win2003活动目录AD域服务器-04扩展组策略.ppt

1、第四章 组策略,Windows 2003AD管理,学习目标,在完成本章的学习后，您将能够： 共同组策略集中管理网络,课程安排,组策略结构 组策略创建管理 利用组策略管理用户桌面 利用组策略发布软件,介绍组策略,通过使用组策略，可以: 可以进行集中化或分散式策略 确保用户有适合完成他们工作的环境 降低控制用户和计算机环境的总费用 推行公司策略,组策略结构,组策略设置的类型 组策略的目标 针对计算机和用户的组策略设置 组策略目标和活动目录容器,组策略设置的类型,组策略对象,组策略对象 包含组策略的设置 组件被存储在两个不同的场所 组策略容器 被定位在活动目录中 提供域控制器所需的版本信息 组策略模

2、版 域控制器上到GPT的的路径是：systemrootSYSVOLsysvol 运行Windows 2000的客户机获得或应用的组策略设置,计算机和用户的组策略设置,计算机的组策略设置: 计算机的组策略设置指定操作系统行为，桌面行为，安全性设置，计算机的启动和关机命令，计算机赋予的应用程序选项以及应用程序设置 计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中 用户的组策略设置: 用户的组策略设置指定特定的操作系统行为，桌面行为，安全性设置，赋予的和公布的应用程序选项，应用程序设置，文件夹得重定向选项以及用户登录和退出登录命令 用户相关的组策略应用在用户登录计算机和周期性更新循环的过

3、程中,组策略对象和活动目录容器,在将GPO和站点，域或组织单元链接后。GPO的设置将应用在站点，域或组织单元的用户和计算机上 可以将 GPO 和多个站点，域以及组织单元链接 也可以将多个 GPOs和单个站点，域以及组织单元链接 管理员不能将 GPOs 和默认的活动目录容器计算机，用户和builtin相连,处理组策略对象,创建已连接的组策略目标 创建未连接的组策略目标 连接一已存在的组策略目标 指定管理组策略目标的域控制器,创建已连接的组策略目标,为了把组策略应用到容器上, 首先要创建连接到容器的GPO: 使用“ Active Directory Users and Computers”创建连接

4、到域和OU的GPO 使用“ Active Directory Sites and Services”创建连接到站点的GPO,创建未连接的组策略目标,连接一已存在的组策略目标,指定管理组策略目标的域控制器,当创建一新的GPO或编辑一已存在的GPO时，默认的，具有PDC操作主控的域控制器将执行该操作 制定管理 GPO 的域控制器的可选项包括: 操作主控遵循PDC竞争原则 使用活动目录插件的形式 使用任何可能得域控制器 制定管理GPO的域控制器: 使用在组策略快照中的查看菜单下的 DC 选项命令 在组策略设置中指定使用什么域控制器,如何在活动目录中应用组策略设置,组策略是如何处理的 控制组策略的处理

5、 组策略和慢速网络连接 解决组策略间的冲突,组策略生效时机,计算机启动,计算机设置应用 启动脚本运行,用户登录,用户设置生效 登录脚本应用,控制组策略的处理,同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步 在特定的时间间隔内刷新组策略: 域环境中的非域控制器计算机每隔90分钟就会刷新策略，有随机的延迟。 域控制器每5 分钟刷新一次 未发生变更的组策略设置的处理 可以配置每一个客户端扩展用于处理所有可用的组策略设置,组策略和慢速网络连接,组策略能够接受慢速连接 组策略使用一种运算法则来确定连接是否为慢速 组策略给客户端扩展设定标志指出是慢速连接,解决组策略间

6、的冲突,除非组策略设置冲突，否则所有的组策略设置都将被执行 如果发生冲突，默认的是执行最新的设置 来自父容器的GPO设置和来自子容器的GPO设置冲突时，子容器的设置后执行并发挥作用 当连接到同一容器上的不同的 GPO 的设置发生冲突时，在容器属性对话框中 GPO列表中最高位置的GPO 的设置后执行并发挥作用 当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置,课堂讨论：如何执行组策略设置,课堂讨论：如何执行组策略设置,修改组策略的应用选项,允许阻止继承 允许不重写 筛选组策略设置 课堂讨论：改变组策略的继承性,组策略的继承性,Windows 2003按照一定的顺序应用GPO设置 子

