具有高级安全性的Windows防火墙”,然后单击“属性”。
5.将“出站连接”更改回“允许(默认值)”以还原一般操作,然后单击“确定”。
在下一组步骤中,将配置“组策略”中的设置,以便本地管理员无法更改或禁用这些设置。
配置组策略中其他常规防火墙设置的步骤
1.在MBRSVR1上的“组策略管理编辑器”中,右键单击“高级安全Windows防火墙-LDAP:
//cn={GUID},cn=policies,cn=system,DC=contoso,DC=com”,然后单击“属性”。
2.在“域配置文件”选项卡上的“状态”部分中,将“入站连接”设置为“阻止(默认值),然后将“出站连接”设置为“允许(默认值)”。
当然,这与客户端已经设置的行为相同,但在GPO中进行设置可防止本地管理员更改这些设置。
3.单击“确定”保存设置,然后返回到“组策略管理编辑器”。
在下一组步骤中,将刷新客户端上的“组策略”,并确认本地定义的规则和设置无法阻止网络通信。
测试对本地管理员的新限制的步骤
1.在CLIENT1上的“管理员:
命令提示符”中,键入gpupdate/force,然后按Enter。
等待命令完成。
2.在“高级安全Windows防火墙”管理单元的导航窗格中,右键单击顶级节点“高级安全Windows防火墙”,然后单击“属性”。
3.在“域配置文件”选项卡上,请注意现在限制将防止本地用户(甚至管理员)修改设置。
备注
“入站连接”设置仍使您能够选择“阻止所有连接”。
这是一项支持快速减少恶意软件威胁的安全功能,并且无法被“组策略”阻止。
4.在“设置”部分,单击“自定义”,然后请注意无法在本地更改您在“组策略”中配置的“设置”。
5.单击“取消”两次以返回到“高级安全Windows防火墙”管理单元。
6.关闭“高级安全Windows防火墙”管理单元。
下一主题:
步骤7:
创建WMI和组筛选器
步骤7:
创建WMI和组筛选器
更新时间:
2009年8月
应用到:
Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
网络中包含运行各种Windows操作系统的客户端计算机时,同一OU中的两台计算机可能需要不同设置才能实现配置相同。
例如,运行WindowsXP的计算机可能要求与运行Windows7或WindowsVista的计算机的设置不同。
在这种情况下会需要两个GPO,一个应用于运行WindowsXP的计算机,另一个应用于运行更新版本的Windows的计算机。
有时您无法重新排列您的ADOU层级中的计算机来将GPO链接到仅包含您想要将GPO应用于该计算机的OU上。
因此,组策略还支持使用访问控制列表(ACL)以阻止将GPO应用于任何没有授予GPO权限的计算机或用户帐户。
有两种常用技术可用于确保GPO仅应用于正确的计算机:
∙将WindowsManagementInstrumentation(WMI)筛选器添加到GPO。
WMI筛选器允许您指定在链接的GPO应用于计算机之前必须匹配的条件。
通过让您筛选GPO所应用的计算机,可减少进一步细分ActiveDirectory中的OU的需要。
此技术是动态的,在此技术中,当计算机试图应用该策略时对筛选器进行评估。
因此,如果您正在筛选基于该版本的Windows,然后将计算机从WindowsXP升级至Windows7,此操作不需要对GPO做出任何更改,因为筛选器将自动识别更改并相应地筛选计算机对GPO的访问权限。
∙在GPO的ACL中授予或拒绝“应用策略”安全权限。
如果将计算机置于安全组中,则可以将“应用策略”权限仅授予应当使用GPO的组。
此指南演示同时使用两种技术。
他们也可以单独使用。
选择筛选类型并查询基于您的组织所需要的参数。
每种技术都使您能够包含来自ActiveDirectory层次结构中跨组织单元的计算机。
重要事项
WindowsXP和WindowsServer2003使用不同于WindowsVista和更新版本的Windows所附带的高级安全Windows防火墙工具并产生不同的防火墙和IPSec设置。
在同一计算机上混合不同设置可能会导致很难解决的意外连接问题。
建议您使用用于设置的高级安全Windows防火墙管理单元为运行WindowsVista或更新版本的Windows的计算机创建GPO,并使用WindowsXP或WindowsServer2003中提供的工具创建专用于这些操作系统的GPO。
在此主题中演示的技术可有效地阻止将为某一版本Windows设计的GPO应用于其他版本。
在下一步中,将应用并测试限制GPO仅应用于运行WindowsVista或更新版本(包括Windows7)的计算机的WMI筛选器。
该筛选器阻止将GPO应用于任何Windows的早期版本,或者阻止其应用于运行任何服务器版本的Windows的计算机。
创建WMI筛选器的步骤
1.在MBRSVR1上,切换到“组策略管理”。
2.在导航窗格中,右键单击“WMI筛选器”,然后单击“新建”。
3.在“名称”框中,键入“仅应用于WindowsVista或更高版本”。
4.单击“添加”。
5.在“查询”框中键入:
select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType="1"
此查询将筛选产品版本号和产品类型。
∙Version属性返回以下列字符开头的值(%符号是其他字符之前的通配符但是无法区分版本号):
WindowsServer2008R2或者Windows7
6.1%
WindowsServer2008或者WindowsVista
6.0%