二、知识原理
2.1 2.2 2.3 2.4 2.5 2.6 2.7 组策略概述 组策略与注册表 组策略组成 组策略的功能 账户策略概述 本地策略 多重本地组策略
2.1 组策略概述
所谓组策略，就是基于组的策略。可以帮助系统管理员针 对整个计算机或是特定 用户来设置多种配置，包括桌面配 置和安全配置。譬如，可以为特定用户或用户组定制可用 的程序、桌面上的内容，以及“开始”菜单选项等，也可 以在整个计算机范围内创建特殊的桌面配置。简而言之， 组策略是Windows中的一套系统更改和配置管理工具的集 合。
非管理员组
管理员组
2.2 组策略与注册表
注册表是Windows系统中保存系统 软件和应用软件配置的数据库
注册表是Windows系统中保存系统软件和应用 软件配置的数据库。组策略设置就是在修改注册 表中的配置。当然，组策略使用了更完善的管理 组织方法，可以对各种对象中的设置进行管理和 配置，远比手工修改注册表方便、灵活，功能也 更加强大。
（2）账户锁定策略
① 账户锁定阀值：确定导致用户账户被锁定的登录尝试失败次数。 ② 账户锁定时间：锁定账户在自动解锁之前保持的时间。 ③ 复位账户锁定计数器：某次登录失败后，将尝试登录次数归0的 之前的时间。
2.6 本地策略
本地策略包括： （1）审核策略 （2）用户权限分配 （3）安全选项
2.7 多重本地组策略2.5账户策略概述（1）密码策略
① 码必需符合复杂性要求：至少有六位字符长；至少包含三种下列 字符的组合：大写字母、小写字母、数字和符号（标点符号）； 不要包含用户的用户名或屏幕名称。 ② 密码长度最小值 ③ 密码最短使用期限 ④ 密码最长使用时间 ⑤ 强制密码历史：防止用户创建与他们的当前密码或最近使用的密 码相同的新密码
三、演习 配置本地组策略
工作场景： 你是时讯公司的网络管理员，你希望在部署生产服务器之 前，对一些本地策略设置进行测试。你需要在你的服务器上 设置一些本地计算机策略设置，并对这些设置进行测试，以 保证其正常工作。 实验环境：
SH-SVR1
任务
1. 阻止用户关闭服务器 2. 配置密码策略
密码必需符合复杂性要求 密码长度最小值：7 密码最短使用期限：3天 密码最长使用时间：60天 强制密码历时：3 账户锁定阀值：3 账户锁定时间：30分钟 复位账户锁定计数器：30分钟
多重本地组策略：即可以针对不同的用户创建不同的组策 略对象。（Windows vista之前的操作系统只有一个本地 组策略，该策略应用到从本地计算机登录的所有用户）。 Windows server 2008本地组策略对象提供以下能力： 1. 本地组策略（包含计算机配置设置） 2. 管理员和非管理员组策略 3. 特定于用户的本地组策略
工作任务
任务1 任务2 任务3 任务4 任务5 配置本地计算机策略 创建和配置GPO 使用组策略配置用户环境 组策略管理软件 使用组策略配置安全性
单元四 配置和管理组策略
任务1 任务2 任务3 任务4 任务5 配置本地计算机策略 创建和配置GPO 使用组策略配置用户环境 组策略管理软件 使用组策略配置安全性
单元三：管理用户和组
单元四：配置和管理组策略 单元五：配置与管理分布式文 件系统
单元六：配置与管理存储系统
单元七：配置与管理打印服务 器 单元八：IP地址与配置方法
单元四
配置和管理组策略
工作背景
时讯通公司决定实施组策略来管理用户桌面以及 配置计算机安全性。公司已经实施了一种 OU 配置 ，在该配置中，顶级 OU 代表不同的地点，每个地 点 OU 中的子 OU 代表不同的部门。用户账户与其 工作站计算机账户处于同一个容器中。服务器计算 机账户分散在各个 OU 中。 企业管理员创建了一个 GPO 部署计划。公司要 求你创建 GPO，以使某些策略可应用于所有域对象 。部分策略是必须实施的策略。你还需要创建将只 应用于一小部分域对象的策略设置，并且你希望使 计算机设置和用户设置有不同的策略。你必须将 GPO 管理委派给每个公司地点的管理员。
3. 赋予test用户修改系统时间的权限 4. 设置用户登录的提示信息
演习 配置本地计算机策略
目的： 1. 阻止用户关闭服务器 2. 配置密码策略 3. 赋予test用户修改系统时间的权限 4. 设置用户登录的提示信息
四、小结
通过本节学习，你能够： 1. 了解组策略概念和作用 2. 了解组策略与注册表的关系 3. 熟悉组策略的组成 4. 熟悉组策略的功能 5. 掌握配置账户策略 6. 掌握配置本地策略 7. 理解多重本地组策略
2.3 组策略组成
计算机配置 用户配置
用户和计算机的配置设置
用户配置：影响用户工作环境环境，用户重新登录后生效 桌面设置 软件设置
Windows 设置
安全设置 计算机配置：影响到计算机应用环境，计算机重启后生效 桌面设置 软件设置 Windows 设置 安全设置
2.4 组策略的功能
Windows 网络操作系统的配置与管理
单元一：安装windows操作系 统
单元二：安装与配置活动目录 域服务 单元九：配置与管理DHCP服务 器 单元十：配置与管理DNS服务器 单元十一：配置与管理Web服务 器 单元十二：配置与管理WSUS服 务器 单元十三：配置与管理ADCS 单元十四：配置路由与远程访问 单元十五：配置网络策略服务和 网络访问保护 单元十六：配置IPSec保护网络通 信
任务1 配置本地计算机策略
一、课程导入 二、知识原理 2.1 组策略概述 2.2 组策略与注册表 2.3 组策略组成 2.4 组策略的功能 2.5 账户策略概述 2.6 本地策略 2.7 多重本地组策略 三、演示：配置本地计算机策略 四、小结
一、课程导入
如何赋予某个用户备份系统的权限？ 如何设置要求用户使用安全密码策略？ 作为服务器的管理员，你需要对服务器进行设置，以保护 服务器的安全。为此，你需要对本地计算机的策略进行配 置。