组策略基础篇

组策略（基础篇）学习目标懂得组策略如何简化管理windows2003网络；了解在windows2003网络中组策略的结构；了解组策略各项的功能；掌握组策略对象的创建；掌握组策略对象的生效规则。内容介绍组策略概念组策略的内容结构在活动目录中设置组策略组策略的生效规则重、难点分析重点：组策略的功能组策略的结构组策略对象的创建组策略的生效难点：组策略对象的存储结构组策略对象的创建组策略的生效组策略(GroupPolicy)是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境,也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理负担.任务一组策略概述使用组策略可以做到：站点/域级别的集中管理，OU级别分散的管理控制用户的系统软件环境通过控制用户和计算机环境，降低管理成本任务一组策略介绍2003就能连接使用这些设置管理员使用组策略配置设置后站点域OU组策略用户计算机组策略的功能展示帐户策略的设定:例如设定用户密码的长度、密码使用期限、帐户锁定策略等。本地策略的设置：例如审核策略的设置、用户权限的指派、安全性的设置。脚本（scripts）的设置：例如登录/注销、启动/关机脚本的设置。用户工作环境的设置：例如隐藏用户桌面上所有图标，删除“开始”菜单中的“运行”/“搜索”/“关机”等功能，添加“注销”功能等。软件的安装与删除:用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。限制软件的运行:通过各种不同软件限制的规则，来限制域用户只能运行某些软件。文件夹重定向:例如改变“我的文档”、“开始菜单”等文件夹的存储位置。其他系统设置用户组策略设置:用户登录时，系统根据此内容来配置用户的工作环境。桌面环境设置软件设置Windows设置安全设置计算机策略设置:启动计算机时，系统就会根据此内容来配置计算机的环境。桌面环境设置软件设置Windows设置安全设置组策略的组成组策略的配置选项计算机配置：当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。用户配置：当用户登录时，系统就会根据“用户配置”来配置用户的工作环境。注：除了可以针对站点、域、OU来设定组策略之外，还可以针对每一台计算机配置“本地计算机策略”，这个策略只会应用到本地计算机以及在此计算机登录的所有用户。组策略基本规则组策略只能够管理计算机与用户，不可以管理打印机、共享文件夹等其它对象。组策略不能应用到组，只可以应用到站点、域控制器或者组织单位（Site、Domain、OU）等容器上。组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应该使用本地安全策略来管理。组策略是通过“组策略对象（GroupPolicyObject,GPO）”来设定的，只要将GPO链接到指定的站点、域或OU等容器上，该GPO内的设定值就会影响到该站点、域或OU内的所有用户和计算机。内建的GPO：系统已经有两个内建的GPO，分别是：DefaultDomainPloicy

此GPO已经被链接到域，因此它的设定值会被应用到整个域内的所有用户和计算机。DefaultDomainControllerPloicy

此GPO已经被链接到DomainControllerOU，因此它的设定值会被应用到域控制器组织单位内的所有用户和计算机，即默认只有域控制器。任务二组策略对象（GroupPolicyObject）GPO包含组策略设置内容存储在两个场所存储在活动目录数据库内记载此GPO的属性与版本等数据查看GPC：AD用户和计算机--查看--高级--选择域--展开System容器--Policies位于DC%systemroot%\SYSVOL\Sysvol\域名称\Policies文件夹内,以GUID为文件夹名存储GPO的配置值与相关文件的文件夹组策略容器GPC组策略模板GPT组策略所有配置信息GPO内容被分为GPC和GPT两部分：GPO的内容创建连接的组策略对象创建连接的GPO连接的GPO的名字

默认：连接到域/OU—域/企业管理员组连接到站点—企业管理员组GroupPolicyCreatorOwners组可创建和修改GPO，但不能建立连接。新建的GPO没有任何设置创建连接的组策略对象当修改了站点、域或OU的GPO配置值后，并不是立刻就有效，而是必须等它们被应用到用户或计算机后才有效。计算机配置的启用时间计算机开机时自动启用即使不重新开机，系统仍然会每隔一段时间自动启用：域控制器默认每隔5分钟自动启用非域控制器默认每隔90~120分钟自动启用不论策略配置值是否有变动，系统仍然会每隔16小时自动启用一次手动启用：gpupdate/darget:computer/force可从事件查看器内查看“SceCli”事件来检查是否已经启用成功。任务三组策略的生效应用用户配置的启用时间用户登录时自动启用。即使用户不注销、登录，系统默认每隔90~120分钟自动启用。而且会每隔16小时自动启用一次。手动启用：gpupdate/darget:user/force组策略实例在继续组策略高级功能之前，为了加深印象，下面关于计算机和用户的两个实例：实例1：计算机配置由于系统默认只有某些组内（administrators）的用户才有权限在扮演域控制器的计算机上登陆，因此一般用户登陆时会提示“此系统的本地策略不允许您交互登陆”让所有的域用户都能登陆，修改“DefaultDomainControllerPloicy”中的“允许本地登陆”的权限。组策略实例实例2：用户配置利用“用户配置”让某OU容器内的用户登陆后在“开始”菜单内没有“运行”选项。选择此OU—属性—组策略—新建—用户配置—管理模板—任务栏和[开始]菜单—从[开始]菜单中删除‘运行’菜单总结组策略的介绍组策略的结构组策略对象的内容组策略的生效时间9、春去春又回，新桃换旧符。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，日子像桃子一样甜蜜。3月-253月-25Tuesday,March18,202510、人的志向通常和他们的能力成正比例。00:43:0100:43:0100:433/18/202512:43:01AM11、夫学须志也，才须学也，非学无以广才，非志无以成学。3月-2500:43:0100:43Mar-2518-Mar-2512、越是无能的人，越喜欢挑剔别人的错儿。00:43:0100:43:0100:43Tuesday,March18,202513、志不立，天下无可成之事。3月-253月-2500:43:0100:43:01March18,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。18三月202512:43:01上午00:43:013月-2515、会当凌绝顶，一览众山小。三月2512:43上午3月-250