第6章实现组策略.doc

第6章 实现组策略第6章实现组策略本章概述本章节主要是和大家介绍了实现组策略的知识和技能。通过本章节的学习，我们可以了解 Microsoft Windows Server 2003 环境中组策略的用途和功能，以及如何使用和管理组策略对象（GPO，Group Policy Object）。教学目标l 掌握使用本地组策略对象的方法。l 掌握在域上实现组策略对象的方法。l 掌握管理组策略部署的技能。教学重点l 组策略是进行Windows Server 2003管理的最常用的方法，学习好组策略才能真正的发挥Windows Server 2003的功效，掌握本地组策略和域上组策略非常重要。l 组策略制定好了，最重要的是能部署到每一个需要被管理的机器和用户上，所以光有一个好的策略是没用的，掌握好部署的技能也非常重要。教学难点l 组策略的内容对于整个Windows Server 2003的管理来说，是重点也同样是难点。所以对于本章节的内容，都需要耐心讲解。教学资源课本知识点6.1实现组策略对象6.2在域中实现组策略对象6.3组策略部署管理实验实现组策略练习 1 创建和链接组策略对象练习 2 筛选组策略对象部署练习 3 配置组策略对象强制执行练习 4 配置阻止组策略对象习题习题1对应知识点在域中实现组策略对象习题2对应知识点组策略部署管理习题3对应知识点组策略部署管理习题4对应知识点在域中实现组策略对象教学指导手册包新版幻灯片光盘：Powerpnt 2274_2275_06.ppt习题解答光盘：Tprepanswer多媒体视频光盘： Powerpnt2274_6_A_IntroGP.htmlPowerpnt2274_6_I_GP.html先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。先修知识推荐补充了解2000内核类的Windows操作系统的基础知识Windows 2000初级管理建议学时课堂教学（2课时）+实验教学（1课时）教学过程6.1实现组策略对象教学提示 ：本节主要达到以下目的：l 了解组策略的概念，知道什么是组策略。（略讲）l 掌握用户和计算机的配置设置。（略讲）l 掌握设置本地计算机策略设置。（精讲）教学内容教学方法教学提示讲授：Active Directory 目录服务使用组策略管理网络中的用户和计算机。使用组策略时，可以一次性设定用户的工作环境状态，再由 Windows Server 2003 操作系统沿用管理员设定的组策略设置。组策略设置可以在整个组织范围内应用，也可以针对特定的用户和计算机组应用。其实组策略就是一组规定。比如规定你不许使用我的文档的快捷方式等等，这也就好比我们的校规，类似不许学生抽烟，不许学生酗酒等。它就是一组限制用户在域里活动的规范。有了规范，才可能保证大家资源的合理分配和安全性能的保障：讲解课本6.1.1阅书：6.1.1 幻灯：第56页 组策略参照：http：//user1/261208/archives/2005/16113.html讲授：可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。用户配置用户配置中的“软件设置”用户配置中的“Windows 设置”计算机配置计算机配置中的“软件设置”计算机配置中的“Windows 设置”用户和计算机配置中的“安全设置”讲解课本：6.1.2阅书：6.1.2幻灯：第7页 讲解本章节之前老师可以先把相关的配置熟悉好，一边和学生进行演示，一边进行讲解。演示：说了这么多，大家现在来看一下我是如何进行本地计算机策略设置的。演示课本：6.1.3课堂演示幻灯：第8页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：6.1.4课堂演示幻灯：第9页按照书本内容进行演示。6.2在域中实现组策略对象教学提示 ：本节主要达到以下目的：l 掌握用于创建组策略对象的工具。（略讲）l 掌握域上的组策略对象管理。（略讲）l 掌握创建组策略对象的技能。（略讲）教学内容教学方法教学提示讲授：我们需要通过许多的工具去实现，这里书上我们将会给大家介绍几种常用的工具：l Active Directory 用户和计算机l Active Directory 站点和服务l 组策略管理控制台l “组策略管理”工具与默认组策略工具l 管理模板大家现在一起来看看书上是怎么介绍的。讲解课本：6.2.1阅书：6.2.1幻灯：第12页l “组策略管理”控制台不随 Windows Server 2003 一起提供，而必须下载。