server2008利用组策略管理用户工作环境课件

1、第四章 利用组策略管理 用户工作环境 1server2008利用组策略管理用户工作环境 概述 l 介绍组策略 l 组策略结构 l 处理组策略对象 l 组策略设置是如何应用在活动目录 l 修改组策略的继承性 l 组策略的委派管理控制 l 监控和解决组策略冲突 l 最佳方案 2server2008利用组策略管理用户工作环境 介绍组策略 通过使用组策略,可以: 1.设置集中的和分散的管理 2.确保用户有适合完成他们工作的环境 3.降低控制用户和计算机环境的总费用,因此要减少用户需 要的技术支持的级别和由于用户的错误操作带来的损失 4.推行公司策略,包括商业准则,目标和保密需要 Site Domain

2、 OU Windows 2003 Applies Continually Users Computers Administrator Sets Group Policy Once Group Policy 3server2008利用组策略管理用户工作环境 组策略结构 l 组策略设置的类型 l 组策略的目标 l 针对计算机和用户的组策略设置 l 组策略目标和活动目录容器 4server2008利用组策略管理用户工作环境 组策略设置的类型 Types of Group Policy Settings Administrative Templates 基于注册的设定应用设置和桌面环境的设置 Secu

3、rity配置本地的计算机、域以及网络安全性设置的设置 Software Installation软件安装、升级、卸载的集中化管理的设置 Scripts运行特定的命令时的设置值，如关机、退出登录 Internet Explorer Maintenance 管理和定制计算机的IE设置 Folder Redirection在网络服务器上存储用户个性化文件夹的设置(重定向) 5server2008利用组策略管理用户工作环境 组策略对象 Contains Group Policy settings Stores content in two locations Group Policy Object 组

4、策略模板在共享的组策略模板在共享的sysvol文件夹中文件夹中 使加入域的计算机获得和应用提供的使加入域的计算机获得和应用提供的 组策略设置组策略设置 Group Policy Template 组策略容器在活动目录中组策略容器在活动目录中 包含包含GPO属性和版本信息的活动目录属性和版本信息的活动目录 对象对象 Group Policy Container 6server2008利用组策略管理用户工作环境 计算机和用户的组策略设置 计算机的组策略设置 1.指的是操作系统行为、桌面行为、安全性设置等等 2.计算机相关的组策略应用在操作系统初始化和周期性更新循环过程 中。 3.通常计算机组策略在

5、和用户组策略冲突时有优先权。 用户的组策略设置 1.用户的组策略设置指定特定的操作系统行为. 2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。 Users Computers 7server2008利用组策略管理用户工作环境 组策略设置与首选项设置 组策略首选项的特点： l 只有域内的组策略可以设置首选项 l 首选项设置非强制，用户可以更改 l 首选项可以针对单一设置项目进行过滤 l 首选项优先级低于策略设置 l 客户端需安装客户端扩展集（CSE） 8server2008利用组策略管理用户工作环境 组策略的处理时限 在计算机启动的时候，将决定哪个计 算机的GPO设置被应用 在用

6、户登录的时候，将决定哪个用户 的GPO设置被应用 Computer starts User logs on n Computer settings applied n Startup scripts run n User settings applied n Logon scripts run 9server2008利用组策略管理用户工作环境 控制组策略的处理 同步和异步处理 1.默认的组策略处理是同步处理 2.可以通过使用组策略设置将默认的行为 改 为异步传输 默认的时间间隔 1.Pro、Ser服务器成员每90分钟刷新一次 2.域控制器每5分钟刷新一次未发生变更 的 组策略设置的处理,只处理

7、有变更的 GPO设 置 10server2008利用组策略管理用户工作环境 组策略对象和活动目录容器 GPO的设置将对站点、域或组织单位的用户和计算机产生影响 1.管理员可将GPO和多个站点、域以及组织单位连接 2.也可将多个GPO和单个站点、域以及组织单位连接 管理员不能将GPO和默认的活动目录容器计算机、用户和Binltin 相连，因为他们不是OU Site Domain OU OUOU OU GPOOU GPO Site GPODomain GPO 11server2008利用组策略管理用户工作环境 处理组策略对象 l 创建已连接的组策略目标 l 创建未连接的组策略目标 l 连接已存在的

8、组策略目标 12server2008利用组策略管理用户工作环境 创建已连接的组策略目标 13server2008利用组策略管理用户工作环境 创建未连接的组策略目标 14server2008利用组策略管理用户工作环境 连接已存在的组策略目标 15server2008利用组策略管理用户工作环境 DEMO l 策略设置实战演练：计算机配置 l 策略设置实战演练：用户配置 l 首选项设置实战演练1 l 首选项设置实战演练2 16server2008利用组策略管理用户工作环境 组策略的应用规则 l 一般的继承与处理规则 l 特殊的处理规则 l 特殊的处理设置 l 指定管理组策略目标的域控制器 l 更改组

9、策略的应用间隔时间 17server2008利用组策略管理用户工作环境 一般的继承与处理规则 有高到底，层层应用，低级的覆盖有高到底，层层应用，低级的覆盖 高级的高级的 Site Domain OU 子容器从母容器继承子容器从母容器继承GPO 设置值设置值 Computers Users Payroll Domain Domain GPO 18server2008利用组策略管理用户工作环境 解决组策略之间的冲突 l 策略是积累的，如果策略之间没有冲突将全部 应用 l 如果策略之间存在冲突，将采用最新的设置 l 计算机的设置，高于用户的设置 19server2008利用组策略管理用户工作环境 冲

