2154AWindows2000目录服务基础结构设计与管理

2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17•下次课开始于2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17MICROSOFTEDUCATIONANDCERTIFICATION课程号2154A，考试号70-2172154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17MCSE:Windows2000张东辉高培信息办TEL:5988204Email:zhangdh@gp.dq.cnpc.com.cn个人信息SystemsEngineerMicrosoftCertifiedProfessional2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17利用组策略管理用户环境82154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/178-1概述•利用组策略配置和管理用户桌面•约618条组策略设置–管理模板•它下面的设置都是基于注册表的–存于sysvol\……\registry.pol中•但这些设置并不永久地改变注册表2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/178-2管理用户环境简介•控制用户在他们的环境下所能做的事情•使用组策略设置来控制用户的环境•应用组策略到一个容器，使定义的用户环境对新用户或计算机立即生效•配置和集中管理用户环境–强制标准配置–限制用户在操作系统中可访问的部分–保证用户总是有他们自己的桌面和个人数据–限制2000工具和组件的使用–组装用户桌面–确保用户环境安全管理用户环境管理模板设置脚本设置重定向用户文件夹安生设置MyDocumentsHKEY_LOCAL_MACHINEHKEY_CURRENT_USER基于注册表的2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17•有效配置和管理用户环境–简化用户环境，防止用户破坏环境–它下面的设置都是基于注册表的•相当于注册表5个子树中的机器和用户•存于registry.pol中–但这些设置并不永久地改变注册表8-3管理模板介绍2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17什么是管理模板•管理模板设置修改控制用户环境的注册设置•设置在注册子目录树下修改注册设置–计算机设置HKEY_LOCAL_MACHINE•软件\MS\Windows\当前版本\策略\系统\……：0X258•演示：计—管—系—登录：组策略脚本的最长等待时间：600，再看注册表–用户设置HKEY_CURRENT_USER•软件\MS\Windows\当前版本\策略•演示：用—管—系—登录：禁用任务管理器，再看注册表2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17什么是管理模板•如果GPO不再使用，将删除组策略–将只有本地注册设置在使用（有效）•Windows2000将同时实现组策略和本地预设注册设置，除非两者之间存在着冲突–冲突时，组策略设置有效2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17计算机如何实现管理模板设置Registry.pol文件包含管理模板注册设置和设置值GPO列表1客户机启动/用户登录，重新获得GPO应用列表客户机连接到验证DC的SYSVOL，找到Registry.pol文件P277SysvolRegistry.polRegistry.polGPT2客户机将Registry.pol文件中的注册设置和设置值写到相应的注册表子树(HKLM/HKCU)Registry.polHKCURegistry.polHKLM3出现登录对话框/出现桌面42154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17•管理模板–计算机（重启机时应用）–用户（重新登录时应用）•控制桌面的外观和行为—用户环境–包括操作系统、组件和应用……8-4使用组策略中的管理模板2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17管理模板设置的类型设置类型控制可用于Windows组件2000工具和组件，包括MMC（用户）系统登录/注销，组策略、磁盘限额、回环处理网络网络连接和拨号连接的属性，包括共用网络访问打印机打印机设置，自动公布在AD中，禁用基于WEB的打印等开始菜单和任务栏用户可以从开始菜单中访问的功能部件。只读，来防止用户修改。？？文件夹的NTFS权限桌面活动桌面，我的文档、网上邻居等控制面板添加/删除程序，打印机，显示，整个控制面板2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17禁闭桌面的设置（一）隐藏桌面上的所有图标（用/管/桌）不能阻止用户用其它方式打开程序、项目退出时不保存设置（用/管/桌）图标、窗口大小位置。