27组策略在企业中的应用.doc

济南铁道职业技术学院教师授课教案2003/2004学年 第 二 学期 课程 网络操作系统章节课题组策略的应用授课方法多 媒 体 讲 授所需教具多媒体授课时间6月11日1/2节授课班级计网0233目的要求：掌握组策略的设置；了解权限委派 旧知复习： 组策略的作用组策略的特点重点难点： 组策略的设置教学过程：（包括主要教学环节、时间分配） 旧知复习（15） 组策略在企业中的应用（60）小结（10）作业（5）课后作业： 补充教学后记：学生对概念的理解缺乏实际性，在今后的上机过程中要给学生多结合实际加以介绍。任课教师：平寒 教研室主任 复习：组策略的作用：使用户或计算机按照管理员的设置得到工作环境组策略的特点：组策略只对本容器中的用户和计算机起作用一个组策略可以应用到多个容器上创建和链接组策略对象的方法讨论：如何确定最终组策略设置有四个GPO：GPO1、GPO2、GPO3、GPO4GPO4GPO3GPO2GPO1OU域站 点GPO1使“收藏夹”出现在“开始”菜单中GPO2要求输入一个至少含有11个字符的密码GPO3从“开始”菜单中移去“Windows Update”GPO4使“Windows Update”出现在“开始”菜单中，并从“开始”菜单中删除“收藏夹”问题：在OU中用户对象的最终组策略设置是什么？为什么？第八章 组策略在企业中的应用8-1 利用组策略管理用户环境l 管理用户环境控制用户在登录网络时有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。l 用户环境为用户或计算机设置的。8-1-1 组策略设置的结构l 组策略的设置总体分为：计算机配置和用户配置l 计算机配置和用户配置下面又有三个子层：（1） 软件设置统一管理所有软件（2） Windows设置计算机配置：脚本、安全设置用户配置：IE维护、脚本、安全设置、远程安装服务、文件夹重定向（3） 管理模板解决用户环境的问题计算机配置：Windows组件、系统、网络、打印机用户配置：Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单8-1-2 计算机配置中的Windows配置l 脚本（启动/关闭）组策略脚本设置的功能：（1） 集中配置脚本，在计算机启动或关闭时，自动运行。（2） 指定在Windows 2000上运行任何脚本，包括批处理文件、可执行程序等。 案例一：添加脚本（1） 计算机配置Windows设置脚本右击“启动”单击“添加”（2） 单击“浏览”，选定要运行的脚本或可执行文件注：如果同时添加多个脚本，则Windows 2000按照从上到下的顺序执行； 如果多个脚本之间有冲突，则最后处理的脚本有效。l 安全设置安全设置包括：帐号策略、本地策略、事件日志、无限制的组、系统服务、注册表、文件系统、公钥策略、IP安全策略案例二：计算机中的安全设置是如何起作用的（1） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（2） 计算机配置Windows设置安全设置右击“登录屏幕不要显示上次登录的用户名”（3） 选择“安全性”选中“定义这个策略设置”和“已启用”8-1-3 计算机配置中的管理模板计算机配置中的管理模板控制计算机桌面的外观和行为管理模板包括：Windows组件、系统、网络l Windows 组件Windows组件中规定了一些操作系统自带的组件，如：IE、Netmeeting、若任务计划等。案例三：设置Windows组件（以“任务计划程序”为例）（1） 控制面板任务计划添加一个任务计划（2） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（3） 计算机配置管理模板Windows组件选中“任务计划程序”项（4） 右击“禁用创建新任务”选择“属性”在“策略”选项卡中选中“启用”l 系统子树系统子树包括：登录、磁盘配额、DNS客户端、组策略、Windows文件保护l 网络子树 网络子树包括：脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接 案例四：禁用网络连接共享（1） 新建一个拨号连接，设置共享（2） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（3） 计算机配置管理模板网络网络及拨号连接（4） 右击“允许连接共享”选中“禁用”l 打印机子树 打印机子树中包括与打印机相关的各种策略8-1-4 用户配置中的Windows配置 Windows配置中包括：IE维护、脚本、安全设置、远程安装服务、文件夹重定向l IE维护子树 IE维护子树中的选项与IE选项一致案例五：用用户策略中的IE维护为用户指定默认主页（1） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（2） 用户配置Windows设置IE维护URL（3） 右击“重要URL”选择“属性”选中“自定义主页URL”输入网址l 脚本 用户配置中的脚本在用户登录和注销时运行 计算机配置中的脚本在计算机启动和关闭时运行l 安全设置 用户配置中的安全设置包括：密钥策略l 远程安装服务 远程安装服务策略规定了：用户在进行RIS安装时，客户安装向导运行期间，用户可以使用的选项设置l 文件夹重定向 文件夹重定向的功能：将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。 