10、突发生时，执行哪个的原则： 来自母容器的GPO设置和来自子容器的GPO设 置冲突。子容器的设置后执行并发挥作用。 连接到同一容器上的不同的GPO的设置发生冲 突时。在容器属性对话框中GPO列表中最高位置的 GPO的设置后执行并发挥作用。 20server2008利用组策略管理用户工作环境 课堂讨论：如何执行组策略的设置 nGPO1 确认收藏夹出现在开始菜单确认收藏夹出现在开始菜单 中中 nGPO2 and GPO3 要求要求11位字符的密位字符的密 码并将码并将Update icon移除开始菜单移除开始菜单 nGPO4 从开始菜单移除收藏夹并让从开始菜单移除收藏夹并让 update icon出

11、现出现 What are the resultant Group Policy settings for the OU? OU Site Domain GPO1 GPO2 GPO3 GPO4 21server2008利用组策略管理用户工作环境 课堂讨论：如何执行组策略的设置（2） What are the resultant Group Policy settings for the OU? nA password must be at least 11 characters long nThe Windows Update icon appears on the Start menu nFa

12、vorites does not appear on the Start menu OU Site Domain GPO1 GPO2 GPO3 GPO4 22server2008利用组策略管理用户工作环境 特殊的继承设置 l 阻止继承策略 l 强制继承策略 l 筛选组策略设置 l 课堂讨论：改变组策略的继承性 23server2008利用组策略管理用户工作环境 阻止继承 阻止继承 1.阻止所有的GPO继承到子容 器 2.应用配置为不重写的连接阻 止继承将无效 3.阻止组策略设置将允许活动 目录有唯一的组策略设置 GPOs Sales Production Domain No GPO setti

13、ngs apply 24server2008利用组策略管理用户工作环境 强制继承策略 1.将不顾其它的GPO的设置而发挥作 用 2.在活动目录的较高层次连接GPO 以保证能对多个OU起作用 3.必须保证强制重要的GPO Sales Production Domain Domain GPO settings apply Conflicting GPO Settings No Override GPO Settings 25server2008利用组策略管理用户工作环境 筛选组策略设置 筛选组策略设置 1.明确的拒绝申请对于包含 OU管理员在内的安全组的组策略 许可 2.删除验证的用户 Domai

14、n Sales Mengph Kimyo Group Deny Apply Group Policy Allow Read and Apply Group Policy 26server2008利用组策略管理用户工作环境 课堂讨论：改变组策略的继承性 Settings That Are Needed n在域中的所有计算机上必须安装防病毒程在域中的所有计算机上必须安装防病毒程 序序 n除工资部门的用户外所有域里的计算机必除工资部门的用户外所有域里的计算机必 须安装微软的须安装微软的office套件套件 n除工资部门的管理员计算机外，工资部门除工资部门的管理员计算机外，工资部门 的所有计算机都必须

15、安装系列商用财务应的所有计算机都必须安装系列商用财务应 用程序用程序 如何设置你的如何设置你的 GPOs? Payroll Sales C Training 27server2008利用组策略管理用户工作环境 课堂讨论：改变组策略的继承性（2） How do you set up your GPOs? nA GPO linked to the domain with the anti- virus application settings configured and the link configured with No Override nA GPO linked to the domai

16、n that installs the Office suite nEnable Block Inheritance for the Payroll OU nA GPO linked to the Payroll OU to install the accounting application nModify the DACL of the GPO linked to the Payroll OU to deny the Apply Group Policy permission for the computer accounts used by the Payroll OU administ

17、rators Payroll Sales N Training 28server2008利用组策略管理用户工作环境 Windows 管理规范（）过滤器 Windows 管理规范过滤使管理员可以基于配 置，角色 或其他标准决定是否在指定计算机或用户上应 用一个 组策略对象 29server2008利用组策略管理用户工作环境 特殊的处理设置 l 强制处理GPO l 慢速链接的GPO处理 l 环回处理模式 l 禁用GPO 30server2008利用组策略管理用户工作环境 强制组策略的处理 31server2008利用组策略管理用户工作环境 如何在客户端强制刷新组策略 语法: GPUpdate /T

18、arget:Computer | User /Force /Target:Computer | User 指定只有用户或计算 机策设置已被刷新。在默认情况下，用户和计算机策 略设置都被刷新。 /Force 重新运用所有策略设置。在默认情况下， 只有已经改变了的策略设置被应用。 32server2008利用组策略管理用户工作环境 组策略和慢速网络连接 l 组策略能接收慢速连接 l 组策略使用一种运算法则来确定连接是否为慢速 连接 l 默认设置如果=500k,为慢速连接 33server2008利用组策略管理用户工作环境 默认的慢速连接处理 客户端扩展客户端扩展慢速连接慢速连接 基于注册的设置基于

19、注册的设置打开打开(不能关闭不能关闭) IE界面设置界面设置关闭关闭 软件安装设置软件安装设置关闭关闭 文件夹重定向设置文件夹重定向设置关闭关闭 命令设置命令设置关闭关闭 EFS覆盖设置覆盖设置关闭关闭 磁盘配额设置磁盘配额设置关闭关闭 安全性和加密文件系统覆盖设置安全性和加密文件系统覆盖设置关闭关闭 IP安全性设置安全性设置打开打开(不能关闭不能关闭) 34server2008利用组策略管理用户工作环境 指定管理组策略目标的域控制器 当创建一个新的GPO或编辑一个已存在的GPO时， 默认的操作在承担PDC主控的域控制器上执行 选择域控制器的选项 1.操作主控遵循PDC的竞争原则。 2.使用活动目录插件形式。 3.使用任何可能的域控制器。 指定域控制器方式 1.使用在组策略快照中的查看菜单下的DC选项 2.在组策略设置中指