server-2008利用组策略管理用户工作环境

第四章利用组策略管理用户工作环境,2,概述,介绍组策略组策略结构处理组策略对象组策略设置是如何应用在活动目录修改组策略的继承性组策略的委派管理控制监控和解决组策略冲突最佳方案,介绍组策略,通过使用组策略,可以:1.设置集中的和分散的管理2.确保用户有适合完成他们工作的环境3.降低控制用户和计算机环境的总费用,因此要减少用户需要的技术支持的级别和由于用户的错误操作带来的损失4.推行公司策略,包括商业准则,目标和保密需要,组策略结构,组策略设置的类型组策略的目标针对计算机和用户的组策略设置组策略目标和活动目录容器,组策略设置的类型,组策略对象,7,计算机和用户的组策略设置,计算机的组策略设置1.指的是操作系统行为、桌面行为、安全性设置等等2.计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。3.通常计算机组策略在和用户组策略冲突时有优先权。用户的组策略设置1.用户的组策略设置指定特定的操作系统行为.2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。,组策略设置与首选项设置,组策略首选项的特点：只有域内的组策略可以设置首选项首选项设置非强制，用户可以更改首选项可以针对单一设置项目进行过滤首选项优先级低于策略设置客户端需安装客户端扩展集（CSE）,组策略的处理时限,在计算机启动的时候，将决定哪个计算机的GPO设置被应用在用户登录的时候，将决定哪个用户的GPO设置被应用,控制组策略的处理,同步和异步处理1.默认的组策略处理是同步处理2.可以通过使用组策略设置将默认的行为改为异步传输默认的时间间隔1.Pro、Ser服务器成员每90分钟刷新一次2.域控制器每5分钟刷新一次未发生变更的组策略设置的处理,只处理有变更的GPO设置,组策略对象和活动目录容器,GPO的设置将对站点、域或组织单位的用户和计算机产生影响1.管理员可将GPO和多个站点、域以及组织单位连接2.也可将多个GPO和单个站点、域以及组织单位连接管理员不能将GPO和默认的活动目录容器计算机、用户和Binltin相连，因为他们不是OU,处理组策略对象,创建已连接的组策略目标创建未连接的组策略目标连接已存在的组策略目标,创建已连接的组策略目标,创建未连接的组策略目标,连接已存在的组策略目标,DEMO,策略设置实战演练：计算机配置策略设置实战演练：用户配置首选项设置实战演练1首选项设置实战演练2,组策略的应用规则,一般的继承与处理规则特殊的处理规则特殊的处理设置指定管理组策略目标的域控制器更改组策略的应用间隔时间,一般的继承与处理规则,有高到底，层层应用，低级的覆盖高级的,子容器从母容器继承GPO设置值,解决组策略之间的冲突,策略是积累的，如果策略之间没有冲突将全部应用如果策略之间存在冲突，将采用最新的设置计算机的设置，高于用户的设置,冲突发生时，执行哪个的原则：,来自母容器的GPO设置和来自子容器的GPO设置冲突。子容器的设置后执行并发挥作用。连接到同一容器上的不同的GPO的设置发生冲突时。在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。,课堂讨论：如何执行组策略的设置,课堂讨论：如何执行组策略的设置（2）,WhataretheresultantGroupPolicysettingsfortheOU?,Apasswordmustbeatleast11characterslongTheWindowsUpdateiconappearsontheStartmenuFavoritesdoesnotappearontheStartmenu,GPO3,特殊的继承设置,阻止继承策略强制继承策略筛选组策略设置课堂讨论：改变组策略的继承性,阻止继承,阻止继承1.阻止所有的GPO继承到子容器2.应用配置为不重写的连接阻止继承将无效3.阻止组策略设置将允许活动目录有唯一的组策略设置,强制继承策略,1.将不顾其它的GPO的设置而发挥作用2.在活动目录的较高层次连接GPO以保证能对多个OU起作用3.必须保证强制重要的GPO,Sales,Production,Domain,DomainGPOsettingsapply,筛选组策略设置,筛选组策略设置1.明确的拒绝申请对于包含OU管理员在内的安全组的组策略许可2.删除验证的用户,课堂讨论：改变组策略的继承性,课堂讨论：改变组策略的继承性（2）,Windows管理规范（）过滤器,Windows管理规范过滤使管理员可以基于配置，角色或其他标准决定是否在指定计算机或用户上应用一个组策略对象,特殊的处理设置,强制处理GPO慢速链接的GPO处理环回处理模式禁用GPO,强制组策略的处理,如何在客户端强制刷新组策略,语法:GPUpdate/Target:Computer|User/Force/Target:Computer|User指定只有用户或计算机策设置已被刷新。在默认情况下，用户和计算机策略设置都被刷新。/Force重新运用所有策略设置。在默认情况下，只有已经改变了的策略设置被应用。,组策略和慢速网络连接,组策略能接收慢速连接组策略使用一种运算法则来确定连接是否为慢速连接默认设置如果=500k,为慢速连接,默认的慢速连接处理,指定管理组策略目标的域控制器,当创建一个新的GPO或编辑一个已存在的GPO时，默认的操作在承担PDC主控的域控制器上执行选择域控制器的选项1.操作主控遵循PDC的竞争原则。2.使用活动目录插件形式。3.使用任何可能的域控制器。指定域控制器方式1.使用在组策略快照中的查看菜单下的DC选项2.在组策略设置中指定使用什么域控制器,更改组策略的应用间隔时间,管理组策略,拷贝GPO备份GPO还原GPO导入GPO组策略结果集,解决组策略问题,最佳方案,限制使用阻止、不重写、筛选GPO限制，特别是域相互使用,限制影响任一计算机或用户的GPO数目,在单个GPO中与设置相关的组,在把GPO委派给管理员时限