【正文】 菜單項 】策略，在瀏覽器中用戶右擊鏈接，選擇 【 在新窗口中打開 】 時，該命令不起作用。考慮性能因素，需要禁用這一功能，打開 【 桌面 】 中 【 Active Desktop】目錄，在右側窗格中啟用 【 禁用 Active Desktop】 策略，可以禁用活動桌面。 2：用戶配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 2． 個性化桌面 通過組策略可以實現(xiàn) 【 桌面 】 的個性化，可以讓桌面管理工作變得易如反掌。具體實例如下 ： 2：用戶配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 ★ 給「開始」菜單減肥 在組策略窗口中，可以啟用 【 從開始菜單刪除用戶文件夾 】 、【 從開始菜單刪除公用程序組 】 、 【 從開始菜單中刪除 ‘ 我的文檔 ’圖標 】 等多種組策略配置項目來去掉不需要的菜單項。 ★ 設置空閑會話連接時間 展開 【 會話 】 目錄，雙擊 【 為活動但空閑的終端服務會話設置時間限制 】 策略，可以限制空閑會話的連接時間。 組策略實例 1：計算機配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 2．關閉系統(tǒng)還原功能 操作步驟： 在 【 組策略 】 控制臺中，展開 【 計算機配置 】 |【 管理模板 】 |【 系統(tǒng) 】 |【 系統(tǒng)還原 】 項，在右窗格雙擊 【 關閉系統(tǒng)還原 】 策略，在屬性對話框中，選擇 【 已啟用 】 單選按鈕，單擊 【 確定 】 按鈕，啟用此設置來關閉系統(tǒng)還原。后面策略覆蓋前面策略。 計算機配置：計算機開機時自動啟用，域控制器默認每隔 5分鐘自動啟用，非域控制器默認每隔 90120分鐘自動啟動，此外不論策略是否有變動系統(tǒng)每隔 16小時自動啟動一次。 組策略概述 圖 81 本地組策略窗口 圖 82 MMC中的組策略管理單元 目錄 首頁 實訓案例 1 實訓案例 2 組策略主界面共分為左右兩個窗格，左邊窗格中的 【 “本地計算機 ” 策略 】 由 【 計算機配置 】 和 【 用戶配置 】 兩個子項構成，右邊窗格中是針對左邊某一配置可以設置的具體策略。簡單地說，組策略就是介于控制面板和注冊表之間的一種修改系統(tǒng)、設置程序的工具。 組策略高于注冊表，組策略使用更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。 組策略的基本單元是組策略對象 GPO,它是一組設置的組合。 用戶配置：用戶登錄時自動啟用，系統(tǒng)默認每隔 90分鐘自動啟動，此外不論策略是否有變動系統(tǒng)每隔 16小時自動啟動一次。 組策略概述 目錄 首頁 實訓案例 1 實訓案例 2 計算機配置包括所有與計算機相關的策略設置，它們用來指定操作系統(tǒng)行為、桌面行為、安全設置、計算機開機與關機腳本、指定的計算機應用選項以及應用設置。 3．禁止 Windows Messenger自動運行 操作步驟：在 【 組策略 】 控制臺中，展開 【 計算機配置 】 |【 管理模板 】 |【 Windows組件 】 |【 Windows Messenger】 項，在右窗格雙擊 【 不允許運行 Windows Messenger】 策略，在屬性對話框中，選擇 【 已啟用 】 單選按鈕，單擊 【 確定 】 按鈕。 在 【 組策略 】 控制臺中，展開 【 計算機配置 】 |【 Windows設置 】|【 安全設置 】 |【 本地策略 】 |【 審核策略 】 項，雙擊 【 帳戶登錄審核 】 策略，選擇審核 【 成功 】 和 【 失敗 】 兩項，單擊 【 確定 】 按鈕。 ★ 保護好 【 任務欄和「開始」菜單 】 如果不想隨意讓他人更改 【 任務欄和「開始」菜單 】 的設置，只要啟用 【 阻止更改 “ 任務欄和開始菜單 ” 設置 】 和 【 阻止訪問任務欄的上下文菜單 】 兩個策略即可。