使用GP控制用户和计算机

使用GP控制用户和计算机

•使用GroimPolicy控制用户和计算机；

•Windows2(MM的网络管理主要是以来

GroupPolicv［组策略］来进行；

•GroiwPolicy是在活动目录(AD)上的最

大应用；

•组策略是检验一个网络管理员管理水平

的一个很重要的方面；

内容提要

・微软的管理结构

•什么是组策略

•GroiinPolicy的建立和酉己置

•GHHIHPolicy的作用范围和顺序

微软的管理结构

•第三方管理方案

增值软件

•微软的$M$

•安全管理安全HJ

核心

•存储管理文件系统

Windows工具

•改变和配置记录变化

•负责操作系统与硬件通信

改变和配置管理

•主要是响应客户雳求

1・为了保护用户数据，在网络上存储

2允许用户在线或者离线工作

3.如果用户移动用户的数据，设置，应用

程序进行跟随

4■通过策略批量进行配置

品自修复桌面

6■可以灵活添加，替代桌面

改变和配置管理

解决方案

IntelliMirrorRomoteOSInstallation

解决方案

用

用

用

户

户

户

的

的

的

数

应

设

据

用

置

程跟随用户

序

改变和配置管理

I解决方案I

RomoteOSInstallation

无人职守的情况下进行远程操作系统

的安装以提供对组策略的支持.

改变和配置管理

•不管是imelliMiiTor还是RomoteOS

Installation都有一个共同点:组策略［Groiiu

Policy)

组策略MSP1

•组策略定义

•组策略对象IGP。］

・GPO^GPOLink

・组策略功能

组策略定义

•组策略是一种一旦定义了用户的工作环

境，就可以让系统来连续执行定义好的

组策略的技术手段。

组策略定义

用户需求

•需求视用户的情况而定

•管理员实现用户需求

组策略定义

依赖于Wiiiilows2000

•组策略需要Wimlows2000系统支持

组策略定义

不断执行的技术

•保证了用户的设置不被非法的更改

•GroimPolicy会带来网络流量

组策略应用举例

组策略应用举例

LOGONOFF

审核所有的失败登陆

实现组策略的前提条件

•ActiveDirectory

(GroupPolicy是AD的最大的应用】

•Windows2000

只有Winilows20(m支持GP

组策略对象

•存储组策略配置信息

GPO：GroupPolicyObject

组策略配置信息

组策略对象

•GPO是活动目录对象

GPO：GroupPolicvObject

活动目录对象

组策略对象

GPO：GroupPolicvObject

•是标准的活动目录对象

•可以设置访问许可

组策略对象

•组策略对象存在域中

组策略对象

Domain

*“

,

组策略对象

•组策略对象可以避袭到任何SDOU上

组策略对象

n

SiteDomainOrganizationUnit

站点・域组织单元

GPO^GPOLink

G009届性?|2<1

•创建GPO常规|管理者|对象|安全

G009的当前组策略对象链路

组策略对象链接禁止替代巳被.

列表中较高位置的殂策略对象具有较高优先级。

由paul.xpa.com获得这一列表

添加®1，一一)向上出।

箴叔「"T删除里属性g向下「打।

r阻止策略继承⑤)

I确定|取消

GPO^GPOLink

G009届性

•创建GPO9常规|管理者|对象|安全姐策略|

爨G009的当前组策略对象链路

新建组策略对象

列表中较高位置的组策略对象具有较高优先级。

由paulxpacom获得这一列表

新建国）I添加⑪一I漏辑由I向上⑪I

选项®）删除9I属住©I向下1I]

r阻止策略继承也）

关闭|取捐I应用⑥

GPO^GPOLinkGroupPolicyLink

•创建GPO

GPO^GPOLink

G009屋性?|2<1

常规|管理者|对象|安全

----.

「组策略对象链路

UJCJ

要对"桌面控制"进行何种操作?工>止替代：巳被.

