创建和配置组策略

1、Module 5: 创建和配置组策略,概览,组策略概述 配置组策略对象范围 评估组策略对象的应用 管理组策略对象 组策略的委派控制管理,内容 1: 组策略概述,何为组策略? 组策略设置 组策略如何被应用 组策略处理例外 组策略组件 什么是ADM 和ADMX 文件? 什么是中央存储（Central Store）? 演示: 配置组策略对象,何为组策略?,组策略可以:,实现标准化配置,部署软件,增强安全设定,增强桌面环境的连续性,组策略使 IT 管理员能自动化的实现一对多恶管理用户和计算机对象,本地组策略对本地用户和域用户以及本地计算机设置生效,组策略的设置,软件 Windows 安全 操作系统,组

2、策略 关于计算机的设置:,软件 Windows 安全 桌面,组策略 关于用户的设置:,组策略如何被应用,计算机启动,计算机设置被应用 启动脚本运行,Refresh Interval,用户登录,用户设置被应用 登陆脚本运行,Refresh Interval,Every 90 minutes,Every 90 minutes,组策略处理过程例外,其他的例外:,Windows XP 和 Windows Vista能缓存凭据，加快登陆 Many GPO settings take two logons to take effect,缓存的凭据,默认500 kbps 一些client side exte

3、nsions 不被处理 Vista以前, 用ICMP检测慢速连接 Windows Vista 用Network Location Awareness,慢速连接,远程访问连接 移动用户或者计算机对象,组策略组件,组策略对象,存储在AD中 提供版本信息,组策略容器,存储在共享的shared SYSVOL folder 提供组策略设置 支持 ADM和ADMX模板,组策略模板,包含组策略的设置 存储内容在两个位置,什么是 ADM and ADMX Files?,ADM 文件是:,复制到每个SYSVOL文件夹的GPO中 定制化困难,ADMX 文件是:,Language neutral Not store

4、d in the GPO Extensible through XML,什么是Central Store?,中央存储:,是一个ADMX和ADML文件的中央存放库 存储在SYSVOL中 必须手工创建 能被Vista和2008自动检测,Windows Vista or Windows Server 2008 workstation,ADMX files,Domain controller with SYSVOL,Domain controller with SYSVOL,演示: 配置组策略对象,在演示中,你能看到如何: 创建GPO 配置设置,内容二 2: 配置组策略对象的作用范围,组策略处理顺序

5、什么是多个本地组策略对象? 修改组策略处理选项 演示: 配置组策略对象链接 演示: 配置组策略继承 演示: 组策略对象的安全组过滤 演示: 通过WMI 过滤器 过滤组策略 还回处理如何工作? 讨论:配置组策略处理范围,组策略处理顺序,OU,OU,OU,GPO2,GPO5,GPO1,本地组,什么是多个本地组策略对象?,应用到所有用户的一层 计算机配置,只能应用到单个用户,不能应用到组,有三层用户配置: 管理员 非管理员 特定的用户,修改组策略处理选项,修改组策略默认处理的5种方式:,阻止继承,强制,安全组或者WMI过滤,禁用GPOs,回环处理,演示: 配置组策略对象链接,在演示中,你能看到如何:

6、 创建和链接GPOs 禁用GPO link,演示: 配置组策略继承,在演示中,你能看到如何: 阻断GPO继承 设置强制GPO,演示: 组策略对象的安全组过滤,在演示中,你能看到如何用安全组过滤组策略,演示: 通过WMI 过滤器 过滤组策略,在演示中,你能看到如何创建和指派一个WMI过滤器,还回处理如何工作?,讨论:配置组策略处理范围,Woodgrove Bank Domain Tree,Woodgrove Bank,Head Office,Branches,Servers,Toronto,Winnipeg,SQL Server,Exchange Server,Toronto site,Winn

7、ipeg,Head Office,Head Office site,High-speed link,Slow link,什么是组策略报告?,GPMC提供组策略结果,GPResult 是一个命令行工具,组策略报告是一种规划和排错组策略的方法,什么是组策略建模?,组策略建模向导模拟:,站点成员 安全组成员 WMI 过滤器 慢速链接 环回处理 移动用户或计算机的影响,组策略建模向导计算GPO模拟的网络效果 (calculates the simulated net effect of GPOs),演示: 如何评估组策略对象的应用,在演示中,你能看到如何运行工具来浏览组策略应用,内容 4: 管理组策略

8、对象,GPO 管理任务 什么是Starter GPO? 演示: 如何复制一个 GPO 演示: 备份和恢复GPO 演示: 导入GPO 迁移组策略对象,GPO 管理任务,GPO management tasks:,备份GPOs 恢复 GPOs 复制GPOs 导入GPOs,什么是Starter GPO?,存储管理模板设置,作为新建GPO的初始设置值 能被导出成 .cab 文件 能被导入到企业的其他的区域,Exported to cab file,starterGPO,.cab file,Imported to GPMC,Load cabinet file,演示: How to Copy a GPO,在演示中,你能看到如何复制GPO.,演示: 备份和恢复GPO,在演示中,你能看到如何备份和恢复GPO,演示: 导入GPO,在演示中,你能看到如何: 导入GPO 使用迁移表,迁移组策略对象,ADMX 迁移工具:,内容 5: 组策略的委派控制管理,委派管理控制选项 演示: 如何委派管理控制,委派管理控制选项,演示: 如何委派管理控制,在演示中,你能看到如何委派创建,编辑,链接和用报