计算机网络实践教程第17章 组策略的应用.ppt

第17章组策略的应用,17.1知识准备,17.1.1用户环境17.1.2软件部署,17.1.1用户环境,用户工作环境是指与用户相关的桌面、开始菜单、控制面板、安全设置等内容。管理员通过组策略可以方便的控制用户工作环境。1计算机配置的管理模板策略例1：显示“关闭事件追踪程序”例2：显示用户以前交互式登录的信息：,2用户配置的管理模板策略例1：限制用户只可以或不可以运行指定的Windows应用程序。例2：隐藏或只显示在控制面板内指定的项目。例3：禁用单击Ctrl+Alt+Del键后所出现界面中的选项。例4：隐藏和禁用桌面上所有的项目。例5：删除InternetExplorer的Internet选项中的部分标签例6：删除开始菜单功能中的“关机”、“重新启动”、“睡眠”和“休眠”命令。,3账户策略（1）针对域用户所设置的账户策略必须通过域级别的GPO来设置才有效，通过站点或组织单位的GPO所设置的账户策略，对域用户没有作用。（2）如果针对某个组织单位来设置账户策略，则这个账户策略只会被应用到位于此组织单位的计算机的本地用户账户，但是对于此组织单位内的域用户账户没有影响。,4用户权限分配例举常用权限允许本地登录。拒绝本地登录。将工作站添加到域。关闭系统。从网络访问此计算机。拒绝从网络访问这台计算机。从远程系统强制关机。备份文件和目录。还原文件和目录。管理审核和安全记录。更改系统时间。取得文件或其他对象的所有权。,5安全选项例举安全选项策略交互式登录：无须按Ctrl+Alt+Del键。交互式登录：不要显示上次登录的用户名。交互式登录：域控制器无法使用时，要缓存先前的登录次数。交互式登录：在密码过期之前提示用户更改密码。交互式登录：给出登录用户的信息本文、登录用户的信息标题。关机：允许不登录就将系统关机。,6登录/注销，启动/关机脚本脚本是为了登录/注销过程写好的脚本文件，通过文件中存储的命令行与服务器进行交互，自动完成登录/注销过程而不需人工干预。可以让用户登录时，系统自动运行登录脚本，当用户注销时，自动运行注销脚本；计算机在开机启动时自动运行启动脚本，关机时自动运行关机脚本。登录/注销脚本在“用户配置”中的“Windows设置”中设置，启动/关闭脚本在“计算机配置”中的“Windows设置”中设置。,7文件夹重定向文件夹重定向是用户的某些文件夹的存储位置，重定向到网络共享文件夹内。在设置文件夹重定向时有三种选择（参见图17-10）：基本：将每个人的文件夹重定向到同一位置。将组织单位业务部内所有用户的文件夹都重定向。高级：为不同的用户组指定位置。将组织单位业务部内隶属于指定组内的用户的文件夹重定向。未配置：不重定向。8限制访问移动存储设备系统管理员可以使用组策略来限制用户访问可移动存储设备，例如U盘和移动硬盘，以免企业内部员工通过这些存储设备给计算机带来威胁。,17.1.2软件部署,1分配软件当将一个软件通过组策略分配给域用户后，用户在域内的任何一台计算机登录时，软件都会被通告给该用户。当软件被分配给域用户时，用户在域内的任何一台计算机登录，都可以安装并使用这个软件。当软件被分配给域内的计算机时，这些计算机启动时就会自动安装这个软件，任何用户登录都可以使用这个软件。,2发布软件将一个软件通过组策略发布给域用户后，此软件并不会自动被安装到用户的计算机内，而是由用户自行使用以下两种方式来安装此软件。一种是利用【开始】【控制面板】单击【程序】处的【获取程序】；另一种是利用文件与程序的关联运行程序的功能。3自动修复软件被发布或分配的Windows安装包具备自动修复的功能。4删除软件在组策略内从发布或分配的软件列表中将此软件删除，并设置下次用户登录或计算机启动时，自动将这个软件从用户的计算机中删除。,17.2实验目的与任务,目的学会用组策略管理用户环境。掌握发布和部署软件的方法。任务根据用户环境要求建立组策略对象将组策略对象链接到需要的域或组织单位发布软件分配软件,17.3实验过程,实验17-1为财务部建立特殊的组策略,要求：从开始菜单删除“运行”命令，禁止访问控制面板，禁止本地登录，禁止运行记事本程序notpade.exe。,图17-2组策略管理器,图17-3新建GPO,图17-4组策略编辑器,图17-5从“开始“菜单中删除“运行”菜单,图17-6设置拒绝登录,图17-7设置能运行的程序,图17-8输入程序名,实验17-2建立独立的组策略对象,1重定向文件夹,要求：将“我的文档”文件夹重定向到DC1上userdata文件夹,图17-9组策略编辑器文件夹重定向,图17-10设置文档属性,2限制使用移动磁盘,图17-11设置可移动存储访问,