第7章使用组策略管理用户环境.doc

第7章使用组策略管理用户环境本章概述本章节主要是和大家介绍了使用组策略管理用户环境的知识和技能。本章介绍使用组策略管理用户环境所需的知识和技能,具体包括：使用组策略配置“文件夹重定向”、Microsoft Internet Explorer 网络连接和用户桌面。教学目标l 了解配置组策略设置的相关知识点。l 了解使用组策略指派脚本的相关知识点。l 了解配置“文件夹重定向”功能的操作。l 掌握应用组策略对象（GPO，Group Policy Object）。教学重点l 配置组策略是我们部署组策略的基础，学好配置组策略设置的相关知识及学会使用组策略指派脚本显的尤为重要。教学难点l 文件夹重定向的功能，对于大多学生来说会是比较陌生的概念，需要仔细讲解。教学资源课本知识点7.1配置组策略设置7.2使用组策略指派脚本7.3配置“文件夹重定向”7.4确定已应用的策略对象实验使用组策略报告练习 1 为标准桌面计算机创建组策略对象练习 2 为“文件夹重定向”创建组策略对象练习 3 为便携式计算机创建组策略对象练习 4 为桌面计算机创建一个组策略对象练习 5 生成“Group Policy Modeling”报告练习 6 生成“Group Policy Results”报告习题习题1对应知识点配置“文件夹重定向”习题2对应知识点确定已应用的策略对象习题3对应知识点使用组策略指派脚本习题4对应知识点确定已应用的策略对象习题5对应知识点配置组策略设置教学指导手册包新版幻灯片光盘：Powerpnt 2274_2275_07.ppt习题解答光盘：Tprepanswer先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。先修知识推荐补充了解2000内核类的Windows操作系统的基础知识Windows 2000初级管理建议学时课堂教学（2课时）+实验教学（1课时）教学过程7.1配置组策略设置教学提示 ：本节主要达到以下目的：l 了解使用组策略的原因。（略讲）l 掌握禁用和启用的组策略设置的操作。（精讲）l 掌握编辑组策略设置的操作。（精讲）教学内容教学方法教学提示讲授：对用户环境的管理意味着控制用户登录到网络后能够进行哪些操作。通过组策略控制用户的桌面、网络连接和用户界面可以达到管理用户环境的目的。管理员通过管理用户环境来保证用户拥有执行作业所需的资源，也要保证用户不能破坏或错误地配置他们的环境。在集中配置和管理用户环境时，管理员能够执行以下任务：l 管理用户和计算机即使用户从不同的计算机上登录，管理员也可以使用基于注册表的策略管理用户桌面设置，以保证他们能够拥有同样的计算机环境。管理员能够控制 Microsoft Windows Server 2003 管理用户配置文件的方式，包括如何获得用户的个人数据。通过将本地硬盘的用户文件夹重定向到服务器的中心位置，管理员还能够使用户不论在哪台计算机上登录，都可以使用自己的数据。举个例子：比如小李是A公司RND部门的员工，但因为工作需要，暂时把小李派到公司的PSS部门进行工作。RND和PSS部门都在公司的域里。但RND和PSS部门在地理位置上却相隔很远，所以小李没办法把自己的台式机搬过去，只能使用PSS暂时提供给他的机器，这台机器上本没有任何小李的资料，这会给小李的工作带来很大的不便利，但通过组策略，小李可以得到和他在RND的机器上一样的计算机环境。这样就可以保证小李在相同的环境下进行工作了。l 部署软件：讲解课本：7.1.1l 执行安全设置：讲解课本：7.1.1l 设定统一的桌面环境：讲解课本：7.1.1阅书：7.1.1 幻灯：第4页 讲授：我们现在需要了解一下已禁用和已启用的组策略设置。禁用某项策略设置，就意味着禁用了该策略设置能够进行的操作。例如，默认情况下用户可以访问“控制面板”。因此，为了保证用户能够访问“控制面板”，无需禁用“禁止访问控制面板”策略设置，但对于一些低端用户或者容易被攻击的用户，例如公司的前台的电脑，我们就可以设置禁用“控制面板”以确保她不能随便更改计算机的一些设置，从而造成一些不必要的损坏，同时也可以大幅度的保证安全。启用策略设置就是启用策略设置能够进行的操作。也就是上面禁用某项策略设置的逆操作，组策略对象保存着能够改变该组策略对象中的用户和计算机注册信息的可选值。策略设置的默认配置是“未配置”。如需将计算机或用户策略设置恢复到默认值或恢复到本地策略，则选择“未配置”选项。例如，如果为一些客户端启用了某个策略设置，当使用“未配置”选项时，该策略将恢复到默认的本地策略设置。最后我们再了解一下多值策略设置讲解课本：7.1.2阅书：7.1.2幻灯： 第5页演示：说了这么多，大家现在来看一下我是如何进行编辑组策略设置的。演示课本：7.1.3阅书：7.1.3幻灯：第6页按照书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：7.1.4阅书：7.1.4幻灯：第7页按照书本内容进行演示。