<?渺物表中移除链接®:

C移除链接并将组策略对象永久删除@)

*1、，二：一，：•1、.，•Y个，•'；

确定|取消|

利衣114：分询4事三时瓯趣对象具有较高优先级。

由paul.xpa.com获得这一列表

新建®添编辑⑥向上®II

选项。..删除①.屈性史)向下避I

r阻止策略继承⑤)

关闭|期捐I应用.国)

GPO^GPOLink

G009屋住_?12d

・新建了一个GP。常规|管理者|对象|安全组策略|

G009的当前组策略对象链路

•新建了一个

GPOLink

列表中较高位置的殂策略对象具有较高优先级。

由paul.xpa.com获得这一列表

Ji建国匚)添加①).♦-匡)|向上必।|

属性由I向下怔|]

r阻止策略继承⑤)

砥取消应用出

GPO^GPOLink

・添力口GP。link

GPO^GPOLink

•添力口GPOUnk

GPO^GPOLink

G009屋住?|2<1

・添力口GP。link常规|管理者|对象|安全组策略|

客G009的当前组策略对象链路

组策略对象链接I禁止替代巳被一.J

学臬面控制

列表中较高位置的殂策略对象具有较高优先级。

由paul.xpa.com获得这一列表

添加⑥）」编辑⑥向上必।|

向下地］

删除矍）.屈性史）

可以添加一个GPOLinkr阻止策略继承⑤）

GPO^GPOLink

象链接到$DQU上

组策略的生效条件

・之一:必须把GP。咽到$DOU上

Site

Domain

OU

组策略的生效位置

•组策略在GPO上生效

•要实现组策略，必须要创建GPO,即组策略

要放在GPO上

组策略功能

•1.AdministrativeTemplates［管理摸板］

基于注册表的应用设置

和桌面环境设置

组策略功能

•^Security【安全】

本地，域，网络的安全选项

组策略功能

•3.SoftwarehistallatioiH软件安装】

集中的软件安装，升级，卸载

组策略功能

•1Scripts［脚本］

为计算机和用户创建开机,关机,

登陆，离线脚本

组策略功能

•5.FolderRedirectioiH文件夹重定向1

负责在网络上存储用户文件

组策略功能

5种功能也耳

的数据类型

AdministrativeTemplates

•管理模板.是用来管理用户环境的基于注

册表的策略设置

•修改注册表中下列注册子目录的设置:

HKEY_LOCAL_MACHINE［计算机设置】

HKEY_CURRENT_USER〔用户设置】

AdministrativeTemplates

AdministrativeTemplates

犷蛆策略

•计算机配置操作闻查看M：1♦|您的卜囱鼠［图

树|名称

热计算机配置

I"策略

嬷用尸配置

S计算机配置

一J软件设置

由

!

•用户配置由1Windows设置

1管理根根

三L/用户配置

田！」软件设置

田LJWindows设置

国LJ管理模板

11

计算机配置

・计算机启动过程中实现的配置

用户配置

AdministrativeTemplates

遇ar背景隹项卡雇性

策略|说明|

斗隐藏“背景”］使用系统默认值，不修HI主册表

白果配置©；■“—

「戢京启用，在注册表中添加一个键，值为1

r2-禁用，修改注册表中键值归。

上一策略（已।下一策略国）।

।确定।取消।

管理模板设置的类型

•WindowsComponents

•System

•Network

・Printers［计算机配置】

•筑artMemi&Taskbar［用户酉己置】

•Deskum［用户配置】

•Control［用户配置）

桌面设置

•Hidealliconondesktop

•Donisavesettingasexit

“userc.\ad.T.\DesktopH

•HideThesespecifieddriversinMycomputer

“userc.\ad.t.\windowscomponents\

windowsexplorer^

•DisablechangestoTaskbarandStartMenu

setting

4userc.\ad.t.\StartMenu&Taskbar”

G组策略,1□1x

镰作闻查看出㈡•|回画|辞匾|留

]_1逋用打开文件对话框

卜F~lWindows设置

国启用传统外壳

-管理模板未被配；

如从“工具噪单册赊改件夹选项装单

+1_JWindows组件未被配：

田LJ系统I削从Windows资源管理器中删除笈件曝单未被配i

SiU网络并删除映射网络驱动器前惭开网络驱动器”未被配：

口打印机争从Windows资源管理器上删除寻找按钮未被配：

g用户配置争禁用Windows资源管理器的默认上下文菜单未被配：

卜口软件设置书隐藏Windows资源管理器上下文菜单上的喧理'项目未被配：

B口Windows设置®只允许许可的扩展外壳程序未被0未

|国漫游时不追踪外壳程序快捷方式

3U管理模板未被配：

臼_JWindows组件班教隐藏院的电脑”中的这些指定的驱动器未被配■

[+口NetMeeting

隔防止从段的电脑”访问驱动器未被配；

；+「

I.InternetExplorer承隐藏艘件他项卡

*':讨Windows益源管理奔]未被配f

前禁用更改菜单动画设置的UI未被配：

田口MicrosoftManagemen

争禁用更改键盘浏览指示器设置的UI未被配：

□任务计划程序_

事禁用DF5选项卡

未被配1

IWindows安装服务

®''网上邻居"中没有院附近的讨篁机”

_J任务栏和「开始」菜单未被配

未被配一

日口莫面网上邻居"中不含*整个网络"

二］活动桌面鼬遍近的文档乐最大数目未被配：

国不要申话其它凭据

IActiveDirectory.1未被配;二!