在 【 組策略編輯器 】 控制臺中，展開 【 用戶配置 】 |【 管理模板 】 |【 桌面 】 項，在右窗格中列出 【 桌面 】 有關策略的具體配置，具體實例如下： 2：用戶配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 ★ 隱藏桌面的系統(tǒng)圖標 只要啟用 【 隱藏桌面上 “ 網(wǎng)上鄰居 ” 圖標 】 、 【 隱藏桌面上的Inter Explorer圖標 】 、 【 隱藏和禁用桌面上的所有項目 】 、【 刪除桌面上的 “ 我的文檔 ” 圖標 】 、 【 刪除桌面上的 “ 我的電腦 ”圖標 】 和 【 從桌面刪除回收站 】 等策略可以隱藏桌面上的相應的圖標。 2：用戶配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 微軟的 IE瀏覽器讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好IE瀏覽器，則必須將它配置好。網(wǎng)頁自動打開的窗口也被禁止，可達到屏蔽彈出廣告窗口的效果。添加了一個 【 我的 】 按鈕。 ★ 禁止使用 【 命令提示符 】 在 【 組策略編輯器 】 中，展開 【 用戶配置 】 |【 管理模板 】 |【 系統(tǒng) 】項，啟用 【 阻止訪問命令提示符 】 策略，并選擇 【 也停用命令提示符腳本處理 】 項。此后用戶不能使用 【 控制面板 】 ，「開始」菜單和 【 資源管理器 】 中將刪除 【 控制面板 】 項。 ? 隱藏在控制面板中指定的圖標：展開 【 控制面板 】 項，啟用【 隱藏指定的控制面板程序 】 策略，添加相應的圖標。 使用組策略配置用戶環(huán)境 目錄 首頁 實訓案例 1 實訓案例 2 帳戶策略又包括密碼策略、帳戶鎖定策略和 Kerberos策略。選擇組策略對象，單擊 【 編輯 】 按鈕，打開 【 組策略編輯器 】 界面，展開 【 計算機配置 】 |【 Windows設置 】 |【 安全設置 】|【 帳戶策略 】 |【 密碼策略 】 項，選擇相應的密碼策略選項配置即可。 IPSec可以使用 Kerberos協(xié)議進行身份驗證。許多網(wǎng)絡協(xié)議（如 HTTP）都要求該用戶權利。有此權限的用戶可以向域中添加 10個工作站。用戶不具備該權限，但擁有 “ 允許通過終端服務登錄 ” 權限，他仍然能夠在計算機上開啟一個遠程的交互式會話。 ? 裝載和卸載設備驅(qū)動程序： 確定哪些用戶有權安裝和卸載設備驅(qū)動程序。建議此權限只授予 Administrators組。 ?【 交互式登錄：不顯示上次的用戶名 】 ：在每次出現(xiàn)的 “ 登錄Windows”對話框中都不顯示上一次登錄者的用戶名稱。與用戶登錄 /注銷腳本相比，它們之間的主要區(qū)別是啟動 /關機腳本是計算機啟動和關機時運行的，腳本程序只運行一次，用戶登錄 /注銷腳本在用戶登錄對話框出現(xiàn)后，用戶登錄系統(tǒng)或從系統(tǒng)注銷時運行，每次登錄 /注銷時都運行一次。 ?存儲在網(wǎng)絡服務器上的數(shù)據(jù)可以被備份出來。 可以重定向的文件夾包括： “ 我的文檔 ” 、 “ 桌面 ” 、 “ 「開始」菜單 ” 和 “ Application Data”等。 MSI軟件包是 Microsoft專門為軟件部署而開發(fā)的，是實現(xiàn)軟件分發(fā)功能必需的文件格式，通常包含了安裝內(nèi)置程序所要的環(huán)境信息和安裝或卸載程序時需要的指令和數(shù)據(jù)。設置該目錄的共享權限為 Users組可讀， Administrators組完全控制。 使用組策略部署軟件 目錄 首頁 實訓案例 1 實訓案例 2 步驟（ 3）返回 【 組策略編輯器 】 窗口，右擊 【 軟件安裝 】 項，選擇 【 新建 】 |【 程序包 】 命令，在彈出的 【 打開 】 對話框中，選擇Tools$中的 ，單擊 【 打開 】 按鈕，在彈出的 【 部署軟件 】 對話框中，詢問軟件部署的方式， Windows Installer提供 “ 發(fā)布 ” 和 “ 指派 ” 兩種部署方式。 