第四讲组策略的基本原理和使用组策略管理用户环境

使用组策略基础和组策略管理用户环境的第4课，导入课程在ActiveDirectory目录服务中使用组策略管理用户和计算机。组策略的用途和功能是什么？如何使用和管理组策略对象？4使用组策略基本原则和组策略管理用户环境，课程内容组策略对象实施域中组策略对象组策略部署管理，多媒体组策略介绍，目的：组策略在用户和计算机环境管理中的作用，组策略对象实施，组策略用户和计算机的配置设置本地计算机策略设置课堂练习设置本地计算机策略，组策略，组策略， 组策略设置定义了组策略对象与选定的ActiveDirectory对象(即站点、域或组织单元)相关联的组策略对象，您可以使用“开始”菜单选项和程序用户桌面上出现的程序(需要系统管理员管理的用户桌面环境的各种组件用户)为特定用户组创建特殊桌面配置。 组策略用户配置：桌面设置软件设置Windows设置安全设置组策略计算机配置：桌面设置软件设置Windows设置安全设置、用户和计算机的配置设置、教室练习设置本地计算机策略，目的：设置本地计算机策略方案主：Nwtraders公司的系统管理员。 在将策略设置部署到生产服务器之前，您要测试一些本地策略设置。必须设置服务器上的某些本地计算机策略设置，并测试这些设置以确保它们工作正常。教室练习设置本地计算机策略(续)，主要步骤：1。将组策略对象编辑器添加到管理控制台。2 .使用本地策略设置防止用户关闭服务器3。测试此策略设置将阻止用户关闭服务器。4使用组策略基本原则和组策略管理用户环境，使用组策略对象管理域中组策略对象组策略放置，在域中实施组策略对象，创建组策略对象工具域中的组策略对象管理组策略对象创建类练习创建组策略对象创建组策略对象链接相关联的组策略对象继承ActiveDirectory中的组策略权限，创建组策略对象的工具。 默认组策略工具ActiveDirectory用户和计算机域及组织单位组策略对象ActiveDirectory站点和服务站点组策略对象本地安全策略本地计算机安全设置其他工具组策略管理域、组织单位和站点组策略对象、ActiveDirectory站点和服务、ActiveDirectory用户和计算机、以及必须在组策略对象容器中创建名为“GlasgowGP”的组策略对象。如果ActiveDirectory中名为“组策略对象”的容器中存储的组策略对象链接、站点、域或组织单位实施组策略对象，则组策略对象将连接到组策略对象容器。这将集中管理和配置多个域或组织单元的组策略对象、组策略对象链接、组策略对象链接、创建和链接现有GPO链接断开删除GPO链接删除GPO链接、创建关联的组策略对象、演示：演示创建组策略对象链接、继承ActiveDirectory中的组策略权限、域、OU 要阻止策略继承，请阻止策略从域或组织单元继承ActiveDirectory用户和计算机管理工具，要阻止策略从站点继承ActiveDirectory站点和服务管理工具，请在课堂练习中，将创建组策略对象链接方案主：创建组策略对象链接方案主： GlasgowGP 的组策略对象设置为 ITTest/GlasgowGP ，4使用组策略基本原则和组策略管理用户环境，实施组策略对象管理域中组策略对象组策略部署，管理组策略部署，处理组策略对象冲突防止组策略对象分发阻止组策略对象部署的步骤配置组策略对象链接的属性配置强制执行组策略组策略部署的过滤器类讨论组策略继承的修改配置组策略继承的过滤练习管理组策略部署，处理组策略对象冲突， 冲突解决方案如果ActiveDirectory分层结构中的组策略设置发生冲突，则子容器中的组策略对象设置修改继承选项不复盖阻止策略继承，防止组策略对象分布，销售，生产，域，组策略对象，不应用组策略对象设置，要求：域中的所有计算机都必须在防病毒程序域中的所有计算机上安装Office组件，除工资单部门工资单部门的管理员之外的所有客户端计算机上都必须安装财务应用程序，配置组策略过滤，演示：配置组策略过滤，部署课堂练习组策略管理，City标准台式机，City财务应用程序，City市场应用程序， 