共有4个实验

实验8A：使用组策略管理组的成员

实验8B：管理安全设定

实验8C：审核文件系统访问

实验8D：配置应用程序控制策略

==========

实验8A

共有1个练习

练习1：使用“受限制的组”策略配置成员的管理者

任务1：为域中所有客户端委派管理权限

　　打开GPMC，在“组策略对象”中新建一个名为 Corporate Help Desk 的组策略对象。然后编辑这个组策略对象。

　　在左侧的列表中依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“受限制的组”。在“受限制的组”上点右键，选择“添加组”。

　　在“添加组”对话窗口，添加CONTOSO\Help Desk 组。

　　在“CONTOSO\Help Desk 属性”对话窗口中的“这个组隶属于”列表框中添加Administrators组。

　　关闭“组策略管理编辑器”。

　　在“组策略管理”控制台，将Corporate Help Desk组策略链接到 Client Computers 这个OU

任务2：创建一个Seattle支持组

　　打开“Active Directory用户和计算机”，在contoso.com\Groups\Role 这个OU下新建一个名为 SEA Support 的组。

任务3：委派

　　为域中的客户端的一个子集委派管理权限

　　打开GPMC，在“组策略对象”中新建一个名为 Seattle Support的组策略对象。然后编辑这个组策略对象。

　　在左侧的列表中依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“受限制的组”。在“受限制的组”上点右键，选择“添加组”。

　　在“添加组”对话窗口，添加CONTOSO\SEA Support组。

　　在“CONTOSO\SEA Support 属性”对话窗口的“这个组隶属于”列表框中添加 Administrators 组。

　　关闭“组策略管理编辑器”。

　　在“组策略管理”控制台，将the Seattle Support组策略链接到 Client Computers\SEA 这个OU

任务4：确认策略的成员累积的应用程序

　　在“组策略管理”控制台，展开“组策略建模”，在“组策略建模”上点右键，选择“组策略建模向导”。

 

 

  

  

  

  

 　　回到“组策略管理”控制台，检查建模向导生成的结果，注意在右侧的详细资料窗格的“设置”选项卡中会列出Help Desk 和 SEA Support 共2个受限制的组。 

　　注意：生成的报告中不会特别指明列出的组是 Administrators 组的成员。这是组策略建模报告的一个局限。当策略被应用到某台计算机后，组策略结果报告（RSoP）指明这些组是 Administrators 组的成员。

实验结果：

  在本次练习中，你创建了一个名为Corporate Help Desk 的 GPO，在Client Computers这个OU下的所有的客户端计算机都确保 Help Desk 组是本地Administrators 组的成员。然后，你创建了一个名为 Seattle Support 的 GPO，将 Seattle Support 组添加到 SEA 这个OU下的所有客户端计算机的本地 Administrators 组。

==========

实验8B

共有3个练习。

练习1：管理本地安全设定

练习2：创建一个安全模板 练习3：使用安全配置向导

练习1：管理本地安全设定

任务1：启用远程桌面

　　打开“服务器管理器“，在“服务器摘要”窗格，点“配置远程桌面”。

　　在“系统属性”窗口，选中“只允许运行带网络级身份验证的远程桌面的计算机连接（更安全）”。

　　点“确定”，关闭“系统属性”。最后，关闭“服务器管理器”。

　　说明：可能会出现防火墙提示信息。

任务2：创建一个名为SYS_DC Remote Desktop的全局安全组

　　打开“Active Directory用户和计算机”，展开contoso.com\Admins\Admin Groups\Server Delegation，然后在这个OU中创建一个名为SYS_DC Remote Desktop的全局安全组。

任务3：添加SYS_DC Remote Desktop组到Remote Desktop Users

　　说明：如果需要连接到远程桌面，用户必须有通过终端服务登录的登录权限。你将在下一个任务中为SYS_DC Remote Desktop授予权限。

　　说明：用户必须有权限连接到 RDP-Tcp 连接。默认情况下，Remote Desktop Users 组以及 Administrators 组有连接到 RDP-Tcp 连接的权限。因此，你需要添加用户（或本实验中的 SYS_DC Remote Desktop 组）到Remote Desktop Users 组。

　　在“Active Directory用户和计算机”中，在左侧控制树中点“Builtin”，在详细信息窗体中，双击 Remote Desktop Users。在“成员”选项卡中，添加 SYS_DC Remote Desktop。

　　注意：如果不将组添加到 Remote Desktop Users 组，你也可以使用“管理工具”中的“远程桌面服务”中的“远程桌面会话主机配置”（Remote Desktop Session Host Configuration） 控制台将 SYS_DC Remote Desktop 组添加到RDP-Tcp 连接的访问控制列表（ACL）。右键点 RDP-Tcp，然后点“属性”，再点“安全”选项卡，添加 SYS_DC Remote Desktop 组。