I上I.1_J2J

例:

•要把用户开始菜单中“运行”菜单禁用

从［开始J菜单中制除''运行'整单届性

•如果要恢复原来

设置，该怎么设2

从「开始」菜单中■除‘运行噤单星性

策略।说明।

第从「开始」菜单中删除“运行”菜单

r未配置位)

「巨田fE)

6禁用无£

上一策略(£)|下一策略量)|

福品取消|应用&)

网络访问设置

•HideMvNetworkPlaceiconondesktop

"userconfiguration\administrative

templates\desktopM

•ToolsMenu：DisableInternetOptions...

menuoption

"userconfiguration\administrative

templates\windowscomponents\

InternetExplorer\BrowserMenus

用户访问工具和应用程序设置

•RemoveRunmenufromStartmenu

“userc"・\ad・t.\StartMenu&Taskbar^

•DisableTaskManager

“userc.\ad.T.\system\

Logon/logoff”

AdministrativeTemplates

•把GPO删除或者把GPOUnk删除掉都可以

把设置恢复原来样子，达到Disable效果

•这表明组策略不会永远作用于注册表，只

要作了禁用，删除GPO或者删除GPOLink就

可以恢复注册表

•当然删除GPO或者GPOUnk是不明智的

AdministrativeTemplates

可以利用“说w

得到帮助

AdministrativeTemplates

・管理模板,对应有一个模板文件，扩展名为

*.adm

AdministrativeTemplates

?|AdministrativeTemplates

u操作@查和|］色■»I国.画I鼠I曾

策略

缀”星面控制［y策略i_JWindows纲件

-朗计算机配置-1系统可以导入自定义的模

田口软件设置口网络

田口Windows设置口打印机

田口港控模树板文件，利用GP生效

E感用户睨兽

添加/II除模板21凶

国U软件设置

当前策略模板位）

由日管理科

大小已修改

所有任务（©25KB2000-1-114:00

帮助®121KB2000-1-114:00

426KB2000-1-114:00

添加值）...删除®关闭⑪

SCHUH脚本设置】

•利用组策略脚本设置，可以把脚本设置在

指定时间里自动运行

Script

Script

启动尾性

脚本

启动脚本的桌面控制[paul.xpacom])

要查看保存在此期策略对象中的脚本:

浏览也)...