l 介绍这些工具的时候，可以一边演示一边进行介绍。l 只要和学生稍做介绍即可，让学生能了解有这么一个工具，大致如何使用即可。讲授：前面我们讲到了如何创建组策略对象，那创建组策略对象后，就要为该对象配置设置。通过把一系列的设置组合到不同的组策略对象中，可以为每一个组策略对象指定不同的配置，使每一个组策略对象只会影响指定的计算机和用户。当把组策略对象应用到域上时，可以在全域范围内管理配置设置。这里我们会说到组策略容器，组策略容器是包含组策略对象属性的 Active Directory 对象，其中包含关于计算机和用户的组策略信息的子容器。组策略容器包括下列信息：l 版本信息确保所有域控制器的组策略容器中信息是同步的l 状态信息指明组策略对象是启用还是禁用l 扩展列表列出组策略对象中使用的组策略扩展演示课本讲解课本： 6.2.2阅书：6.2.2幻灯：第13页根据书本内容进行一边演示一边讲解。演示：现在大家再来看看我是怎么进行创建组策略对象的：演示课本：6.2.3阅书：6.2.3幻灯：第14页根据书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：6.2.4阅书：6.2.4幻灯：第15页按照书本内容进行演示。讲授：当创建一个与站点、域或组织单位链接的组策略对象时，实际上是执行了两步独立的操作：创建新的组策略对象，然后把它链接到站点、域或组织单位。当委派域、组织单位或站点的组策略对象链接权限时，必须具有对此域、组织单位或站点的“修改”权限。讲解课本：6.2.5在组策略对象容器中创建组策略对象后，只有对该组策略对象创建链接后才能将其布署给用户或计算机。其实说了这么多，我给大家稍微做一定的解释。其实策略定下来了，我们必须明确策略是给谁的，让谁去执行，让谁受到限制。其实连接做的事情就是把相关的政策和相关的人联系起来的这么一个过程。讲解课本：6.2.5阅书：6.2.5幻灯：第1618页演示：现在大家再来看看我是怎么进行创建和链接组策略对象，链接现有组策略对象及解除组策略对象链接的：演示课本：6.2.6阅书：6.2.6幻灯：第19页讲授：组策略对象在 Windows Server 2003 中应用的顺序取决于其所链接到的 Active Directory 容器。组策略对象首先应用于站点，其次是域，最后才是域中的组织单位。子容器都是从父容器处继承组策略对象。组策略对象具有叠加性，这就意味着它们可以继承。组策略的继承顺序就是 Windows Server 2003 应用组策略对象的顺序。应用组策略对象和组策略对象继承的顺序将最终决定影响用户和计算机的设置。如果把多个组策略对象设置成同一个值，默认情况下，最后应用的那个组策略对象优先生效。讲解课本：6.2.7课堂多媒体联系：6.2.7阅书：6.2.7幻灯：第2021页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：6.2.8阅书：6.2.8幻灯：第22页6.3组策略部署管理教学提示 ：本节主要达到以下目的：l 理解系统如何处理组策略对象之间的冲突及阻止组策略对象部署的目的。（略讲）l 掌握配置组策略的应用。（略讲）l 掌握配置组策略筛选。（略讲）教学内容教学方法教学提示讲授：组策略对象的复杂组合可能会产生冲突，从而导致默认的继承行为被系统更改。有的时候确实会出现这样的冲突，生活中有的时候我们就会遇见，比如：爸爸允许你做的事情，妈妈不一定允许。那现在我们来看一下如何解决这样的冲突：讲解课本：6.3.1同样我们会修改继承，这里我们会讲到禁止替代和阻止继承。我们来看一下书上是如何讲解修改继承的内容的：讲解课本：6.3.1阅书：6.3.1幻灯：第25页讲授：现在我们来看一下如何阻止组策略对象部署。在子容器上启用“阻止继承”选项，可以阻止该容器对所有组策略设置的继承，而不仅仅是选定的组策略设置。当 Active Directory 容器需要唯一的组策略设置，而且管理员又希望确保子容器不会继承其他组策略设置时，启用该选项非常有用。例如，当组织单位的管理员必须控制一个容器的所有组策略对象时，就可以选择“阻止继承”选项。讲解课本： 6.3.2课堂多媒体练习阅书：6.3.2幻灯：第26页演示：现在我们来看一下阻止组策略对象部署的步骤：演示课本：6.3.3阅书：6.2.3幻灯：第27页讲授：现在我们再来看一下组策略对象链接的属性。可以对组策略对象链接进行启用、禁用、应用和分组操作。这里我们会说到“强制”选项，启用和禁用链接，冲突的链接。