快捷方式仍可保存隐藏“我的电脑”中的这些指定的驱动器（用/管/W/资）ABCD所有从开始菜单中删除“运行”菜单（用/管/任）P280可利用任务管理中的“新任务”禁用“控制面板”中的“显示”（用/管/控/显）用于禁闭桌面的组策略设置（一）2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17禁闭桌面的设置（二）禁用并删除“WindowsUpdate”的链接（用/管/任）可用IE的“工具”菜单禁止更改“任务栏和[开始]菜单”设置（用/管/任）指的是开始—设置—任务栏和开始菜单……含任务栏—右键—属性禁用和删除“关机”命令（用/管/任）开始菜单下的和CTRL+ALT+DEL挡不住用程序关机，如任务计划rundll32.exe也挡不住计算机管理—关机用于禁闭桌面的组策略设置（二）2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17禁闭用户访问网络资源的设置隐藏桌面上的“网上邻居”图标（用/管/桌）但可利用登录脚本给用户映射网络驱动器也挡不住运行和netuse,netview删除“映射网络驱动器”和“断开网络驱动器”（用/管/W/资），但可利用开始—运行，连到计算机“工具”菜单：禁用“Internet选项…”（用/管/W/IE/浏）Internet控制面板：禁用常规页等去标签利用组策略设置禁闭用户访问网络资源2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17禁闭用户访问管理工具和应用程序的设置（一）从[开始]菜单中删除“搜索”菜单（用/管/任）仍可使用资源管理器和IE中的搜索实质：资源管理器==IE从[开始]菜单中删除“运行”菜单（用/管/任）运行==任务管理器—新任务禁用任务管理器（用/管/系/登录/注销）只运行许可的Windows应用程序（用/管/系）见后，实验心得利用组策略禁闭用户访问管理工具和应用程序（一）2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17禁闭用户访问管理工具和应用程序的设置（二）从[开始]菜单删除“文档”菜单（用/管/任），相关还有不要保留最近打开的文档记录退出时清除最近打开的文档记录最近文档的最大数目（用/管/W/资）禁止更改“任务栏和[开始]菜单”设置（用/管/任）（已讲）指的是开始—设置—任务栏和开始菜单……含任务栏—右键—属性从[开始]菜单删除公用程序组（用/管/任）只有自己配置文件中的（正常：公+自己）利用组策略禁闭用户访问管理工具和应用程序（二）2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17组策略中的回送处理模式•SalsOU的用户，登录到ServerOU的计算机•一般：组策略应用依赖于SalesOu的用户组策略设置•一般为：Server的计算机Sals的用户•但有时对于特殊计算机，需要依赖于ServerOU的组策略设置SalsOU（用户所在）计算机(不执行)用户(2)ServerOU（计算机所在）计算机(1)用户(不执行)登录GPOGPO2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17组策略中的回送处理模式对于指定了具体任务的计算机或安装了特殊软件的计算机，回送处理模式就非常有用了有两种模式（接上例）替换模式：只处理ServerOU上的关于“用户”的组策略设置合并模式：先处理SalesOU上的关于“用户”的组策略设置再处理ServerOU上的关于“用户”的组策略设置冲突时，计算机的生效回送处理模式设置:2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17默认替换合并42•ServersOU—S39—GPO•计算机11√√√•用户22√√（后）•SalesOU—user1—GPO•计算机33•用户44√√（先）•深入讨论：–设为替换，不重启，以user1登录，哪个生效？44，因为替换策略未生效–启用回环处理（替换/合并），以非SALES用户，如Administrator登录，哪个生效？？22，回环就是针对使用这台计算机的所有用户–Secedit/refreshpolicymachine_policy/enforce2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17•启用回环处理模式–组策略—计算机配置—管理模板—系统—组策略：“用户组策略反向对应处理方式”–替换–合并2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17设计管理模板•选择三个状态之一来配置设置•在不同的GPO中配置同一个设置为不同值，会引起冲突，–最后实现的设置将有效，除非修改了组策略继承HideMyNetworkPlacesiconondesktopPropertiesPolicyExplainHideMyNetworkPlacesiconondesktop未配置启用禁用或或包含关于组策略如何应用的信息应用设置禁用设置忽略设置（默认）2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/17•为了提高性能，可禁用组策略中不用的部分–禁用计算机配置设置–禁用用户配置设置•操作：–组策略名—右键—属性•一般为二选一，但可同时选中2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/178-5实验A：利用管理模板分配基于注册的组策略2154A:Windows2000目录服务基础结构设计与管理高培国际认证中心，版权所有，不得用于其它培训目的。2019