关于windowserver2003组策略问题

Posted 2023-04-20

我用windowserver2003组建了一个局域网,想实现组策略管理,也就是在服务器上写一段脚本,后缀名为.vbs,然后,用gpmc.msi实现组策略管理.将gpo放在用户登录中,也说是,当客户机进入到域后,自动会弹出脚本.
我将服务器新装后,都可以应用脚本.可是用久后,不知啥回事,客户机登录后不会弹出脚本.重装系统,重新装域控制器后,脚本又能弹出,可用久后又是这样.常此以往,非常烦人.
希望有高手能解答,这是什么原因,如何处理.解答出来后,再奖励50分.
脚本没有问题，我的服务器登录进去时，脚本能自动弹出。
但用这个用户名，在其它客户机登录脚本却无法弹了。只在是在客户机上登录，其它用户名都不行。

Windows2003安全策略的制定

WindowsServer2003作为Microsoft最新推出的服务器操作系统，不仅继承了Windows2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。本文就Windows2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。

一、企业账户保护安全策略

用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。

1、提高密码的破解难度

提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。

在Windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在WindowsServer2003系统中，可以通过在安全策略中设定“密码策略”来进行。WindowServer2003系统的安全策略可以根据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。

以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具，然后就可以针对密码策略进行相应的设定。

密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。

2、启用账户锁定策略

账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。

Windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。

但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便。为方便用户起见，可以同时设定锁定的时间和复位计数器的时间，这样以来在3次无效登最后就开始锁定账户，以及锁定时间为30分钟。以上的账户锁定设定，可以有效地避免自动猜解工具的攻击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的安全有时更为重要。

3、限制用户登录

对于企业网的用户还可以通过对其登录行为进行限制，来保障其户户账户的安全。这样以来，即使是密码出现泄漏，系统也可以在一定程度上将黑客阻挡在外，对于WindowsServer2003网络来说，运行“ActiveDirectory用户和计算机”管理工具。然后选择相应的用户，并设置其账户属性。

在账户属性对话框中，可以限制其登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。

4、限制外部连接

对于企业网络来说，通常需要为一些远程拨号的用户（业务人员或客户等)提供拨号接入服务。远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐藏，因此常常成为黑客入侵内部网络的最佳入口。但是，采取一定的措施可以有效地降低风险。

对于基于WindowsServer2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配范围，只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说，可通过回拨技术来提高网络安全性。这里所谓的回拨，是指在主叫方通过验证后立即挂断线路，然后再回拨到主叫方的电话上。这样，即使帐户及其密码被破解，也不必有任何担心。需要注意的是，这里需要开通来电显示业务。

在WindowsServer2003网络中，如果活动目录工作在Native-mode(本机模式)下，这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同，可以设置多种不同的策略。具体的管理比较复杂，由于篇幅有限，大家可参考相关资料，这里就不再作详细介绍。

5、限制特权组成员

在WindowsServer2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组，在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后，就可以管理这个组的成员组成，可以添加或删除成员，当安全策略生效后，可防止黑客将后门账户添加到该组中。

6、防范网络嗅探

由于局域网采用广播的方式进行通信，因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难，可通过以下手段来进行：

1)采用交换网络

一般情况下，交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下，每一个交换端口就是一个独立的广播域，同时端口之间通过交换机进行桥接，而非广播。网络嗅探主要针对的是广播环境下的通信，因而在交换网络中就失去作用了。

随着交换网络技术的普及，网络嗅探所带来的威胁也越来越低，但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探，此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。

2)加密会话

在通信双方之间建立加密的会话连接也是非常有效的方法，特别是在企业网络中。这样，即使黑客成功地进行了网络嗅探，但由于捕获的都是密文，因而毫无价值。网络中进行会话加密的手段有很多，可以通过定制专门的通信加密程序来进行，但是通用性较差。这时，完善IP通信的安全机制是最根本的解决办法。

由于历史原因，基于IP的网络通信技术没有内建的安全机制。随着互联网的发展，安全问题逐渐暴露出来。现在经过各个方面的努力，标准的安全架构也已经基本形成。那就是IPSec机制，并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在WindowsServer2003系统中，其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性，同时使部署和管理更加方便。

在WindowsServer2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中，都集成了相关的管理工具。为清楚起见，通过Microsoft管理控制台MMC定制的管理工具来了解一下。

具体方法如下：首先在“开始”菜单中单击“运行”选项，然后键入mmc，并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后，单击其中的“添加”按钮。在可用的独立管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。

此时可以看到已有的安全策略，用户可以根据情况来添加、修改和删除相应的IP安全策略。其中WindowsServer2003系统自带的有以下几个策略：

安全服务器(要求安全设置)；
客户端(只响应)；
服务器(请求安全设置)；

其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec；“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec，但允许不支持IP安全机制的客户端来建立不安全的连接；而“安全服务器(要求安全设置)”策略则最为严格，它要求双方必须使用IPSec协议。

不过，“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信，因此仍然能够被窃听。直接修改此策略或定制专门的策略，就可以实现有效的防范。选择其中的“所有IP通讯”选项，在这里可以编辑其规则属性。

选择“筛选器操作”选项卡，选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施，在这里将安全措施设置为“高”选项。

以上采用IPSec加密数据通信的方法适用于企业网应用，通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便，不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中，在这里可以对IP隧道中的数据流进行加密。