匚薰熬五均;二二il

确定

Script

•脚本和脚本之间的缺省延时是10分钟

可以修改

弟历步运行登录脚本

“桌面控制[]”策略金

.国邮步运行启动脚本

E国计篁机配置

越显、启动脚本的运行状态

3U软件设置

津显累关机脚本的运行状态

EiLjWindows设置

脚本（启动/关闭）盟策略脚本的最长等待时间

安全设置留删除^存的漫游配置文件副本

日US管理模极留不要检测慢速网络连接

国.__jWindows组件题用户配置文件的慢速网络连接超时

日口系统明（等候远程用尸配置文件

瞽录越检测到慢速链接时提示用户

U磁盘配题部对话框超时

_JDNS客户端:鼬漫游配置文件出错时，注销用尸

口组策略国卸载和更新用户配置文件的最大重试次数

_JWindows文件保引

■+■I网络

11

SecuHty［安全策略设置】

•计算机的安全设置

•用户的安全设置

计算机的安全设置

G蛆策略

操作⑷查看⑨g-回的I同|图

名称

:资帐尸策略

“桌面控制[]"策略爰

宙本地策略

日鼐计菖机配置甘

SU软件设置弟事件日志哥

白LJWindows设置酒受限制的殂

酎脚本（启动/关闭）国系统服务男

B®安全设置3注册表过

帐户策略X文件系统0

®I本地策略口公钥策咯

田田事件日志曼IP安全策略，SActiveDirec...Ir

U受限制的组

通系统服务

第注册表

文件系统

出U公钥策略

戛IP安全策咯，在

aLJ管理模板

已愿用尸配置

112J

用户的安全设置

导入安全模板

SoRwareInstallation【软件安装］

•为用户和计算机分配应用程序

•自修复，自动升级

SoftwareInstallation

FolderRedirection

•把客户端的应用程序数据，我的文档,桌面,

开始菜单保存到网络上

1

FolderRedirection

FolderRedirection

•\\server\share\%username%

FolderRedirection

FolderRedirection

•文件夹重定向只是重定向用户自己创建

的数据文档，而不会把系统数据重定向到

网络服务器上，所以不会造成服务器硬盘

容量需求过大

对组策略应用的控制

组策略的生效时间

1应.用计算机策略

计算机开机一

2运.行开机脚本

用户登陆一1应用用户策略

2运行登陆脚本

用户策略的来源

默认情况下用户可以从SigDomahi上继承策略

某时间点,客户端计算机只能属于一个站点,一个域

0U是可以嵌套的，某时间点，客户可以同时继承多个

0U的策略

用户策略的来源

斗©

//Dfomain\\,

缺省下，这三个地方的策略都是被用户继承的

策略继承原则

•在策略继承发生冲突时，则：

近处的设置覆盖远处的设置

・策略冲突是指同时继承来的两个策略是

两个相反的设置，这时需要用策略继承原

则来解决

策略冲突

|NotConfiguri不是冲突

Enable

冲突

•任何在$D0U上的组策略会影响相应［内部】

的用户和计算机

更改组策略默认设置

BlockInheritG009届性

常规।管理者।对象।安全组策略।

G009的当前组策咯对象链路

组策略对象燧接匚禁止替代巳被.―」

后围桌面控制

不继承父对象上的任何一个GPO的策略

列表中较高位置的俎策略对象具有较高优先级。

由paul.xpacom获得这一列表

新建®|添加①）|编辑⑥|向上MI

选项）|册除矍）|属性但）

®।向下ill

r阻止策略继承逅）BlockInherit

关闭|即稍I应用®

Override

•当选中MoOveiTiile】阻止子容器覆盖父容

器所做的设置以后,子容器和父容器的设

置发生冲突时，子容器的设置无效

•是网络管理员对网络统一管理的手段

Override

•这种强制继承是针对某一个卷定短组段

能沟像而言的.即这种强制不会扩散到另

外的组策略对象上

继承的生效级别

・当父容器和子容器上都设了NoQvemiie,

则高的NoOvenlde覆盖低的NoOverride

设置

继承的生效级别

•NoOverride会覆盖BlockInherriance的设

置

•BlockInherriance今实现灵活性

•NoOverride分统一的管理

GPOUnk的生效

一个$DOU上可以连接多个GPO,这个时候,

他们之间有优先级

man星性

常视|管理者|对象|安全蛆策略|

man的当前姐策略对象涯路

俎策略对象嘘_禁止替代:已被禁用

与新建组策略对象

《DesktopControl

^PstartMenu

GroupPolicy:shigherinthelisthavethehightestprioritj

列表中较高位置的组策略对象具有较高优先皴。

田paul.xpacom泯得图一夕麻

新建®添加①）..编辑⑥向上0!）

选项…删除复）..属性化）向下®

r阻止策略继承区）

关闭取猾应用曲

GPOUnk的生效

・一个SHOD上连接多个GPO的时候，执行顺

序是：

自下而上，因为高级的会覆盖低级

的，所以高级的应该放在上面

许可的设置

•作为标准活动目录对象的GPO,是可以进

行许可的设置的

许可的设置

DesktopControl屋性2JE1

屋性常规|链接|安全|

常规|笞理者|对象|安全蛆策略］

DesktopControl[paulxpacom]

逐man的当前组策略对象链路鳏［

创建2002-11-720:06:28

俎策略对象链接—

修改：

与新建组策略对象2002-11-720:06:28

y........................

R^DesktopControl修订：0（计篁机），0佣尸）

^PstartMenu域XDa.com

唯一的名称:{6FF5EB61-72EE-4F60-B9DF-31104EB2D601}

bJ「禁用

列表中较高位置的组策略对象具有较高优先要提百

由p&ul.xpacom获得这一列表

新建®添加普）」编辑田

选项地）,删除复）.VHi性:

r阻止策略继承⑤）

关闭|

藤一取消

DesktopControl屋性2J凶

常规|捱

名称添加也）.|

AuthenticatedUsers

删除®

值CREATOROWNER

DomainAdmins(XPA\DomainAdmins)

EnterpriseAdmins(XPA\EnterpriseAdiri.

感SYSTEM

权限电）允许拒绝

□□

完全控制0□

读取n