活动项目应用组策略祥讲.ppt

1、,郑重声明： 本资料来自武汉软件工程职业学院优秀教师唐能立，未经本人同意不得转载,第13讲 组策略,企业需求,企业的员工都使用计算机办公，为了管理上的方便，需要对全部的计算机在某些配置上强制性实施统一的配置。例如：密码设置原则、统一安装办公软件。,本讲任务,对域中的计算机，强制每个月必须修改密码，并且密码不能过于简单或反复使用。 此外还不允许员工自己配置网络邻居，自己添加和删除程序。,基本知识,1 什么是组策略,“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。 组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的

2、桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。,各种组策略,计算机是否加入到域对策略的影响是很大的 没有加入到域中的计算机只有本地策略在起作用 而如果计算机加入到域中，牵涉的组策略就复杂得多了，包括本地策略、默认域策略、默认域控制器策略，还有组织单元上（OU）的策略等,2 本地策略、本地安全策略,没有加入到域中的计算机只有本地策略在起作用 本地安全策略是本地策略的一部分,本地安全策略：在管理工具中,本地策略：在MMC中添加,添加管理单元：组策略对象编辑器,本地安全策略是本地策

3、略的一部分,两种配置选项,计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。 用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。,3 默认域策略,域策略会应用到整个域，域策略存储在域控制器上。 在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。,在MMC中可以添加默认域策略管理单元,默认域控制器策略,默认域控制

4、器策略是应用到域中的域控制器的。 在“Active Directory用户和计算机”窗口中的左边选中“Domain Controllers”，右击鼠标选择“属性”项，选择“组策略”选项卡。 域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。 默认域控制器策略是安装Windows 2003时自动创建的、应用到域控制器上的策略。,4 各种策略存在的位置,各种策略并存时，哪个在起作用？,作用顺序： 首先是本地策略 然后是域策略 域控制器策略（域控制器上才有） 如果发生不同组策略对同一策略项设置了不同的值，后者将替代前者 也就是说本地策略的优先级是最低的。如果有需要我们可以

5、改变这种替代关系，稍后才介绍如何改变。,配置步骤,1 创建组策略,每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略 而域上可以有多个组策略，我们可以在一个域上同时应用多个组策略,也可以在原有的策略上直接进行修改,创建新的组策略，则域上有多个策略存在,有多个策略时，排在列表上面的组策略具有较高的优先级 对于同一策略设置，上面的组策略会替代下面的组策略,修改域控制器上的默认策略,2 设置密码策略,在成员服务器上刷新组策略：gpupdate,在成员服务器上检查本地安全策略是否被更新,可以看到策略已经更新为在域上面设置的策略了,测试策略是否生效,更改用户密码时，要求满足设置的密码策略了,3 配置桌面,阻止更改“任务栏”和“开始”菜单,4 不要保留打开文档的记录,不想让人知道自己浏览过哪些网页和打开过哪些文件。,5 关闭一些不需要的服务,6 控制用户或组访问注册表的权限,用户或组访问注册表的权限,企业疑难问题解析,公司的不少员工使用office，可是有好几个版本的office，我能用组策略统一安装一个版本的office吗？ 可以，组策略中的用户配置软件设置软件安装就是为了完成这个用途。可以在域中统一使用某一软件。 我是否可以使用组策略把员工的计算机都设成一个模样？ 完全一样很难做