组策略应用.doc

网络工程师第八章 组策略应用一、实验目的1.熟悉并会应用组策略2.利用组策略实现软件发布二、实验拓扑三、实验需要1.正确配置各主机的网络参数，保证从客户端能正确登陆域2.将图片和软件放置在服务器上的共享文件夹中3.每次设置组策略后，在DOS命令行中用”goupdate /force”更新策略四、实验步骤（一）组策略应用规则1.）在OU上创建并连接一个组策略background，对组策略background进行配置，以统一与用户的桌面背景利用管理员登陆到DC，单击“开始” “管理工具” “组策略管理”，打开“组策略管理”控制台右击“”选择“新建组织单位”输入“工程部”右击“工程部”OU选择“在这个域中创建GPO并在此处连接”输入GPO的名称“background”右击“background”，选择“编辑”，展开“用户配置” “策略” “管理模式” “桌面” “桌面背景”使用UNC路径输入要使用的桌面背景图片地址在“控制面板” “显示”中选择开启“阻止更改墙纸”新建域用户user1加入到工程部中用户user1登陆到域中 显示策略生效2）应用组策略实现用户登录域前阅读公司的计算机使用规范打开“组策略管理”控制台右击“”，选择“在这个域中创建GPO并在此处连接”，输入新建的名称“开机提示”右击“开机提示”选择“编辑”，展开“计算机配置”“策略”“windows设置” “安全设置” “本地策略” “安全选项”，双击“交互式登录：试图登录的用户的消息标题”，选择“定义这个策略设置”在下面的文本框中输入“注意”，单击“应用”按同样的顺序双击“交互式登录：试图登录的用户的消息文本”选择“在模板中定义这个策略设置”在下面的文本框中输入内容，单击“应用”.在DOS命令行下用“gpupdate /force”刷新策略启动域客户端计算机Olien01,在键入Ctrl+Alt+Del组合键后，会显示。说明策略生效3）组策略的继承右击“”选择“新建组织单位”键入“工程部”右击“工程部”选择选择“在这个域中创建GPO并在此处连接”，输入新建的名称“最新通知”右击“开机提示”选择“编辑”，展开“计算机配置”“策略”“windows设置” “安全设置” “本地策略” “安全选项”，双击“交互式登录：试图登录的用户的消息标题”，选择“定义这个策略设置”在下面的文本框中输入“通知”，单击“应用”按同样的顺序双击“交互式登录：试图登录的用户的消息文本”选择“在模板中定义这个策略设置”在下面的文本框中输入内容，单击“应用”将计算机Olien01单击右键移动到“工程部”启动域客户端计算机Olien01,在键入Ctrl+Alt+Del组合键后，会显示。说明策略生效在默认情况下，下层容器会继承上层容器的GPO4）组策略的强制和阻止继承双击“”将“开机提示”GPO单击右键选择“强制”在命令行下更新策略重新启动域客户端计算机Olien01,在键入Ctrl+Alt+Del组合键后，会显示说明策略生效右击“工程部”选择“阻止继承”则：计算机将继承域的组策略而不继承OU的组策略5）组策略的筛选（工程部有两个人员，一个是普通用户一个是经理manager）要求工程部的员工使用公司通一的桌面背景。准备一张图片1.jpg充当桌面背景为“工程部”创建一个GPO连接，名为“墙纸”右击“墙纸”，选择“编辑”，展开“用户配置” “策略” “管理模式” “桌面” “桌面背景”选择“已启用”普通用户登录计算机墙纸更改，策略生效现要求工程部经理manager不受此约束双击GPO“墙纸”在“委派”中添加用户manager设置权限为拒绝“写入”和拒绝“应用组策略”用户manager登录域，显示没有受阻策略约束，说明筛选生效（二）利用组策略实现软件发布1)利用GPO给容器下的计算机或用户分发软件获取windows安装程序包文件，该程序包含一个.msi文件以及必要的相关安装文件将安装程序包存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹。.打开“组策略管理”右击“”创建GPO键入“软件”右击“软件”选择“编辑”，依次展开“用户配置” “策略” “软件设置”，右击“软件安装”，选择“属性”，设置“默认程序数据包位置”右击“软件安装”，选择“新建” “数据包”选择相应的2.0.msi文件，然后右击2.0.msi文件选择“属性” “部署” 勾选“在登录时安装此应用程序”用户User1登录到域，显示安装软件，说明策略生效2)软件的升级编辑组策略“软件”依次展开 “用户配置” “策略” “软件设置”，右击“软件安装”，选择“新建” “数据包”选择相应的2.1.msi文件，然后在“部署软件”页面中选择部署方法为“已分配”右击2.1，选择“属性” “升级”，单击“添加”，选择要升级的数据包，单击“确定”更新组策略注销用户账户user1再登录，显示说明策略生效6）删除软件右击要删除的程序包，在弹出的快捷菜单中选择“所有任务” “删除”*若选择“立即从用户和计算机中卸载软件”，则下一次用户或计算机登录或启动时软件会被强制删除*若卸载“允许用户继续使用软件，但阻止新的安装”，则用户和计算机仍可继续使用软件，但不允许重新安装。五、实验总结1.组策略是通过组策略对象（GPO）来进行管理的2.组策略包括计算机配置和用户配置。用户配置需注销用户重新登陆就可以生效，计算机配置一般是重启计算机就可以生效3.如果容器的多个组策略设置不冲突，则最终的有效策略是所有组策略的累加4.组策略按以下顺序被