AD_04_组策略(1).ppt

1、组策略的应用（一）,第四章,-管理用户桌面,上节内容回顾,介绍发布资源 发布打印机 发布共享文件夹 委派管理,本章目标,理解GPO的概念 掌握组策略管理器的使用 理解GPO的应用规则 利用组策略完成用户环境的管理,组策略的作用,方便地管理AD中的计算机和用户 账户策略的设定 本地策略的设定 脚本的设定 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 文件夹重定向 软件分发 安全设置,组策略,应用组策略的前提条件,组策略只能管理AD中的计算机和用户 只能针对整个站点、域或组织单位来设置组策略 要使用组策略，必须有相应的管理权限 组策略只适用于Windows 2000以上操作系统

2、的计算机,组策略结构,组策略的设置数据皆保存在GPO中 GPO链接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的计算机和用户,SDOU,GPO,计算机,用户,组策略,GPO与SDOU间的链接关系,域,组织单位,GPO 1,组织单位,组织单位,组织单位,组织单位,组织单位,站点,GPO 2,GPO 4,GPO 3,GPO 5,A 一个容器对一个GPO,B 多个容器对一个GPO,C 一个容器对 多个GPO,链接到GPO,查看GPC、GPT、LCP,GPC-group policy container AD计算机用户和计算机-高级-选择域-展开System

3、容器-policies，将会看到包含用GUID所标识两个默认GPO的文件夹(default domain policy and domain controller policy) GPT-group policy templates 存放于当前DC的%systemroot%SYSVOLsysvol域名称policies文件夹内，同样是以GUID所标识两个默认GPO的文件夹 (default domain policy and domain controller policy) LCP-local computer policy 本地计算机策略，存放于本地计算机的%systemroot%syst

4、em32grouppolicy文件内,1,2,3,4,5,新建GPO,6,7,8,9,组策略的添加和删除,1,2,3,4,编辑GPO,组策略的继承,域,组织单位 Product,组织单位 Employees,GPO f,应用GPO-f到域,继承,继承,John受到GPO-f的约束,域的组策略,组织单位的组策略,下层组织单位的组策略,不设置阻止 策略继承,设置阻止 策略继承,阻碍,John不受GPO-f的约束,设置阻止 策略继承,设置禁止替代,计算机配置,1,2,3,4,5,6,7,8,用户配置,1,2,3,4,5,6,7,8,管理用户桌面环境,1,2,3,利用GPO实现安全设置,管理模板,定义

5、系统中所有涉及到注册数据的设置 计算机配置 用户配置,利用组策略指定运行脚本,什么是组策略脚本设置? 组策略中处理脚本的过程 组策略脚本设置,什么是组策略脚本设置?,组策略脚本设置能够: 集中配置脚本在开机、关机、登陆、注销自动运行 通过脚本来管理和配置用户环境,组策略中处理脚本的过程,脚本设置（GPOCC/UCwindows settingshow files),文件夹重定向,2,1,3,4,5,6,组策略的应用时机,在下列情况时 GetGPOList 功能在客户机运行： 当计算机开始决定应用哪个包含计算机配置设置的 GPO 时，在客户机上运行该功能 当用户登录，决定处理哪个包含用户配置设置

6、的 GPO 时，在客户机上再次运行该功能,控制组策略的处理,同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步 在选定的时间间隔内刷新组策略 在运行 Windows2003 Sever 但没有配置成域控制器的计算机和运行Windows XP的计算机上每90120分钟刷新一次 域控制器每5分钟刷新一次 不论策略配置值是否有变化，系统仍然会每隔16小时自动启用一次 手动强制刷新组策略 gpupdate /force 未发生变更的组策略设置的处理 你可以配置每一个客户端的扩展来处理所有可用的组策略设置,解决组策略间的冲突,应用组策略的结果是那些除了发生冲突以外设置的

7、应用 组策略的配置具有累加性 如果发生冲突，默认的状态下，实施最后的设置 来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用 当站点、域、OU的GPO策略发生冲突时，则以处理顺序在后的GPO优先。处理优先顺序为：站点的GPO、域的GPO、OU的GPO 当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置 如果多个GPO链接到同一个OU，那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突，则以排在GPO列表最上面的GPO配置为优先。 “本地计算机策略”的优先权最低，也就是在其策略配置与站点、域、OU的策略配置发生冲突时，本地计算机

8、策略无效。,解决组策略冲突,最佳方案,限制使用阻止、过滤GPO限制，特别是域相互之间 的使用,限制影响计算机或用户的GPO数目,在单个GPO中与设置相关的组,在把GPO委派给管理员时限制管理员的数目为一至两个,避免把GPO连接到包含多个域的站点上,在开始添加GPO前规划好如何在网络中执行组策略模型,1,2,添加删除,3,委派管理,4,5,本章总结,组策略是一组策略的集合，应用组策略，管理员可以很方便的管理Active Directory中的计算机和用户 组策略的设置数据皆保存在GPO中，GPO链接至SDOU 管理员可以为一个SDOU新建、添加、编辑和删除GPO,总结(Cont.),子容器会继承

9、来自上层容器的GPO，可以利用阻止策略继承和禁止替代两种方式来调整默认的继承与累加关系 组策略由两部分组成:计算机配置和用户配置，能够设置各种策略，管理活动目录中的计算机和用户 可以利用GPO实现与系统相关的安全设置，如密码长度最小值、帐户锁定阈值等,本章总结,组策略是一组策略的集合，应用组策略，管理员可以很方便的管理Active Directory中的计算机和用户 组策略的设置数据皆保存在GPO中，GPO链接至SDOU 管理员可以为一个SDOU新建、添加、编辑和删除GPO 子容器会继承来自上层容器的GPO，可以利用阻止策略继承和禁止替代两种方式来调整默认的继承与累加关系 组策略由两部分组成:计算机配置和用户配置，能够设置各种策略，管理活动目录中的计算机和用户 可以利用GPO实现与系统相关的安全设置，如密码长度最小值、帐户锁定阈值等,实验目标,利用组策略实现域的管理 建立、添加和删除GPO 设置计算机配置 设置