7.2使用组策略指派脚本教学提示 ：本节主要达到以下目的l 掌握组策略脚本设置。（略讲）l 掌握利用组策略指派脚本的操作。（精讲）教学内容教学方法教学提示讲授：组策略设置可以用来集中配置计算机开机、关机及用户登录、注销时自动运行的脚本。管理员可以通过组策略设置指定任何能够在 Windows Server 2003 中运行的脚本，包括批处理文件、可执行程序以及 Windows 脚本宿主（WSH，Windows Script Host）支持的脚本程序。Windows 脚本宿主 (WSH) 是用于 32 位 Windows 平台的与语言无关的脚本环境。利用 WSH，Microsoft 提供 VBScript、Jscript 和 JScript .NET 脚本引擎。这些脚本语言可用于：Web 服务器的 ASP 页、运行于 Internet Explorer 中的 HTML 页、Windows 98 和 Windows 2000 上 Windows 脚本宿主的脚本引擎中。WSH 可使用任何脚本语言使服务器上的管理任务自动化。例如，管理员可以编写 VBScript 以创建一个新的虚拟目录，然后，利用在后台工作的 WSH，从命令行运行脚本文件，以在 Web 站点上创建新的虚拟目录。此外，管理员可编写单个脚本来面向多个 Web 站点或多个物理服务器。第三方公司为其他语言（如 Perl、TCL、REXX 和 Python）提供 ActiveX 脚本引擎。相关VBScript, Jscript, JScript .NET请参照边上的介绍。现在我们再来看一下组策略脚本设置的优点：讲解课本：7.2.1阅书：7.2.1幻灯：第10页VBScriptMicrosoft Visual Basic Scripting Edition (VBScript) 是 Microsoft Visual Basic 的子集，如果以前用过 Visual Basic，您会发现它看起来非常熟悉。但是，它并不完全相同。因为 VBScript 是专门设计为在 Internet Explorer (IE) 浏览器中工作的，所以它不包括通常在脚本范围以外的功能，如文件访问和打印。但是，使用带有 VBScript 的 FileSystem 对象来操纵文件，这一点则是共同的。VBScript 将活动脚本应用于各种各样的环境中，包括 IE 中的 Web 客户端脚本、Microsoft Internet 信息服务 (IIS) 中的 Web 服务器脚本、Microsoft Internet Security and Acceleration Server (ISA) 和 Sun Solaris。VBScript 是一种快速、可移植、已解释的、基于对象的脚本语言，它处理的是直接嵌入 HTML 页中的源代码。可使用 VBScript 为 WSH、ASP 和 HTML 页增添智能和交互功能。像 Jscript 一样，VBScript 使用 Windows 脚本与宿主应用程序会话。利用 Windows 脚本，浏览器和其他宿主应用程序不需要针对每个脚本组件的特殊集成代码。Windows 脚本允许宿主编译脚本、获取和调用入口点、管理开发人员可使用的命名空间。VBScript 是松类型化语言。松类型化意味着不必显式声明变量的数据类型。事实上，也无法在 VBScript 中显式声明数据类型。而且，在许多情况下，VBScript 根据需要自动执行转换。例如，如果向由文本组成的项（字符串）中添加数字，则该数字会转换成文本。JScriptMicrosoft JScript 是为 Web 页脚本设计的。JScript 遵循 ECMA 262 语言规范。JScript 是专门面向 Internet 的功能强大的脚本语言。像 VBScript 一样，JScript 是一种已解释的、基于对象的脚本语言，它处理的是直接嵌入 HTML 页中的源代码。JScript 可在 Internet Explorer 和 Netscape 浏览器上运行。像 VBScript 一样，JScript 使用 Windows 脚本宿主与宿主应用程序会话。利用 Windows 脚本宿主，浏览器和其他宿主应用程序不需要针对每个脚本组件的特殊集成代码。Windows 脚本宿主允许宿主编译脚本、获取和调用入口点、管理开发人员可使用的命名空间。JScript 是松类型化语言。松类型化意味着不必显式声明变量的数据类型。事实上，您也无法在 Jscript 中显式声明数据类型。而且，在许多情况下，JScript 根据需要自动执行转换。例如，如果向由文本组成的项（字符串）中添加数字，则该数字会转换成文本。JScript .NETJScript .NET 是 Microsoft 的 ECMA 262 语言实现的下一代，它是结合 ECMAScript Edition 4 一起开发的。它被设计成在公共语言运行库中运行，以便管理代码的执行并提供使开发过程更方便的服务。利用 JScript .NET，可以获得多种功能，如跨语言集成，跨语言异常处理，增强的安全性，版本和部署支持，用于组件交互的简化模型，以及调试和分析服务。