组策略-基础篇

组策略（基础篇）,学习目标,懂得组策略如何简化管理windows2003网络；了解在windows2003网络中组策略的结构；了解组策略各项的功能；掌握组策略对象的创建；掌握组策略对象的生效规则。,内容,重、难点分析,重点：组策略的功能组策略的结构组策略对象的创建组策略的生效难点：组策略对象的存储结构组策略对象的创建组策略的生效,组策略(GroupPolicy)是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境,也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理负担.,任务一组策略概述,使用组策略可以做到：站点/域级别的集中管理，OU级别分散的管理控制用户的系统软件环境通过控制用户和计算机环境，降低管理成本,任务一组策略介绍,组策略的功能展示,帐户策略的设定:例如设定用户密码的长度、密码使用期限、帐户锁定策略等。本地策略的设置：例如审核策略的设置、用户权限的指派、安全性的设置。脚本（scripts）的设置：例如登录/注销、启动/关机脚本的设置。用户工作环境的设置：例如隐藏用户桌面上所有图标，删除“开始”菜单中的“运行”/“搜索”/“关机”等功能，添加“注销”功能等。软件的安装与删除:用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。限制软件的运行:通过各种不同软件限制的规则，来限制域用户只能运行某些软件。文件夹重定向:例如改变“我的文档”、“开始菜单”等文件夹的存储位置。其他系统设置,用户组策略设置:用户登录时，系统根据此内容来配置用户的工作环境。桌面环境设置软件设置Windows设置安全设置计算机策略设置:启动计算机时，系统就会根据此内容来配置计算机的环境。桌面环境设置软件设置Windows设置安全设置,组策略的组成,组策略的配置选项,计算机配置：当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。用户配置：当用户登录时，系统就会根据“用户配置”来配置用户的工作环境。注：除了可以针对站点、域、OU来设定组策略之外，还可以针对每一台计算机配置“本地计算机策略”，这个策略只会应用到本地计算机以及在此计算机登录的所有用户。,组策略基本规则,组策略只能够管理计算机与用户，不可以管理打印机、共享文件夹等其它对象。组策略不能应用到组，只可以应用到站点、域控制器或者组织单位（Site、Domain、OU）等容器上。组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应该使用本地安全策略来管理。,组策略是通过“组策略对象（GroupPolicyObject,GPO）”来设定的，只要将GPO链接到指定的站点、域或OU等容器上，该GPO内的设定值就会影响到该站点、域或OU内的所有用户和计算机。内建的GPO：系统已经有两个内建的GPO，分别是：DefaultDomainPloicy此GPO已经被链接到域，因此它的设定值会被应用到整个域内的所有用户和计算机。DefaultDomainControllerPloicy此GPO已经被链接到DomainControllerOU，因此它的设定值会被应用到域控制器组织单位内的所有用户和计算机，即默认只有域控制器。,任务二组策略对象（GroupPolicyObject）,GPO,包含组策略设置内容存储在两个场所,存储在活动目录数据库内记载此GPO的属性与版本等数据查看GPC：AD用户和计算机-查看-高级-选择域-展开System容器-Policies,位于DC%systemroot%SYSVOLSysvol域名称Policies文件夹内,以GUID为文件夹名存储GPO的配置值与相关文件的文件夹,组策略容器GPC,组策略模板GPT,组策略所有配置信息GPO内容被分为GPC和GPT两部分：,GPO的内容,创建连接的组策略对象,创建连接的GPO,连接的GPO的名字,默认：连接到域/OU域/企业管理员组连接到站点企业管理员组GroupPolicyCreatorOwners组可创建和修改GPO，但不能建立连接。新建的GPO没有任何设置,创建连接的组策略对象,当修改了站点、域或OU的GPO配置值后，并不是立刻就有效，而是必须等它们被应用到用户或计算机后才有效。计算机配置的启用时间计算机开机时自动启用即使不重新开机，系统仍然会每隔一段时间自动启用：域控制器默认每隔5分钟自动启用非域控制器默认每隔90120分钟自动启用不论策略配置值是否有变动，系统仍然会每隔16小时自动启用一次手动启用：gpupdate/darget:computer/force可从事件查看器内查看“SceCli”事件来检查是否已经启用成功。,任务三组策略的生效应用,用户配置的启用时间用户登录时自动启用。即使用户不注销、登录，系统默认每隔90120分钟自动启用。而且会每隔16小时自动启用一次。手动启用：gpupdate/darget:user/force,组策略实例,在继续组策略高级功能之前，为了加深印象，下面关于计算机和用户的两个实例：实例1：计算机配置由于系统默认只有某些组内（administrators）的用户才有权限在扮演域控制器的计算机上登陆，因此一般用户登陆时会提示“此系统的本地策略不允许您交互登陆”让所有的域用户都能登陆，修改“DefaultDomainControllerPloicy”中的“允许本地登陆”的权限。,组策略实例,实