使用组策略禁用或启用域中计算机运行的服务

使用组策略管理系统服务

使用组策略能够集中管理域中计算机的服务的启动模式和管理服务的权限。

系统服务设置安全性，执行系统服务方面的安全措施时，您能够控制谁可以在工做站、成员服务器或域控制器上管理服务。目前，更改系统服务的惟一方法是经过使用”组策略”计算机设置。

若是将”组策略”做为”默认域策略”实施，该策略就会应用到域内的全部计算机。若是将”组策略”做为”默认域控制器策略”实施，该策略将只应用于域控制器的组织单元内的服务器。您能够建立包含可应用策略的工做站计算机的组织单元

3.10.1示例：集中管理系统服务

禁用不须要的服务，可以改善计算机的性能，增长安全性。

经过受权对服务管理权限，能够受权一个域用户统一管理域中计算机的某些服务。避免重要的服务被本地管理员关闭。

下面就以netlogon服务和Smart Card服务为例讲述如何使用组策略管理服务。

计算机加入域后netlogon服务启动模式会设置为“自动”。“netlogon”系统服务维护计算机和域控制器之间的安全通道，对用户和服务进行身份验证。它将用户的凭据传递给域控制器，而后返回用户的域安全标识符和用户权限。该服务中止，域用户将不能登陆到域。

域管理员为了不域中计算机的netlogon服务的启动模式设置成“禁用”或“手动”而不能启动，形成域用户不能登陆到域。须要将该服务启动模式设置为”自动”。权限设置为只有域管理员可以彻底控制。

因为公司不须要使用智能卡登陆，所以禁用域中计算机的“Smart Card”服务。该服务管理此计算机对智能卡的取读访问。若是此服务被终止，此计算机将没法取读智能卡。若是此服务被禁用，任何依赖它的服务将没法启动。

在Windows XP上运行gpupdate /force刷新组策略，也不会当即生效。为了可以当即验证组策略设置的效果，咱们编辑连接在“服务器组”组织单元的组策略，使用安装了Windows Server Core的服务器验证组策略设置。

要想在DCServer上管理Fileserver上的服务，必须授予域管理员从网络访问Fileserver的权利。

任务：

u 配置组策略容许Domain Admins从网络访问服务器组中的服务器

u 使用组策略管理服务器组的netlogon服务和Smart Card服务

u 只容许Domain Admins组可以管理服务器的Netlogon服务

u 服务器的Smart Card服务设置为禁用

u 查看和验证使用组策略管理的服务

步骤：

1. 如图3-210所示，在DCServer上，打开组策略管理工具，右击服务器组组织单元连接的组策略“服务器安全策略”，点击“编辑”。

2. 在出现的组策略管理编辑器，点中“计算机配置”à“策略”à“Windows设置”à“本地策略”à“用户权限分配”，在详细窗口，双击“从网络访问此计算机”。

3. 如图3-211所示，在出现的从网络访问此计算机属性对话框，点“添加用户或组”，在出现的添加用户或组对话框，输入ess\Domain Admins点击“肯定”。关闭组策略管理 编辑器。

提示：若是不容许用户Domain Admins组从网络访问服务器，则域管理员administrator不能在DCServer上使用MMC管理控制台管理FileServer的服务。

图 3-210 编辑组策略 图 3-211 添加组

4. 如图3-212所示，在FileServer上运行gpupdate /force刷新组策略。

5. 如图3-213所示，在DCServer上，点击“开始”à“运行”，输入services.msc，点击“肯定”。

图 3-212 刷新组策略 图 3-213 打开服务管理工具

6. 如图3-214所示，在出现的服务对话框，右击服务，点击“连接到另外一台计算机”。

7. 如图3-215所示，在出现的选择计算机对话框，选择“另外一台计算机”，输入FileServer，点击“肯定”。

图 3-214 连接到其余计算机 图 3-215 指定计算机

8. 如图3-216所示，服务管理工具连接到FileServer上的服务，能够看到FileServer上的netlogon服务和Smart Card服务及其状态。

9. 如图3-217所示，在DCServer上，打开组策略管理工具，右击服务器组组织单元连接的组策略“服务器安全策略”，点击“编辑”。

图 3-216 查看服务的状态 图 3-217 编辑组策略

10. 如图3-218所示，在出现的组策略编辑器对话框，点中“计算机配置”à“策略”à“Windows设置”à“系统服务”，右击“Netlogon”，点击“属性”。

11. 如图3-219所示，在出现的Netlogon属性对话框，选中“定义这个策略设置”，选择“自动”。点击“编辑安全设置”。

图 3-218 编辑服务 图 3-219 设置启动模式

12. 如图3-220所示，在出现的安全设置Netlogon，删除“System”，删除“administrators”。

13. 如图3-221所示，点击“添加”，受权Domain Admins组可以彻底控制。

图 3-220 设置安全 图 3-221 编辑安全

14. 如图3-222所示，双击“Smart Card”，在出现的Smart Card属性，选中“定义这个策略设置”，选择“已禁用”，点击“肯定”。

15. 如图3-223所示，在Fileserver上，以本地管理员登陆。

图 3-222 设置启动模式 图 3-223 使用本地管理员登陆

16. 如图3-224所示，在命令提示符下输入gpupdate /force刷新组策略。

17. 如图3-224所示，输入net stop Netlogon 中止Netlogon服务，拒绝访问，说明本地管理员不能中止Netlogon服务。

18. 如图3-225所示，在DCServer上，以域管理员身份登陆，使用服务器管理器连接到Fileserver上，右击“Netlogon”，点击“从新启动”，从新成功。

图 3-224 刷新组策略验证组策略设置 图 3-225 域管理员有权重启服务

19. 如图3-226所示，能够看到Smart Card服务的状态已经被组策略设置为禁用。

图 3-226 服务状态

 

广告