目的：将组策略对象与组织单元相关联分配多个组策略对象后确定继承的有效性阻止组策略继承将组策略对象应用于下一级别的组织单元对组策略对象进行过滤，以允许从组织单元中选择的用户和组应用于组策略管理部署，教室练习(续)，方案3360Nwtraders公司将在“ITTest”组织单元中创建用于安装会计应用程序和市场营销应用程序软件的组策略对象，如下图所示会计软件和市场营销软件安装在所有“Accounting”和“Marketing”组织单位员工的计算机上，但是将推迟临时员工的应用程序软件部署。当临时员工准备使用软件时，可以快速激活这些应用程序。组策略部署，课堂练习组策略管理部署(续)，步骤：1。建立与上图相符的组织单位结构2。创建三个组策略对象glasgowstandarddeskdesktgowaccoundingappsglasgowmarketingsapps 3。创建必需的组策略对象链接4。准备组策略对象安全过滤器5。阻止组策略对象配置继承，组策略使用最佳实践以防止整个组策略对象影响站点、域和组织单元，并防止不再使用的组策略对象影响站点、域和组织单元。阻止策略继承和禁止替换功能仅在需要时用基于计算机的组策略替换基于用户的组策略。防止在域之间多次分配组策略对象。不要将组策略对象多次链接到同一组织单位。研讨会上的练习1，active directory域的管理员。网络只有一个域，并且所有域服务器都安装了WindowsServer2003系统。所有3500个用户帐户存储在默认用户容器中。已设置所有用户的部门属性。现在，必须将所有部门属性设置为Sales的帐户放在SalesOU中。由于时间紧迫，希望自动完成附加过程。需要执行哪两个步骤？a .以适当的命令参数运行dsmod命令b .以适当的命令参数运行dsget命令c .以适当的命令参数运行dsquery命令d .以适当的命令参数运行dsmove命令e .以适当的命令参数运行dsrm命令f .以适当的命令参数运行find命令，研讨会练习2，您是active directory域的管理员。网络只有一个域，并且所有域服务器都安装了WindowsServer2003系统。公司为应用程序测试购买了新服务器。公司的安全政策要求在30分钟内用错误的密码登录3次，帐户将被锁定。如果新服务器的帐户锁定了30分钟，您会发现可以重新登录。如何确保公司的安全战略？a .重置锁定数设置1B。重置锁定数设置9999999 c。设定帐户锁定时间0D。设定帐户锁定时间99999，员工练习3，active directory网域管理员。网络只有一个域，并且所有域服务器都安装了WindowsServer2003系统。所有客户计算机都使用WindowsXPProfessional。有些用户使用移动计算机，其他用户使用台式机。登录时，域控制器必须验证所有用户。如何修改本地安全策略？a .域控制器身份验证请求解锁计算机B. 0交互式登录c .将“本地登录”用户权限授予Users组，伴随练习4，您是active directory域的管理员。网络只有一个域，并且所有域服务器都安装了WindowsServer2003系统。用户Tom收到了新计算机Client1。他总是能够正常登录域.第二天重新登录时，域名将出现在对话框的域下拉框中，但无法登录。此计算机也无法登录到域。查看系统日志时，显示以下错误消息：netlogon事件id 322160 failedtoauthentitywithactive directory用户和计算机上没有客户端1。为了汤姆的成功注册，我该怎么办？a .重新创建Tom的用户帐户并加入相应的安全组。b .运行netdom reset $ client 1/domain :“DM”命令，然后重新启动Client1C。将Client1添加到任务组，并将client1添加到域。