案例六：重定向文件夹（ My Document）（1） 用户配置Windows设置文件夹重定向右击“My Document”子树选择“属性”（2） 在“目标”选项卡中，选择“基本”，来为每个用户在服务器上建立一个个人文件夹，文件夹名即用户名（3） 在目标文件夹的位置输入路径：服务器名共享文件夹名用户名（4） 在“设置”选项卡中设置：只有用户和系统能够访问该文件夹8-1-5 用户配置中的管理模板控制用户环境 用户配置的管理模板包含：Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。l Windows组件 案例七：资源管理器中的策略（使资源管理器中的文件夹选项消失）（1） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（2） 用户配置管理面板Windows组件Windows资源管理器（3） 右击“从工具菜单中删除文件夹选项菜单”，选择“启用”l 任务栏和开始菜单控制任务栏和开始菜单中的各种环境l 桌面 桌面子树包括：活动桌面、Active Directoryl 控制面板规定用户对控制面板的操作l 网络子树 网络子树包括：脱机文件夹、网络及拨号连接 用户配置中的网络子树与计算机配置中的网络子树的区别：策略的控制范围不同l 系统子树 系统子树包括：登录/撤销、组策略8-2 使用组策略管理软件 在Windows 2000中，可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置，来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。8-2-1 软件布置（安装和维护）的步骤l 准备阶段准备一个文件，以便一个应用程序能用组策略布置。为完成这个，应将用于应用程序的Windows安装程序包文件（*.msi *.zap）复制到一个软件分布点，它可能是一个共享文件夹或服务器。l 布置阶段 管理员创建一个在计算机上安装软件并将GPO链接到相应的活动类别容器内的组策略对象（GPO）。实际上，软件是在计算机启动或用户激活应用程序时安装。l 维护阶段 用新版本的软件升级软件或用一个补丁包来重新布置软件。当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。l 删除阶段 为删除不再使用的软件，从开始布置软件的GPO中删除软件包设置。当计算机启动或用户登录时软件将被自动删除。8-3 发布和分配软件 用组策略统一给客户端安装软件，有两种形式：发布、分配（指派）8-3-1 发布和分配软件l 所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装；也可以通过文档激活自动安装。l 只能将软件发布给用户，而不给计算机。8-3-2 分配软件l 可以将软件分配用户和计算机。l 分配软件确保用户需要的所有应用程序都安装到了他们的计算机上。l 通过分配软件，可以确保：（1） 软件对用户总是可用的。可以采用文档激活方法安装，如使用Word、Excel等应用程序的用户。（2） 软件是有弹性的。如果缺少某些文件，当用户下次登录并激活应用程序时，将重新安装。（3） 当给用户分配软件时，软件将出现在用户的桌面上，但是在用户双击其图标或打开与应用程序关联的文件之前，安装不会开始。（4） 当给计算机分配软件时，在计算机启动时，软件将被自动安装。l 如果计算机是一个域控制器，分配软件给计算机将不起作用。8-4 用组策略布置软件包 案例八：用组策略布置软件包（以用户配置中的软件设置为例）（1） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（2） 用户配置软件设置右击“软件安装”选择“新建”单击“程序包”（3） 选择安装程序包（*.msi *.zap）单击“打开”（4） 选择布置方法为“已发行”（5） 再选择另一个安装程序包，选择布置方法为“已指派”（6） 在域中另一台计算机上登录，控制面板添加/删除程序添加新程序 注：客户机一定要指向DNS8-5 删除布置的软件 案例九：卸载已布置的软件（1） 打开域属性的“组策略”选项卡选中“Default Domain Policy”单击“编辑”（2） 用户设置软件设置软件安装右击要删除的软件选择“删除”（3） 客户注销帐户或重启计算机后，软件即被删除8-6 配置软件布置8-6-1 软件安装属性l 打开“软件安装属性”的方法： 用户配置软件设置右击“软件安装”选择“属性”l “常规”选项卡 设置新建程序包的默认安装位置、部署方式、安装界面l “文件名扩展”选项卡 控制应用程序与文件扩展名关联时的优先权，并在文档激活过程中打开或安装。l “类别”选项卡 添加软件类别，对软件进行分类，便于查找。8-6-2 软件安装包的属性l “软件安装”属性针对所有已创建的软件包“软件安装包”属性针对一个软件安装包l 打开“软件安装包属性”的方法： 用户配置软件设置“软件安装”右击选定的软件安装包选择“属性”l “常规”选项卡提供该软件安装包的信息。l “部署”选项卡设置该软件安装包的布置方式、具体的部署选项、安装界面l “升级”选项卡设置该软件安装包的升级程序包，以及升级方式（强制升级、可选升级）l “类别”选项卡将