使用组策略禁用或启用域中计算机运行的服务

使用组策略管理系统服务

使用组策略可以集中管理域中计算机的服务的启动模式和管理服务的权限。

系统服务设置安全性,执行系统服务方面的安全措施时,您可以控制谁能够在工作站、成员服务器或域控制器上管理服务。目前,更改系统服务的唯一方法是通过使用”组策略”计算机设置。

如果将”组策略”作为”默认域策略”实施,该策略就会应用到域内的所有计算机。如果将”组策略”作为”默认域控制器策略”实施,该策略将只应用于域控制器的组织单元内的服务器。您可以创建包含可应用策略的工作站计算机的组织单元

3.10.1示例:集中管理系统服务

禁用不需要的服务,能够改善计算机的性能,增加安全性。

通过授权对服务管理权限,可以授权一个域用户统一管理域中计算机的某些服务。避免重要的服务被本地管理员关闭。

下面就以netlogon服务和Smart Card服务为例讲述如何使用组策略管理服务。

计算机加入域后netlogon服务启动模式会设置为“自动”。“netlogon”系统服务维护计算机和域控制器之间的安全通道,对用户和服务进行身份验证。它将用户的凭据传递给域控制器,然后返回用户的域安全标识符和用户权限。该服务停止,域用户将不能登录到域。

域管理员为了避免域中计算机的netlogon服务的启动模式设置成“禁用”或“手动”而不能启动,造成域用户不能登录到域。需要将该服务启动模式设置为”自动”。权限设置为只有域管理员能够完全控制。

由于公司不需要使用智能卡登录,因此禁用域中计算机的“Smart Card”服务。该服务管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。

在Windows XP上运行gpupdate /force刷新组策略,也不会立即生效。为了能够立即验证组策略设置的效果,我们编辑链接在“服务器组”组织单元的组策略,使用安装了Windows Server Core的服务器验证组策略设置。

要想在DCServer上管理Fileserver上的服务,必须授予域管理员从网络访问Fileserver的权利。

任务:

u 配置组策略允许Domain Admins从网络访问服务器组中的服务器

u 使用组策略管理服务器组的netlogon服务和Smart Card服务

u 只允许Domain Admins组能够管理服务器的Netlogon服务

u 服务器的Smart Card服务设置为禁用

u 查看和验证使用组策略管理的服务

步骤:

1. 如图3-210所示,在DCServer上,打开组策略管理工具,右击服务器组组织单元链接的组策略“服务器安全策略”,点击“编辑”。

2. 在出现的组策略管理编辑器,点中“计算机配置”à“策略”à“Windows设置”à“本地策略”à“用户权限分配”,在详细窗口,双击“从网络访问此计算机”。

3. 如图3-211所示,在出现的从网络访问此计算机属性对话框,点“添加用户或组”,在出现的添加用户或组对话框,输入ess\Domain Admins点击“确定”。关闭组策略管理 编辑器。

提示:如果不允许用户Domain Admins组从网络访问服务器,则域管理员administrator不能在DCServer上使用MMC管理控制台管理FileServer的服务。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-210 编辑组策略 图 3-211 添加组

4. 如图3-212所示,在FileServer上运行gpupdate /force刷新组策略。

5. 如图3-213所示,在DCServer上,点击“开始”à“运行”,输入services.msc,点击“确定”。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-212 刷新组策略 图 3-213 打开服务管理工具

6. 如图3-214所示,在出现的服务对话框,右击服务,点击“链接到另一台计算机”。

7. 如图3-215所示,在出现的选择计算机对话框,选择“另一台计算机”,输入FileServer,点击“确定”。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-214 链接到其他计算机 图 3-215 指定计算机

8. 如图3-216所示,服务管理工具链接到FileServer上的服务,可以看到FileServer上的netlogon服务和Smart Card服务及其状态。

9. 如图3-217所示,在DCServer上,打开组策略管理工具,右击服务器组组织单元链接的组策略“服务器安全策略”,点击“编辑”。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-216 查看服务的状态 图 3-217 编辑组策略

10. 如图3-218所示,在出现的组策略编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“系统服务”,右击“Netlogon”,点击“属性”。

11. 如图3-219所示,在出现的Netlogon属性对话框,选中“定义这个策略设置”,选择“自动”。点击“编辑安全设置”。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-218 编辑服务 图 3-219 设置启动模式

12. 如图3-220所示,在出现的安全设置Netlogon,删除“System”,删除“administrators”。

13. 如图3-221所示,点击“添加”,授权Domain Admins组能够完全控制。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-220 设置安全 图 3-221 编辑安全

14. 如图3-222所示,双击“Smart Card”,在出现的Smart Card属性,选中“定义这个策略设置”,选择“已禁用”,点击“确定”。

15. 如图3-223所示,在Fileserver上,以本地管理员登录。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-222 设置启动模式 图 3-223 使用本地管理员登录

16. 如图3-224所示,在命令提示符下输入gpupdate /force刷新组策略。

17. 如图3-224所示,输入net stop Netlogon 停止Netlogon服务,拒绝访问,说明本地管理员不能停止Netlogon服务。

18. 如图3-225所示,在DCServer上,以域管理员身份登录,使用服务器管理器链接到Fileserver上,右击“Netlogon”,点击“重新启动”,重新成功。

使用组策略禁用或启用域中计算机运行的服务使用组策略禁用或启用域中计算机运行的服务

图 3-224 刷新组策略验证组策略设置 图 3-225 域管理员有权重启服务



本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1133998,如需转载请自行联系原作者

上一篇:静态编译Qt4.4.3


下一篇:AliSQL · 特性介绍 · 动态加字段