Windows网络服务器配置与管理-提高篇 第5章 实现组策略.ppt

第5章实现组策略 介绍组策略组策略结构使用组策略在ActiveDirectory中实现组策略设定修改组策略继承GPO实现的策略组策略的委托管理控制组策略的监视错误诊断最佳实践 5 1介绍组策略 集中式的网络策略以及分级的OU策略通过组策略为用户设定统一的工作环境通过控制用户和计算机环境 降低总拥有成本强制性地实现企业的策略 5 2组策略结构 组策略设置的类型组策略对象计算机和用户的组策略组策略对象和ActiveDirectory容器 5 2 1组策略设置的类型 单一策略多重策略专用策略 5 2 2组策略对象 组策略对象 包含组策略设置存在于两个地方 域控制器SYSVOL下的一个共享目录GPT包含所有的组策略设置和信息 客户计算机连接到该目录来取得设置 存在于ActiveDirectory中向域控制器提供版本信息 组策略模板 GPT 组策略容器 GPC 5 2 3计算机和用户的组策略 计算机策略操作系统行为 桌面行为 安全设定 计算机启动和关闭脚本 计算机指派应用程序选项和应用程序设定计算机策略的实现在操作系统初始化或定期更新时用户策略操作系统行为 桌面行为 安全设定 指派和发布应用程序的选项和应用程序设定 目录的重定向 用户登录 注销脚本用户策略的实现是在登录或定期更新时 5 2 4组策略对象和ActiveDirectory容器 如果你在站点 域 OU上实现组策略 那么必须将这些容器和适当的GPO连接起来可以在一个ActiveDirectory的容器上连接多个GPO可以将一个GPO连接到多个ActiveDirectory容器上在ActiveDirectory中的默认容器上不能连接GPOS 5 3使用组策略 创建连接的组策略对象创建无连接的组策略对象连接一个已存在的组策略对象指定一个域控制器来管理组策略对象 5 3 1创建连接的组策略对象 创建并连接AD容器使用 ActiveDirectory用户和计算机 创建连接到域 组织单位的组策略对象使用 ActiveDirectory站点和服务 创建连接到站点的组策略对象 连接的组策略对象名字 创建组策略对象 创建无连接的组策略对象 创建一个无连接的GPO 5 3 2连接一个已存在的组策略对象 连接一个已存在的GPO 选择适合的标签页 选择GPO所在的活动目录容器 挑选要连接的GPO 5 3 3指定一个域控制器来管理组策略对象 默认情况下 PDC模拟器的DC将管理组策略的创建和修改可以指定一台DC管理组策略对象 指定一个域控制器来管理组策略对象 指定一个域控制器来管理组策略对象 续 5 4在ActiveDirectory中实现组策略设定 组策略继承组策略的处理方式控制组策略的处理过程组策略和慢速连接解决组策略之间的冲突课堂讨论组策略的实现 5 4 1组策略继承 子容器继承父容器的组策略设置 Windows2003根据指定的规则接受组策略设置 组策略继承 例外情况 本地GPO禁止替代阻止继承环回替代环回合并环回 5 4 2组策略的处理方式 GETGPOLIST的WIN32函数决定启动时计算机执行哪些计算机相关的设置 以及登录时执行哪些用户相关的设置 组策略设置顺序修改GPO顺序指定阻止继承设置禁止替代启用环回 组策略的处理方式 5 4 3控制组策略的处理过程 同步和异步处理默认情况下 组策略的处理是同步的可以将组策略的处理改为异步方式 设置组策略刷新间隔默认Windows2000成员服务器和Professional计算机90分钟刷新一次策略默认域控制器5分钟刷新一次策略 控制组策略的处理过程 续 处理无变化的策略设置可以设置客户端扩展 DLL 每一次刷新时将所有的组策略设置再执行一次 控制组策略的处理过程 续 组策略和慢速连接 组策略能够检测链路的速度是否太慢 从而决定是否要优化组策略的应用这种检测是建立在500Kbps的比较上的 系统用一个特定的算法来判定线路的状况如果系统认为线路过慢 那么将采取优化措施 5 4 4解决组策略之间的冲突 没有冲突 那么所有的GPOS都要应用如果父系的GPOS和子系GPOS有冲突 以子系为准一个容器上有多个GPOS 以优先级为准计算机的设置覆盖用户的设置 课堂讨论组策略的实现 OU最终的组策略是什么 密码至少11个字符开始菜单中有WindowsUpdate图标开始菜单中没有收藏夹 GPO3 课堂讨论组策略的实现 续 5 5修改组策略继承 启用阻止策略继承启用禁止替代过滤组策略设置 5 5 1启用阻止策略继承 阻止策略继承可以阻止从父系的组策略继承设置不能挑选阻止特定的组策略如果父系上的组策略设置 禁止替代 则不生效 5 5 2启用禁止替代 禁止替代覆盖阻止策略继承建议在AD的高层设置同级的多个组策略设置了防止替代 以优先级高的为准层次高的防止替代有效用于强制推行企业策略 Sales Production 域 域的组策略被应用 5 5 3过滤组策略设置 过滤组策略设置禁止特定对象的应用策略权限移除AUTHENTICATEDUSERS组 加入替代的用户 计算机 组 5 6GPO实现的策略 分层GPO和单GPO设计的比较职能角色和小组设计的关系带有集中或分散控制的OU委派 5 6 1分层GPO和单GPO设计的比较 分层组策略 单一组策略 基本GPO 无GPO 5 6 2职能角色和小组设计的关系 功能角色组策略 团队结构组策略 基本GPO 域范围内GPO 5 6 3带有集中或分散控制的OU委派 允许访问AM7 00 PM7 00 修改密码 禁止替代 阻止策略继承 课堂讨论更改组策略继承性 课堂讨论更改组策略继承性 续 组策略的委托管理控制 管理连接到站点 域 OUS的组策略赋予特定用户对特定容器的gplink和gpoptions的读写权限使用委托管理向导创建GPOS将特定用户加入GROUPPOLICYCREATOROWNERS组编辑GPOS赋予特定用户对该组策略读写权限将用户添加到DOMAINADMINS ENTERPRISEADMINS GROUPPOLICYCREATOROWNERS组中在组策略的安全标签中 赋予用户访问组策略的权利 5 7组策略的监视错误诊断 监视组策略组策略错误诊断工具组策略错误诊断 5 7 1监视组策略 你可以通过以下方法监视组策略开启组策略的事件日志修改注册表 启用APPLICATION LOG 该日志可以用事件查看器查看允许VERBOSE日志修改注册表 启用USERENV LOG 该日志可以用事件查看器查看 5 7 2组策略错误诊断工具 Windows2003安装光盘的支持工具包NETDIAG EXEREPLMON EXEWindows2003RESOURCEKIT工具GPOTOOL EXEGPRESULT EXE 5 7 3组策略错误诊断 5 8最佳实践 减少使用阻止 禁止替代和过滤GPO等组策略限制措施减少作用到特定计算机和用户上的组策略的数量在单个组策略上设置相关的组将对组策略的管理委托给一至两个管理员避免将组策略连接到存在多个域的站点上在部署组策略之前先进行测试 回顾 学习完本章后 将能够 了解