WinS网络基础及管理 3

项目六管理组策略161组策略的创建与配置2组策略在组织单位的应用目录CONTENTS1621组策略首选项的管理34组策略的备份与还原某小型企业拥有200名员工，其内部设备类型繁多，包括计算机、笔记本计算机以及手机等多种联网设备。鉴于设备类型的多样性，对该企业各类设备的网络资源权限进行管理与维护，以及统一安装打印机等工作均面临较大的挑战。如图所示为该企业简化网络拓扑结构图。其中，DC1作为主域控制器，承担主要的网络管理职责；而DC2作为额外的域控制器，协助主域控制器共同维护网络环境的稳定。163164企业简化网络拓扑结构图为了测试组策略控制效果，选择在客户端SALES-PC1上进行相关策略应用的验证。在实验环境中，所有设备均通过VMwareWorkstation虚拟机实现连接，以确保网络环境的稳定与高效。本项目将学习组策略对象的创建、编辑、链接和管理，利用组策略来实施组织内部的IT管理策略。项目还将涉及组策略首选项的管理技巧，以及组策略备份和恢复的方法，确保在系统故障或数据丢失的情况下，能够迅速恢复组策略设置，保障业务的连续性和稳定性。165任务1组策略的创建与配置166●能叙述组策略的作用。●能创建组策略并应用到相应的用户组。●能在客户端上进行组策略效果测试检查。167在本任务中，将学习组策略对象（grouppolicyobject，GPO）的创建和管理方法，以便有效地管理和控制网络环境中的用户设置和计算机配置。通过实践本任务，将能熟练地运用组策略，从而提升网络管理的效率和安全性。168一、组策略概述组策略是Windows操作系统中一种用于管理计算机和用户配置的基础设施，允许管理员定义一组规则和配置，并将这些规则和配置统一应用到域内的用户账户和计算机账户上；通过组策略，管理员可以为整个域内的对象设置一致的配置和限制。GPO是实施组策略设置的基本单位，管理员可以根据需求创建多个GPO，并将其链接应用到特定的域、组织单位（OU）或其他容器对象上。169二、域组策略和本地组策略域组策略（domaingrouppolicy）和本地组策略（localgrouppolicy）是在Windows操作系统中用于管理计算机和用户配置的两种不同类型的策略，以下是其主要区别。1. 范围和应用对象域组策略和本地组策略在Windows环境中，具有不同的应用范围和对象。域组策略适用于整个Windows域，应用于域内的所有计算机和用户，以及特定的组织单位，以便集中管理和配置域内的设置。相对而言，本地组策略仅适用于单个计算机，主要用于配置该计算机上的用户和计算机设置。1702. 管理和集中化域组策略和本地组策略在管理和配置上存在显著差异。域组策略由域管理员集中管理，通常通过组策略管理工具进行配置，允许在整个域内通过ActiveDirectory进行集中化管理。相对而言，本地组策略由本地管理员在每台计算机上独立管理，使用本地组策略编辑器工具，配置是分散在每台计算机上的，不同的计算机会有不同的设置。1713. 策略对象的优先级域组策略的优先级较高，具有较高优先级的域组策略会覆盖较低优先级的域组策略，但可以通过阻止继承或强制应用策略来调整优先级。相比之下，本地组策略的优先级较低，通常会被适用的域组策略覆盖。1724. 安全性和一致性域组策略提供更集中的安全性和一致性，确保域内所有计算机和用户遵循相同的安全标准，适用于大型网络环境，强调集中配置和管理。相对而言，本地组策略的安全性较低，因为每台计算机的配置可以单独设置，难以保持一致性，适用于小型网络或个人计算机，允许较少的集中控制并提供灵活的本地配置。173任务2组策略在组织单位的应用174●能在活动目录中创建组织单位，并将用户和组添加到组织单位。●能创建和应用组策略规则。●能通过组策略限制用户访问本地磁盘。175本任务为域对象（用户、组和计算机等）创建组织单位（OU），并为所创建的OU设置相应的组策略，以此来达成统一、高效的管理目标，确保对域对象的管理更加有序便捷。176177一、活动目录域组织单位在ActiveDirectory中，组织单位（OU）作为一个容器用于组织和管理用户、计算机及其他对象，其提供了多种管理优势。首先，OU可以根据业务需求对用户、计算机进行分组，如按部门或职位创建OU；其次，可以将组策略链接到OU，以便针对特定OU应用不同的组策略设置，如为销售人员创建OU并配置其桌面设置；最后，可以授予用户和组对OU的特定权限，从而控制其对OU中对象的操作能力，如授予用户对“Sales”OU的读取权限，以查看其中的用户信息。二、管理组策略优先级ActiveDirectory按相同的逻辑顺序应用GPO，本地策略、站点策略、域策略和OU策略。组策略可以配置和应用在任何一个环节中，但GPO的顺序会影响应用于计算机和用户的设置。处理GPO的顺序称为LSDOU，它代表本地（local）、站点（site）、域（domain）和组织单位（organizationalunit）。首先要处理的是本地计算机策略，然后是站点级别，再到域AD策略，最后是组织单位。如果LSDOU中存在冲突的策略，则最后应用的策略优先级最高。178任务3组策略首选项的管理179●能区分组策略首选项和组策略。●能配置和管理组策略首选项。●能利用组策略首选项为用户设置快捷访问共享文件的盘符链接。180在本任务中，将学习利用组策略首选项进行配置与管理的方法，通过其强大的功能特性，为用户增添一系列可选的个性化设置选项，以满足不同用户的个性化需求。181182一、组策略首选项概述组策略首选项是组策略的一种类型，允许控制计算机或用户的桌面、程序启动项和默认文件夹位置等设置。组策略首选项可以应用于计算机或用户，与传统的组策略相比，组策略首选项提供了更灵活、直观和精细的配置选项。二、组策略首选项的类型组策略首选项设置有多种类型，如文件和文件夹、注册表、驱动器映射、网络共享等，组策略首选项的类型见下表。183组策略首选项的类型三、组策略首选项的管理在管理组策略首选项时，可以使用组策略管理控制台（GPMC）进行。在GPMC中，可以创建、编辑和删除组策略首选项的设置。184任务4组策略的备份与还原185●能描述组策略唯一ID的作用。●能配置和管理域组策略的备份。●能配置和管理域组策略的还原。186本任务将学习在活动目录环境下对域组策略进行备份与还原。187188一、组策略唯一ID组策略对象在创建时会被分配一个全局唯一的标识符（GloballyUniqueIdentifier，GUID），GUID是一种由算法生成的二进制长度为128位的数字标识符，用于唯一标识一个特定的组策略对象，确保在整个域中都是唯一的。在组策略对象的路径中，GUID被用作文件夹名称的一部分，以确保每个组策略对象都有其独特的标识符。二、组策略备份文件的存储位置在WindowsServer2022的活动目录域环境中，组策略对象（GPO）默认存储在“%SystemRoot%\SYSVOL\sysvol\domain\Policies”

目录下，其中“%SystemRoot%”

通常为“C：\Windows”，因此完整路径为“C：\Windows\SYSVOL\sysvol\domain\Policies”。每个组策略对象在此目录下有一个以GUID命