现在看一下书上是如何讲解的。讲解课本：6.3.4阅书：6.3.4幻灯：第2829页演示：现在大家再来看看我是怎么进行创建和链接组策略对象，链接现有组策略对象及解除组策略对象链接的：演示课本：6.3.4l 关于组策略的相关信息，组策略连接的相关信息请参考：http：//china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx演示：现在我们来看一下配置组策略的强制执行的步骤：演示课本：6.3.5阅书：6.3.5幻灯：第3031页讲授：默认情况下，影响容器的组策略对象中的所有组策略设置都将应用到容器中所有用户和计算机上，这我们可能并不希望这样。通过使用筛选功能，可以确定在特定容器中的用户和计算机上应用哪些设置。其实这就好象是我们的特权。在我们的警察队伍里，为了严明队伍，每一个警察必须遵守警队的各项规章制度，比如不可以出入娱乐场所等。但卧底作为警察队伍中的特殊一群，如我们前阵子看的无间道，他们有特殊的任务，必须赋予一些特殊的权限。所以他们虽然身为警察，但不一定会被许多制度所约束。在我们的计算机世界里其实也是一样的。这里就必须使用筛选的方法，我们看一下书上怎么介绍的：讲解课本：6.3.6阅书：6.3.6幻灯：第32页课堂讨论6.3.7阅书：6.3.7幻灯：第33页演示：现在我们来看一下配置组策略筛选的步骤：演示课本：6.3.8阅书：6.3.8幻灯：第34页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：6.3.9阅书：6.3.9幻灯：第35页总结经过本章的学习，我们了解了下列的知识和内容：l 掌握使用本地组策略对象的方法。l 掌握在域上实现组策略对象的方法。l 掌握管理组策略的部署的技能。在第7章中，我们将学习使用组策略管理用户环境的知识，了解如何使用Windows Server 2003进行实现使用组策略管理用户环境。随堂练习1 你是活动目录域的管理员。网络中只有一个域，所有域服务器安装Windows Server 2003系统。所有3500个用户账户保存在默认用户容器中。所有用户的部门属性都已经设置好。你现在需要将所有部门属性设置为Sales的账户放在Sales OU中。由于时间紧急，你希望自动完成添加过程。你应当执行哪两个步骤？A. 使用适当的命令参数运行dsmod命令B. 使用适当的命令参数运行dsget命令C. 使用适当的命令参数运行dsquery命令D. 使用适当的命令参数运行dsmove命令E. 使用适当的命令参数运行dsrm命令F. 使用适当的命令参数运行find命令答案：C，D分析：使用Dsmove命令行工具可以重命名和移动活动目录中的对象。使用Dsquery命令行工具可以使用条件查询活动目录中的对象。2 你是活动目录域的管理员。网络中只有一个域，所有域服务器安装Windows Server 2003系统。公司购买了一台新的服务器用于测试应用程序。公司的安全策略是如果半小时内三次使用错误密码登录，账户将被锁定。你发现新的服务器的账户在锁定半小时后又能登录。你要确保公司的安全策略，应当如何做？A. 设置“复位锁定计数”为1B. 设置“复位锁定计数”为99999C. 设置“账户锁定时间”为0D. 设置“账户锁定时间”为99999答案：C3 你是活动目录域的管理员。网络中只有一个域，所有域服务器安装Windows Server 2003系统。所有的客户计算机使用Windows XP Professional。一些用户使用移动计算机，其余的人使用台式机。要使得所有用户在登录时在域控制器上验证。你应当如何修改本地安全策略？A. 请求域控制器验证解除计算机锁定B. 缓存零个对话式登录C. 授予Users组“登录本地”用户权限答案：B分析：缓存用于在本地保存经常使用的数据。为了让所有的用户都在域控制器上验证，你要将对话式登录缓存设置为零。系统缓存保存先前处理的数据。使用缓存可以提高处理速度，而不用重复以前的事务操作。但为了安全考虑，你需要清除缓存。不再缓存登录信息迫使所有用户每次登录都要到域控制器上验证。4 你是活动目录域的管理员。网络中只有一个域，所有域服务器安装Windows Server 2003系统。用户Tom收到一台新计算机Client1。他一直能够正常登录到域中。第二天他再次登录时，虽然域名出现在对话框的域下拉框中，却无法登录。你在这台机器上也无法登录到域中。你查看系统日志发现错误信息：“NETLOGON Event ID 3210： Failed to authenticate with