d .在active directory用户和计算机上重置Server5的计算机帐户。joint练习5，active directory域的管理员。网络只有一个域，并且所有域服务器都安装了WindowsServer2003系统。用户Tom报告无法从其计算机登录到域。Tom如何确保每个等均练习5，Tom成功登录到域？a .使用适当的参数执行命令netuserB。使用适当的参数执行命令netaccountsC。使用适当的参数运行命令dsmoduserD。将Tom添加到Users组，使用组策略基本原则和组策略管理用户环境，课程导入使用组策略管理用户环境，例如，使用组策略重定向文件夹，配置MicrosoftInternetExplorer网络连接和用户桌面，使用第4课组策略基本原则和组策略管理用户环境，设置课程内容：组策略使用组策略的原因禁用和启用的组策略设置编辑组策略设置类设置练习编辑组策略设置、使用组策略的原因、使用组策略的目的：用户和计算机部署管理软件强制安全设置强制一致的桌面环境、禁用和启用的组策略设置、多值设置、教室练习编辑组策略设置方案、目的：Nwtraders公司编辑组策略设置方案“ “GlasgowStandardDesktop”组策略对象链接到“ITTest/Glasgow”组织单位。GlasgowStandardDesktop组策略对象实施以下组策略设置：从“开始”菜单中删除“运行”菜单“禁止访问控制面板”在桌面上隐藏网络邻居图标从“开始”菜单中删除网络连接映射网络驱动器和断开网络驱动器连接，在4中使用组策略基本原则和组策略管理用户环境，配置组策略设置使用组策略分配脚本配置文件夹重定向查看应用的策略对象，使用组策略分配脚本， 设置组策略脚本设置如何使用组策略分配脚本域控制器上的脚本分配计算机开始脚本分配计算机结束脚本分配用户登录脚本分配用户注销脚本课堂练习使用组策略分配脚本，设置组策略脚本，Setobjnetwork=wscript . create object( wscript . network )objnnetwork ！，课堂练习使用组策略分配脚本确定如何使用组策略分配脚本的方案。NWTraders公司要将所有员工计算机上的“s”驱动器映射到成员服务器上的“GlasgowPublic”共享文件夹，必须将“GlasgowLogonScripts”组策略对象关联到“ITTest/Glasgow”组织单元，然后测试登录脚本。4使用组策略基本原则和组策略管理用户环境、配置组策略设置使用组策略分配脚本确定“重定向文件夹”配置应用的策略对象、配置“重定向文件夹”、配置文件夹重定向文件夹重定向所需的设置配置文件夹重定向时的安全注意事项“重定向文件夹”配置方法教室练习“重定向文件夹” 文件夹重定向用户和计算机将文件夹重定向到新位置新位置本地计算机上的文件夹或网络上的共享文件夹文档用户可以访问服务器上的文件夹，就像本地访问一样。文件夹重定向的优点。漫游用户配置文件中的性能重定向增强数据可以作为系统管理计划的一部分备份。如果客户端是完全透明的用户，则同一文档网络管理员将通过组策略设置磁盘配额，以限制用户文件夹占用的空间、可重定向文件夹、my documents application data桌面上的开始菜单栏、文件夹使用默认文件夹重定向的对象：使用公共区域的用户-或-个人数据的用户使用高级文件夹重定向时，服务器将根据组中成员的关系提供文件夹的位置，重定向文件夹的过程，根据用户登录策略确定要重定向的文件夹(如果不存在相关访问权限验证文件夹)，创建文件夹，如果存在访问控制列表设置文件夹，确认访问控制列表和所有权都存在，移动重定向的文件夹内容，重定向文件夹的过程，重定向文件夹文件夹重定向根文件夹的NTFS权限文件夹重定向根文件夹的共享文件夹权限重定向为每个用户重定向文件夹的NTFS权限创建隐藏共享文件夹，教室练习：了解重定向文件夹的配置方案：在London服务器上创建名为“C:UserD