實訓內(nèi)容： 操作 1:根據(jù)以下要求對 Windows Server 2022服務器進行安全策略配置： 步驟（ 1）配置賬戶策略 密碼策略：啟用密碼必須符合復雜性要求，密碼最短使用期限改成 0天 賬戶鎖定策略：賬戶鎖定閾值 5 次，賬戶鎖定時間 10分鐘 步驟（ 2）配置本地策略之審核策略 審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 綜合實訓案例 7： Windows Server 2022服務器安全配置 —— 本地安全策略 目錄 首頁 實訓案例 1 實訓案例 2 步驟（ 3）配置本地策略之用戶權限分配 關閉系統(tǒng)：只有 Administrators組、其它全部刪除。 步驟（ 4）右擊 【 軟件安裝 】 ，選擇 【 新建 】 |【 程序包 】 命令，在【 打開 】 對話框中，選擇 。 “ 安全分析 ” 可以根據(jù)系統(tǒng)提供的不同級別的安全模板對當前系統(tǒng)的安全設置進行分析，從而找出系統(tǒng)安全的薄弱環(huán)節(jié)。每個模板都是基于文本的 .inf 文件，這些文件位于系統(tǒng)根目錄的 \Security\Templates。 目錄 首頁 實訓案例 1 實訓案例 2 使用 【 安全配置和分析 】 工具配置本地計算機安全的方法有兩種：使用命令提示符（ ）和 MMC控制臺（見下例）。 安全配置和分析 . 2使用安全配置和分析工具 右擊 【 安全配置和分析 】 項，選擇【 立即分析計算機 】 命令，彈出 【 進行分析 】 對話框，指定保存錯誤日志文件的路徑，單擊 【 確定 】 按鈕，開始系統(tǒng)安全機制的分析進程。 安全配置和分析 . 2使用安全配置和分析工具 目錄 首頁 實訓案例 1 實訓案例 2 安全配置向?qū)В?SCW）是 Windows Server 2022 SP1系統(tǒng)新增的一個安全配置工具。安裝步驟： 打開 【 控制面板 】 窗口，雙擊 【 添加或刪除程序 】 圖標，打開【 添加或刪除 Windows組件 】 對話框，單擊 【 下一步 】 按鈕，打開【 Windows組件向?qū)?】 對話框，選中 【 安全配置向?qū)?】 選項，單擊【 下一步 】 按鈕，就能輕松完成 SCW組件的安裝?？梢愿鶕?jù)不同需要，創(chuàng)建多個 “ 安全策略 ” 文件，每次應用一個。 單擊 【 下一步 】 按鈕，進入【 選擇服務器角色 】 配置框，選擇服務器角色，單擊 【 下一步 】 按鈕，進入 【 選擇客戶端功能 】 對話框，選擇你所需的客戶端功能來配置Windows Server 2022服務器支持的“ 客戶端功能 ” 。 單擊 【 下一步 】 ，分別進入 【 要求 SMB安全簽名 】 、 【 出站身份驗證方法 】 、【 入站身份驗證方法 】 等設置窗口。 完成以上幾步配置后，進入到保存安全策略對話框，單擊 【 下一步 】 ，彈出【 安全策略文件名 】 框，為你配置的安全策略起個名字，單擊 【 下一步 】 ，彈出【 應用安全策略 】 框，選擇 【 現(xiàn)在應用 】 選項，使配置的安全策略立即生效。要在【 高級設置 】 對話框中，單擊 【 添加 】 按鈕，出現(xiàn) 【 服務設置 】 對話框，在 【 服務描述 】 填入 WWW、 【 服務所使用的計算機名或 IP地址 】 、端口號，并選擇所使用的協(xié)議，最后單擊 【 確定 】 按鈕。 Windows Server 2022防火墻 防火墻服務設置 目錄 首頁 實訓案例 1 實訓案例 2 對網(wǎng)絡層的安全性有 3個公認的指標：身份驗證、完整性和機密性。 下面以禁止他人 Ping自己的主機為案例介紹配置系統(tǒng) IP安全策略的操作步驟。 IP安全設置 IP安全 目錄 首頁 實訓案例 1 實訓案例 2 （ 2）單擊 【 下一步 】 按鈕，彈出 【 身份驗證方法 】 頁，選擇 【 此字符串保護密鑰交換 】 單選按鈕，然后在下面的文字框中任意輸入一段字符串，如 “ 禁止