7、容器继承父容器的GPO 设置,允许阻止继承,阻止继承: 阻止子容器从所有父容器处继承任一个GPO 无法选择阻止哪个GPO 不能阻止不重写选项,使用“禁止替代”选项,禁止替代选项： 可以优先于拒绝继承和下层的策略冲突而生效 应当在活动目录服务数型结构的上层 应用到它链接的范围内的 用来强化公司的管理策略,筛选组策略设置,筛选组策略设置: 明确拒绝申请对组策略的许可 忽略一验证过的申请组策略许可,课堂讨论：改变组策略的继承性,课堂讨论：改变组策略的继承性,委派组策略的管理控制,允许一用户管理一站点，域或OU的组策略连接，通过如下方式: 赋予用户站点，域或OU的GPOPtions属性的读写权限 使用

8、委派控制向导 允许用户或小组创建GPO，通过如下方式: 将用户或小组添加到组策略创建拥有者小组 允许用户编辑GPO，通过以下方式: 赋予用户该 GPO的读写权限 将用户标注为域管理员，企业管理员或 GPO 创建拥有者小组 通过使用 GPO 属性对话框中的安全性表来保证用户访问GPO,监控组策略,通过以下方法可以监控组策略: 启用事件日志的诊断记录 使组策略在事件薄中产生具体事件 启用详细记录 详细记录将记录所有的变更和应用到本地计算机和登录计算机的用户设置 详细记录将添加详细记录的注册关键词,最佳实践,限制使用阻止，不重写，筛选 GPO限制,限制影响任一计算机或用户的 GPO 数目,在单个 G

9、PO中与设置相关的组,把对 GPO 的管理控制权委派给其他一个或两个用户,避免把 GPO连接到包含多个域的站点上,在执行 GPO之前要进行计划和测试,管理用户环境简介,管理用户环境控制用户有哪些权利 使用组策略设置来控制用户环境 通过在容器上应用组策略来立即为新用户或计算机指定用户环境 集中配置和管理用户环境 加强标准配置 确保用户有他们自己的桌面和个人数据 组装用户桌面 确保用户环境安全,什么是管理模版,管理模版设置修改控制用户环境的注册设置 设置在注册子目录树下修改注册设置 计算机设置HKEY_LOCAL_MACHINE 用户设置HKEY_CURRENT_USER 如果 GPO不再使用，将

10、删除组策略 Windows 2003 将同时实现组策略和本地预设注册设置，除非两者之间存在着冲突,计算机如何实现管理模版设置,在注册设置实施后，将出现登录对话框或显示桌面,管理模版设置类型,禁闭桌面的设置,隐藏桌面上所有的图标 在退出时不保存设置 隐藏我的电脑下具体指定的驱动器 从开始菜单中删除“run”菜单 禁止用户运行控制面板中的显示功能 使与“ Windows Update”的连接无效并删除这种连接 使工具栏和开始菜单设置的修改无效 使关闭命令无效或删除改命令,利用组策略设置禁闭桌面环境,禁闭用户访问网络资源的设置,隐藏桌面上“ My Network Places”图标 删除 “Map

11、Network Drive” 和 “Disconnect Network Drive” 工具菜单: 禁用internet选项,利用组策略禁闭用户访问网络资源的设置,禁闭用户访问管理工具和应用程序的设置,组策略中的回环处理模式设置,可以把用户管理模版设置应用到计算机上 对于指定具体任务的计算机是非常有用的 可以被设置为替换模式或合并模式,在组策略中分配脚本,组策略脚本设置允许你 : 组策略脚本设置可以集中配置脚本，在计算机启动，关闭，用户登录，退出时自动运行 管理和配置用户环境,当用户启动计算机，进行登录时: a.Startup scripts run b.Logon scripts run,当

12、用户退出，关闭计算机时: a.Logoff scripts run b.Shutdown scripts run,Windows 2003 按从上到下的顺序处理脚本,用组策略实现脚本设置的过程,利用组策略重定向文件夹,不管用户从什么客户机上登录，都可以访问文件夹中的数据 文件夹中的数据集中存储，因此文件夹中的文件将更便于管理和备份 减少网络通信，网络通信只在用户访问文件时才出现 文件不在客户计算机上保存,选择需要重定向的文件夹,把文件夹重定向到服务器位置,介绍软件布置的管理,Windows 安装程序,布置软件,软件布置 创建一个软件分布点 分配软件 发布软件 使用组策略布置软件包 设置软件安装默认值,软件布置,创建一个软件分布点,分配软件,发布软件,使用组策略布置软件包,设置软件安装默认值,使用软件修改,French Dictionary,German Dictionary,Single Instance on Server,创建软件类别,Create GPOs to Control the Applications Associated