JScript .NET 将传统的 JScript（它向后完全兼容）的现有功能集与公共语言运行库和基于类的语言的最佳功能结合在一起，可为您提供世界上最好的功能。JScript .NET 中的改进涉及以下内容：真正的编译代码、类型化和无类型变量、类（具有继承、函数重载、属性访问器等）、包、跨语言支持和对 .NET Framework 的访问。演示：现在大家再来看看我是怎么进行使用组策略指派脚本的方法的：演示课本7.2.2阅书：7.2.2幻灯：第11页根据书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：7.2.3阅书：7.2.3幻灯：第12页按照书本内容进行演示。7.3配置“文件夹重定向”教学提示 ：本节主要达到以下目的：l 了解“文件夹重定向”的概念及哪些文件夹可以重定向。（略讲）l 掌握配置“文件夹重定向”的相关操作和设置。（精讲）教学内容教学方法教学提示讲授：文件夹重定向就是将文件夹的存储位置从用户的本地计算机硬盘更改到网络文件服务器上的共享文件夹。将文件夹重定向到文件服务器后，从用户的角度看来，该文件夹似乎仍然存储在本地硬盘上。其实现在市面上也有很多软件也能完成这样的功能。比如说网易推出的网络邮盘，QQ推出的网络硬盘等，都能让你在任何只要有网络的地方就能得到你存储在相应目录内的资源。现在我们来看一下使用文件夹重定向的优点是什么：讲解课本：7.3.1阅书：7.3.1幻灯：第1516页讲授：可以重定向的文件夹包括：“我的文档”、“Application Data”、“桌面”以及“开始菜单”。 组织应当重定向这些文件夹，以保护重要的用户数据和设置。根据组织的不同需求，重定向这些文件夹能够为组织带来不同的好处。现在我们来具体说一下：讲解课本：7.3.2阅书：7.3.2幻灯：第17页一边讲解一边进行相对应的演示。讲授：“文件夹重定向”有三个可用的设置：无、基本、高级。“基本文件夹重定向”供需要将文件夹重定向到公共区域的用户或者要求数据专用的用户使用。书上分别介绍了基本文件夹重定向和高级文件夹重定向的内容：讲解课本：7.3.3阅书：7.3.3幻灯：第1820页讲授：配置“文件夹重定向”时的安全注意事项也是我们必须注意的，毕竟我们将本地的文件通过网络传输到远程的一个服务器上，这当中就会产生风险。我们来看一下如何避免这些风险讲解课本：7.3.4阅书：7.3.4幻灯：第21页演示：现在大家再来看看我是怎么进行配置“文件夹重定向”的方法的：演示课本：7.3.5阅书：7.2.5幻灯：第22页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示：7.3.6阅书：7.2.6幻灯：第23页7.4确定已应用的策略对象教学提示 ：本节主要达到以下目的：l 掌握“gpupdate”命令和“gpresult”命令。（略讲）l 理解组策略报告的概念及使用组策略报告的方法。（略讲）l 理解组策略模拟的概念及使用组策略模拟的方法。（略讲）l 理解组策略结果的概念及使用组策略结果的方法。（略讲）教学内容教学方法教学提示讲授：“gpupdate”是用于刷新本地组策略设置和Active Directory 中存储的组策略设置（包括安全设置）的命令行工具。默认情况下，工作站或服务器上的安全设置每90分钟刷新一次，域控制器每5分钟刷新一次。通过运行“gpupdate”，可以测试组策略设置或执行组策略设置，我们看一下书上对它的实例和参数介绍：讲解课本：7.4.1阅书：7.4.1幻灯：第26页参考连接：http：//technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/6880fef3-76b7-4eb3-b993-fa0079961585.mspx讲授：由于可能对用户或计算机重叠应用策略设置，所以组策略登录时会产生一个策略结果集。“gpresult”用于显示计算机上特定用户登录时执行的策略结果集。“gpresult”命令显示用户或计算机的组策略设置和策略的结果集（RSoP，Resultant Set of Policy）数据。“gpresult”命令可以用于查看有效的策略设置并找出问题所在。我们看一下书上对它的实例和参数介绍：讲解课本：7.4.2阅书：7.4.2幻灯：第27页参考连接：http：//china/windowsxp/pro/using/itpro/managing/gpresults.asp演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：7.4.3阅书：7.4.3幻灯：第28页讲授：系统管理员可能已经对某个组策略对象进行了上百次修改。为了在不打开组策略对象以及不展开每个文件夹的情况下确认对组策略对象所做的修改，可以生成一个HTML（Hypertext Markup Language，超文本标记语言）格式的报告，列出组策略对象中已配置的项目。