 

 

任务4：配置本地安全策略以允许SYS_DC Remote Desktop远程桌面连接

　　在“管理工具”中打开“本地安全策略”。依次展开“本地策略”、“用户权限分配”，在右侧的详细信息窗格中双击“允许远程桌面服务”。

　　在“允许通过远程桌面服务登录”窗口，点“添加用户或组”，添加 SYS_DC Remote Desktop 组。

任务5：将本地安全策略回复到默认设定

　　为准备后续的练习，将策略回复到默认设定。

　　双击“允许通过远程桌面服务登录”，在“允许通过远程桌面服务 属性”窗口，点 CONTOSO\SYS_DC Remote Desktop，点“删除”。

　　关闭本地安全策略

实验结果：

　　在本次练习中，你配置了必要的本地设定，允许 SYS_DC Remote Desktop组使用远程桌面登录。

 

练习2：创建一个安全模板

任务1：创建一个自定义带安全模板的MMC 

　　在“命令提示符”下面输入mmc.exe，进入MMC。点“文件”，选择“添加/删除管理单元”。

 

　　在“添加或删除管理单元”窗口，添加“安全模板”。点“文件”菜单，选择“另存为”，将此MMC另存为C:\Security Management.msc文件。

任务2：创建一个安全模板

　　展开控制台的树状列表，在C:\Users\Administrator\Documents\Security \Templates点右键，选择“新加模板”。

 

　　新模板名为DC Remote Desktop 。

　　展开新模板，再展开“本地策略”，单击“用户权限分配”，在右侧的详细窗格中双击“允许通过远程桌面服务登录”。

　　在“允许通过远程桌面服务登录　属性”窗口，勾选“在模板中定义这些策略设置”，然后单击“添加用户或组”，添加SYS_DC Remote Desktop组。

 

　　在左侧的树状列表中用右键单击“受限制的组”，选择“添加组”。

 

　　添加SYS_DC Remote Desktop组。

 

　　在“这个组隶属于”列表中，点“添加组”，添加Remote Desktop Users组。

　　右键单击“DC Remote Desktop”，选择“保存”。

实验结果：

　　在本次练习中，你配置了一个名为DC Remote Desktop的安全模板，而且将SYS_DC Remote Desktop组添加到能通过远程桌面登录的Remote Desktop Users组。

 

练习3：使用安全配置向导

任务1：创建一个安全策略

　　打开“管理工具”中的“安全配置向导”。 根据向导，按照默认值点“单一步”。

 

 

 

 

 

 

 

 

 

　　在“确认服务更改”页，选择查看“所有服务”，检查影响HQDC1服务器的服务启动模式的“当前启动模式”列，再比对“策略启动模式”列。

 

　　再选择查看“更改的服务”，然后点“下一步”。

 

 

 

 

 

 

 

 

 

  

  

　　在“安全策略文件名”页，输入文件名为：DC Security Policy。然后单击“包括安全模板”按钮。

 

　　在“包括安全模板”对话窗口，添加前面实验生成的模板文件C:\Users\Administrator\Documents\Security\Templates\DC Remote Desktop 。注意：不是默认的DC Security.inf文件。

 

　　回到“安全策略文件名”页，单击“查看安全策略”按钮。

 

 

　　回到“安全配置向导”，在“安全策略文件名”页单击“下一步”。

 

任务2：传输一个安全策略到一个GPO

　　“以管理员身份运行”打开“命令提示符”，输入以下命令：

C:\Users\Administrator>cd C:\windows\security\msscw\policies

C:\Windows\security\msscw\Policies>scwcmd transform /? C:\Windows\security\msscw\Policies>scwcmd transform /p:"DC Security Policy.xml" /g:"DC Security Policy"

　　打开“组策略管理”控制台，展开左侧的树状列表，查看“组策略对象”，可以看到刚才用Scwcmd.exe命令传输的DC Security Policy这个GPO。单击这个GPO，在右侧的详细窗格中选择“设置”选项卡。 

 

　　检查“本地策略/用户权限分配”，可以看到CONTOSO\SYS_DC Remote Desktop 组已经位于“允许通过终端服务登录”列表中。再检查“受限制的组”，可以看到CONTOSO\SYS_DC Remote Desktop 组是BUILTIN\Remote Desktop Users 的成员。

说明：

　　在本次实验中，这个GPO没有应用到域中的DC，因为目前还没有把它链接到Domain Controllers 这个 OU。在生产环境中，在把这个GPO链接到域之前，一定要花大量的时间去检查、配置和测试。

实验结果：

　　在本次练习中，你使用安全配置向导创建了一个名为DC Security Policy的安全策略，并且将它传输为名为DC Security Policy的GPO。