Windows网络服务器配置与管理提高篇第6章使用组策略管理用户环境和软课件

1、第6章 使用组策略管理用户环境和软件管理用户环境介绍管理模板介绍在组策略中使用管理模板用组策略指派脚本 使用组策略进行用户文件夹重定向使用组策略确保用户环境安全管理软件部署介绍Windows Installer 服务部署软件配置软件部署维护部署的软件删除部署的软件第1页，共43页。6.1 管理用户环境介绍管理用户环境是控制用户登录网络后能做的事情使用组策略设置来管理用户环境定义了组策略容器内的用户和计算机将接受指定的用户环境 管理用户环境管理模板设置脚本设置用户文件夹重定向安全设置我的文档HKEY_LOCAL_MACHINEHKEY_CURRENT_USER注册表第2页，共43页。 主要任务实

2、现统一的配置限制用户使用系统的功能无论用户在何处登录，确保始终能够得到他们的工作环境限制用户能使用的工具 提供用户工作环境的保护 管理用户环境介绍（续）第3页，共43页。6.2 管理模板介绍管理模板计算机应用管理模板的方式第4页，共43页。6.2.1管理模板管理模板是一组组策略和注册表设置的集合 管理模板能够修改以下注册HKEY_LOCAL_MACHINE （计算机设置）HKEY_CURRENT_USER （用户设置）当组策略连接的对象不可用，那么组策略的注册表设置将去除，代之以注册表的默认值Windows 2003 计算机在不发生冲突的前提下，同时应用组策略的注册表设置和本地计算机的注册表设

3、置第5页，共43页。6.2.2 计算机应用管理模板的方式Registry.pol 文件包含模板的设置和值GPO 列表1客户计算机启动，接受包含相应计算机设置的 GPO 列表 客户计算机连接到域控制器的 SYSVOL 目录，然后再找到每个 GPO 的对应目录中的 REGISTRY.POL 文件 SysvolRegistry.polRegistry.polGPT2客户计算机将相应的值写入注册表 （HKLM 和 HKCU）Registry.polHKCURegistry.polHKLM3登录对话框 （计算机设置） 或桌面（用户设置）出现4第6页，共43页。6.2.3 在组策略中使用管理模板管理模板设

4、置的类型 设置锁定用户桌面 设置锁定用户访问网络资源 锁定用户能访问的管理工具和应用程序组策略的环回处理 实现管理模板 第7页，共43页。管理模板设置的类型设置类型 控制可作用于Windows组件控制用户可以使用哪些 Windows 2003 组件，如MMC系统设置登录和注销处理；组策略设置、刷新间隔、磁盘配额、环回处理网络设置网络连接、拨号处理、网络共享访问打印机设置打印机对象的 AD 发布、WEB 打印等选项 开始菜单 &任务栏设置用户可以访问的项目、用户的定制权利 桌面控制用户的活动桌面，如控制图表的显示以及用户的 MY DOCUMENT 文件夹控制面板控制用户对于控制面板的访问权限 第

5、8页，共43页。设置锁定用户桌面隐藏桌面的所有图标 退出时不保存设置 隐藏我的电脑的指定驱动器移除开始菜单中的“运行”命令 限制用户访问控制面板中的显示器设置 禁止和移除 Windows Update 禁止更改开始菜单和任务栏 禁止和移除关机命令 使用组策略设置锁定用户桌面第9页，共43页。设置锁定用户访问网络资源隐藏桌面上“网上邻居”图标 移除映射网络盘符和断开网络盘 符菜单 移除 IE 中的“选项”设置菜单 使用组策略设置锁定用户访问网络资源第10页，共43页。锁定用户能访问的管理工具和应用程序移除开始菜单中的“搜索” 移除开始菜单中的“运行”命令 禁止任务管理器 只允许使用某些 Wind

6、ows 程序 移除菜单中的“文档” 禁止改变开始菜单和任务栏 隐藏程序组中的常用项 锁定用户能访问的管理工具和应用程序第11页，共43页。组策略的环回处理组策略的环回处理是指用户登录计算机时，应用用户策略的方式组策略的环回处理模式环回替换 用户策略采用计算机策略所在的 GPOS 中的用户策略设置，而不采用用户所处的 OU 所连接的 GPOS 中的用户策略 环回合并 用户先执行自己所处的 OU 所连接的 GPOS 中的用户策略，然后采用计算机策略所在的 GPOS 中的用户策略设置。这样，计算机的 GPOS 中的用户策略优先 第12页，共43页。6.2.4 实现管理模板在三项设置项中选择一个在桌面

7、上隐藏我的网络策略说明在桌面上隐藏我的网络没有设置启用禁用或或包含着这个策略的说明应用该项设置 拒绝该项设置 忽略该项设置 (默认)在不同的 GPOS 上对同一模板属性设置不同的值，将产生冲突第13页，共43页。6.3 用组策略指派脚本组策略脚本设置脚本处理过程 指派组策略脚本 第14页，共43页。6.3.1 组策略脚本设置组策略脚本设置允许在组策略中设置开机、关机、登录、注销四种脚本 并提供脚本的集中管理 脚本计算机设置开机/关机用户设置登录/注销开机/关机计算机用户登录/注销第15页，共43页。6.3.2 脚本处理过程Windows 2000 自上向下执行多个脚本当用户开机和登录a.执行开