：讲解课本：7.4.4阅书：7.4.4幻灯：第29页演示：现在大家再来看看我是怎么进行使用组策略报告的方法的：演示课本：7.4.5阅书：7.4.5幻灯：第30页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示：7.4.6阅书：7.4.6幻灯：第31页讲授：在部署将要应用到用户和计算机上的组策略对象之前，Windows Server 2003 允许管理员提前进行模拟部署。模拟将生成一份报告，内容包括用户的组织单位、计算机的组织单位和任何组成员身份或 WMI（Windows Management Instrumentation）筛选。报告还包括所有组策略继承问题或冲突讲解课本：7.4.7阅书：7.4.7幻灯：第32页演示：现在大家再来看看我是怎么进行使用“Group Policy Modeling”的方法的：演示课本：7.4.8阅书：7.4.8幻灯：第33页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：7.4.9阅书：7.4.9幻灯：第34页讲授：“Group Policy Results”中显示的数据与“Group Policy Modeling”中的数据非常相似。但是，与“Group Policy Modeling”数据的区别在于，“Group Policy Results”数据不是模拟的结果，而是从目标计算机获得的实际RSoP数据。默认情况下，Microsoft Windows XP上所有用户都有访问这个数据的权限，但 Windows Server 2003 用户没有该权限。讲解课本：7.4.10阅书：7.4.10幻灯：第35页演示：现在大家再来看看我是怎么进行使用“Group Policy Results”的方法的：演示课本： 7.4.11阅书：7.4.11幻灯：第36页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本： 7.4.12阅书：7.4.12幻灯：第37页总结经过本章的学习，我们了解了下列的知识和内容：l 了解配置组策略设置的相关知识点。l 了解使用组策略指派脚本的相关知识点。l 了解配置“文件夹重定向”功能的操作。l 掌握确定已应用组策略对象（GPO，Group Policy Object）。在第章中，我们将学习应用管理模板和审核策略的知识，了解如何使用Windows Server 2003进行应用管理模板和审核策略的操作。随堂练习1 你是公司网络的管理员。网络包含一个单独的活动目录域。所有的服务器运行Windows Server 2003。所有的客户端使用Windows XP Professional。网络包括一个域控制器Server1，你在一台客户机Client1上创建预先配置好的用户配置文件。你要确保所有的用户首次登录到网络时收到预先配置好的用户配置文件。所有的用户依然能够个性化设置他们的桌面环境。你应当如何做？A. 将用户配置文件从Client1上拷贝到Sever1netlogonDefault UserB. 将用户配置文件从Client1上拷贝到Sever1netlogonDefault User。将所有活动目录用户的用户配置文件路径改为Sever1netlogonDefault UserC. 将用户配置文件从Client1上拷贝到C：Documents and SettingsDefault User文件夹。在网络上共享改文件夹D. 在活动目录中创建文件夹重定向策略答案：A分析：网络登录服务使用用户配置文件作为登录进程脚本。将预先配置好的用户配置文件在用户首次登录到网络时分配给每个网络用户。你只需将用户配置文件从Client1上拷贝到Sever1netlogonDefault User即可。这样设置使用户依然能够个性化设置他们的桌面环境。2 你是公司网络的管理员。网络包含一个单独的活动目录域。所有的服务器运行Windows Server 2003。一些的客户端使用Windows XP Professional，其余的客户端使用Windows 2000 Professional。所有的销售部账户保存在Sales管理单元（OU）。为了保存漫游用户配置文件，你在成员服务器Sever1上创建共享文件夹Profile。你分配给Everyone组完全控制权限。你要为所有Sale OU用户账户创建用户配置文件。你应当如何做？A. 选择所有Sales OU的用户账户。修改账户属性定义Sever1Profiles%username%为配置文件路径B. 选择所有Sales OU的用户账户。修改账户属性定义Sever1Profiles为配置文件路径C. 创建组策略对象（GPO）连接到Sales OU。在GPO的用户配置文件节中配置文件夹重定向到Sever1ProfilesD. 创建组策略对象（GPO）连接到Domain Controllers OU。在GPO的用户配置文件节中配置文件夹重定向到Sever1Profil