对于不方便大范围实施IPSec的环境，可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案，它主要适用于客户端通过开放的网络与服务器的连接。例如，客户端通过Internet/Intranet连接到企业或部门的专用网络。

二、企业系统监控安全策略

尽管不断地在对系统进行修补，但由于软件系统的复杂性，新的安全漏洞总会层出不穷。因此，除了对安全漏洞进行修补之外，还要对系统的运行状态进行实时监视，以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时，这种监视就显得尤其重要。

1、启用系统审核机制

系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件，以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。

所有的操作系统、应用系统等都带有日志功能，因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容，来发现黑客的入侵和入侵后的行为。当然，如果要达到这个目的，就必须具备一些相关的知识。首先必须要学会如何配置系统，以启用相应的审核机制，并同时使之能够记录各种安全事件。

对WindowsServer2003的服务器和工作站系统来说，为了不影响系统性能，默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知，这些有红色标记的审核策略应该已经启用，这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说，应同时启用剩下的安全策略。

如果已经启用了“审核对象访问”策略，那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制，而且还可以对用户的访问操作进行审核。但这种审核功能，需要针对具体的对象来进行相应的配置。

首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后，就可以设置对其进行审核的事件和结果。在所有的审核策略生效后，就可以通过检查系统的日志来发现黑客的蛛丝马迹。

2、日志监视

在系统中启用安全审核策略后，管理员应经常查看安全日志的记录，否则就失去了及时补救和防御的时机了。除了安全日志外，管理员还要注意检查各种服务或应用的日志文件。在Windows2003IIS6.0中，其日志功能默认已经启动，并且日志文件存放的路径默认在System32/LogFiles目录下，打开IIS日志文件，可以看到对Web服务器的HTTP请求，IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。

3、监视开放的端口和连接

对日志的监视只能发现已经发生的入侵事件，但是它对正在进行的入侵和破坏行为无能为力了。这时，就需要管理员来掌握一些基本的实时监视技术。

通常在系统被黑客或病毒入侵后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，这样就可能发现它，netstat命令可以进行会话状态的检查，在这里就可以查看已经打开的端口和已经建立的连接。当然也可以采用一些专用的检测程序对端口和连接进行检测，这一类软件很多。

4、监视共享

通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严，最简单的方法就是利用系统隐含的管理共享。因此，只要黑客能够扫描到的IP和用户密码，就可以使用netuse命令连接到的共享上。另外，当浏览到含有恶意脚本的网页时，此时计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。

监测本机的共享连接具体方法如下：在WindowsServer2003的计算机中，打开“计算机管理”工具，并展开“共享文件夹”选项。单击其中的“共享”选项，就可以查看其右面窗口，以检查是否有新的可疑共享，如果有可疑共享，就应该立即删除。另外还可以通过选择“会话”选项，来查看连接到机器所有共享的会话。WindowsNT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码，也仍然可以通过“空连接”来连接到系统上，再进行其他的尝试。

5、监视进程和系统信息

对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。在安装WindowsServer2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具ProcessViewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，我们还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。 参考技术A 对于你的问题 我分析了一下
首先你用你的帐户登入服务器的域可以弹出脚本
而用他的帐户登入你的服务器 是不能弹出脚本（或者在他的机子上用他的帐户登入也没有出现脚本）
现在你可以在dc里 观看他的帐户里的ou策略看看你对该帐户的策略设置如何
是否有设置了 该策略的有效时间的限制
在gpedit.msc里 点管理摸版 点系统 点组策略 看域策略重新刷新的间隔是否启用
应该就是这个问题了
望楼主把分给我 可以发短消息问我些域方面的知道 我学过的 参考技术B 这与window的管理工具包有关，也是是你装的不以，或者你的设置不当，造成，你可重装管理工具试试。本回答被提问者采纳 参考技术C 楼主把弹出用成加载脚本听着比较舒服些. 你说的问题没有遇到过,建议在查看一下你的策略设置是否正确. 如果楼上没解决的话 建议将分给我,我可以提供给你个Q群,里面都是做微软产品的,除了DC,还有SMS,ISA等等等都做 参考技术D 原因脚本有问题！！

如何使用 C# 配置组策略？

【中文标题】如何使用 C# 配置组策略？

【英文标题】：How do I configure group policies using C#?

【发布时间】：2009-06-11 13:17:59

【问题描述】：

如何在 C# 中为控制面板和任务管理器操作基于组策略的限制？

【问题讨论】：

这和C#有什么关系？这听起来像一个组策略的事情。还是您在问“”

【参考方案1】：

看看 WMI。这是一篇关于 WMI 组策略对象的文章的链接：http://msdn.microsoft.com/en-us/library/aa375082(VS.85).aspx

此工具将为您生成示例 c# 代码：WMICodeCreator

【参考方案2】：

您可以使用注册表项轻松限制任务管理器和控制面板！

【参考方案3】：

这里有一些关于如何编辑 GPO 注册表设置的信息：http://msdn.microsoft.com/en-us/library/aa374274(v=VS.85).aspx

这里也有一篇不错的博文：http://blogs.msdn.com/b/dsadsi/archive/2009/07/23/working-with-group-policy-objects-programmatically-simple-c-example-illustrating-how-to-modify-a-registry-based-policy.aspx

这些示例是用 C++ 编写的，但一些聪明的人可能会编写一个 .net 包装器。

【参考方案4】：

这不是编程问题，而是工作站策略管理问题。开始查看例如this.