使用組策略禁用或啓用域中計算機運行的服務

使用組策略管理系統服務

使用組策略能夠集中管理域中計算機的服務的啓動模式和管理服務的權限。

系統服務設置安全性，執行系統服務方面的安全措施時，您能夠控制誰可以在工做站、成員服務器或域控制器上管理服務。目前，更改系統服務的惟一方法是經過使用」組策略」計算機設置。

若是將」組策略」做爲」默認域策略」實施，該策略就會應用到域內的全部計算機。若是將」組策略」做爲」默認域控制器策略」實施，該策略將只應用於域控制器的組織單元內的服務器。您能夠建立包含可應用策略的工做站計算機的組織單元

3.10.1示例：集中管理系統服務

禁用不須要的服務，可以改善計算機的性能，增長安全性。

經過受權對服務管理權限，能夠受權一個域用戶統一管理域中計算機的某些服務。避免重要的服務被本地管理員關閉。

下面就以netlogon服務和Smart Card服務爲例講述如何使用組策略管理服務。

計算機加入域後netlogon服務啓動模式會設置爲「自動」。「netlogon」系統服務維護計算機和域控制器之間的安全通道，對用戶和服務進行身份驗證。它將用戶的憑據傳遞給域控制器，而後返回用戶的域安全標識符和用戶權限。該服務中止，域用戶將不能登陸到域。

域管理員爲了不域中計算機的netlogon服務的啓動模式設置成「禁用」或「手動」而不能啓動，形成域用戶不能登陸到域。須要將該服務啓動模式設置爲」自動」。權限設置爲只有域管理員可以徹底控制。

因爲公司不須要使用智能卡登陸，所以禁用域中計算機的「Smart Card」服務。該服務管理此計算機對智能卡的取讀訪問。若是此服務被終止，此計算機將沒法取讀智能卡。若是此服務被禁用，任何依賴它的服務將沒法啓動。

在Windows XP上運行gpupdate /force刷新組策略，也不會當即生效。爲了可以當即驗證組策略設置的效果，咱們編輯連接在「服務器組」組織單元的組策略，使用安裝了Windows Server Core的服務器驗證組策略設置。

要想在DCServer上管理Fileserver上的服務，必須授予域管理員從網絡訪問Fileserver的權利。

任務：

u 配置組策略容許Domain Admins從網絡訪問服務器組中的服務器

u 使用組策略管理服務器組的netlogon服務和Smart Card服務

u 只容許Domain Admins組可以管理服務器的Netlogon服務

u 服務器的Smart Card服務設置爲禁用

u 查看和驗證使用組策略管理的服務

步驟：

1. 如圖3-210所示，在DCServer上，打開組策略管理工具，右擊服務器組組織單元連接的組策略「服務器安全策略」，點擊「編輯」。

2. 在出現的組策略管理編輯器，點中「計算機配置」à「策略」à「Windows設置」à「本地策略」à「用戶權限分配」，在詳細窗口，雙擊「從網絡訪問此計算機」。

3. 如圖3-211所示，在出現的從網絡訪問此計算機屬性對話框，點「添加用戶或組」，在出現的添加用戶或組對話框，輸入ess\Domain Admins點擊「肯定」。關閉組策略管理 編輯器。

提示：若是不容許用戶Domain Admins組從網絡訪問服務器，則域管理員administrator不能在DCServer上使用MMC管理控制檯管理FileServer的服務。

圖 3-210 編輯組策略 圖 3-211 添加組

4. 如圖3-212所示，在FileServer上運行gpupdate /force刷新組策略。

5. 如圖3-213所示，在DCServer上，點擊「開始」à「運行」，輸入services.msc，點擊「肯定」。

圖 3-212 刷新組策略 圖 3-213 打開服務管理工具

6. 如圖3-214所示，在出現的服務對話框，右擊服務，點擊「連接到另外一臺計算機」。

7. 如圖3-215所示，在出現的選擇計算機對話框，選擇「另外一臺計算機」，輸入FileServer，點擊「肯定」。

圖 3-214 連接到其餘計算機 圖 3-215 指定計算機

8. 如圖3-216所示，服務管理工具連接到FileServer上的服務，能夠看到FileServer上的netlogon服務和Smart Card服務及其狀態。

9. 如圖3-217所示，在DCServer上，打開組策略管理工具，右擊服務器組組織單元連接的組策略「服務器安全策略」，點擊「編輯」。

圖 3-216 查看服務的狀態 圖 3-217 編輯組策略

10. 如圖3-218所示，在出現的組策略編輯器對話框，點中「計算機配置」à「策略」à「Windows設置」à「系統服務」，右擊「Netlogon」，點擊「屬性」。

11. 如圖3-219所示，在出現的Netlogon屬性對話框，選中「定義這個策略設置」，選擇「自動」。點擊「編輯安全設置」。

圖 3-218 編輯服務 圖 3-219 設置啓動模式

12. 如圖3-220所示，在出現的安全設置Netlogon，刪除「System」，刪除「administrators」。

13. 如圖3-221所示，點擊「添加」，受權Domain Admins組可以徹底控制。

圖 3-220 設置安全 圖 3-221 編輯安全

14. 如圖3-222所示，雙擊「Smart Card」，在出現的Smart Card屬性，選中「定義這個策略設置」，選擇「已禁用」，點擊「肯定」。

15. 如圖3-223所示，在Fileserver上，以本地管理員登陸。

圖 3-222 設置啓動模式 圖 3-223 使用本地管理員登陸

16. 如圖3-224所示，在命令提示符下輸入gpupdate /force刷新組策略。

17. 如圖3-224所示，輸入net stop Netlogon 中止Netlogon服務，拒絕訪問，說明本地管理員不能中止Netlogon服務。

18. 如圖3-225所示，在DCServer上，以域管理員身份登陸，使用服務器管理器連接到Fileserver上，右擊「Netlogon」，點擊「從新啓動」，從新成功。

圖 3-224 刷新組策略驗證組策略設置 圖 3-225 域管理員有權重啓服務

19. 如圖3-226所示，能夠看到Smart Card服務的狀態已經被組策略設置爲禁用。

圖 3-226 服務狀態

 

廣告