8、机脚本b.执行登录脚本当用户注销和关机a.执行注销脚本b.执行关机脚本第16页，共43页。6.3.3 指派组策略脚本登录属性脚本登录脚本设置AUCKLAND.contoso.msft名字参数Development.vbsInformation Services.vbs上移下移添加编辑删除显示文件确定取消应用按此键查看存储在组策略对象中的脚本文件复制脚本到当前的GPT向 GPO 添加脚本第17页，共43页。6.4 使用组策略进行用户文件夹重定向什么是文件夹重定向 选择重定向的文件夹 实现文件夹重定向 第18页，共43页。6.4.1 什么是文件夹重定向 文件夹重定向优点无论用户在哪台计算机上登录都

9、能存取数据集中存放便于管理和备份网络流量是有限的（仅在访问文件时产生）不会在使用的客户计算机上留下文件 重定向个人文件夹文档存储在服务器上，但用户感觉存储在本地我的文档我的文档第19页，共43页。6.4.2 选择重定向的文件夹文件夹内容重定向到服务器的优点我的文档 一个用户的个人数据开始菜单在开始菜单中的文件夹和快捷方式桌面桌面上的所有文件和文件夹应用程序数据用户设定由应用程序保存的数据 用户可以在任何计算机上访问该文件夹，并且便于集中管理和备份使用户的开始菜单标准化用户在登录的计算机上都有相同的桌面用户在登录的计算机上使用相同的用户指定的应用程序设定第20页，共43页。6.4.3 实现文件夹

10、重定向第21页，共43页。使用组策略确保用户环境安全应用安全策略选择安全设置点设置个人的安全策略选择要进行配置的安全设定配置安全设定导入安全策略 确认或创建安全模板将安全模板导入到组策略中分析安全设置第22页，共43页。6.5 使用组策略管理软件管理软件部署介绍Windows Installer 服务部署软件配置软件部署维护部署的软件删除部署的软件软件部署错误诊断 最佳实践第23页，共43页。6.5.1 管理软件部署介绍删除 软件删除维护软件升级和再部署部署软件安装准备准备安装软件第24页，共43页。Windows Installer 服务Windows Installer 服务这是一个客户端

11、服务，用以完成全自动软件的安装、配置过程 负责对现有程序的修改和修复 Windows Installer 安装包它包含所有Windows Installer 服务进行安 装、反安装所需要的信息提供一个 MSI 文件和其他所需要文件 提供软件的摘要信息 提供软件安装源文件的地点信息 Windows Installer 优势提供应用程序的良好弹性彻底删除 第25页，共43页。6.6 部署软件软件的部署创建软件的部署点 分配软件 发布软件 使用组策略部署软件包 设置软件安装的默认值 第26页，共43页。软件的部署任务创建并编辑组策略获得一个 Windows Installer 安装包文件将安装包文件

12、放置在一个软件部署点设置组策略第27页，共43页。6.6.1 创建软件的部署点创建软件的部署点 :创建一个共享目录在共享目录下创建相应的目录复制 Windows Installer 安装包和安装程序到相应的目录给共享目录设置只读权限以便用户访问创建软件部署点的建议在存放 .msi 包的部署点创建以应用程序命名的共享目录使用隐含共享与 DFS 配合，获得容错和负载均衡 读权限第28页，共43页。分配软件开始在用户设置中指派软件应用软件在用户下次登录后激活软件时安装在计算机设置中指派软件在计算机下一次启动后进行安装软件部署点第29页，共43页。6.6.2 发布软件?文档激活安装当用户双击未知类型的

13、文档时，开始安装添加/删除程序在控制面板的添加/删除程序控件中，选择安装该软件，该软件才安装软件部署点第30页，共43页。使用组策略部署软件包部署软件为用户或计算机创建或编辑部署软件的组策略选择要部署的软件安装包选择部署软件的方法：发行或指派或配置软件包的属性配置包属性的选择项部署软件方法部署选项安装选项第31页，共43页。多媒体演示 使用组策略部署软件包第32页，共43页。设置软件安装的默认值第33页，共43页。6.6.3 配置软件部署使用软件修改创建软件类别关联文件扩展名和应用程序第34页，共43页。使用软件修改北美GPO英语字典巴黎GPO法语字典波恩GPO德语字典服务器上的单个安装实例第

14、35页，共43页。创建软件类别Microsoft Office 2000 Premium Edition 点击这里获得 更多信息.点击添加安装程序图像 PhotoDraw Microsoft Office Access Excel PowerPoint Word 通信 Outlook举例第36页，共43页。关联文件扩展名和应用程序 创建组策略来控制文件扩展名关联 只有用户能够接受组策略的设置，才能修改文件扩展名关联的优先级销售部 GPOWord 97Filename.doc销售部Word 97Filename.doc财务部财务部 GPOWord 2000Word 2000第37页，共43页。实验 A 分配和发布软件20分钟分配和发布软件第38页，共43页。6.7 维护部署的软件升级部署的软件重新部署软件第39页，共43页。6.7.1 强制升级部署的软件6.7.2 可选升级部署的软件用户只能使用 2.0 版本的软件用户可以决定是否要升级强制升级可选升级用户运行的软件是 1.0 版本在服务器上部署了版本 2.0的新版本第40页，共43页。6.7.3 重新部署软件重新部署安装包被重新部署将软件补