chap7 组策略

组策略回顾上章内容密码策略包含哪些选项？帐户锁定策略哪些选项？本地策略有哪几部分？如何实现文件及文件夹审核？本地安全策略、域安全策略、域控制器安全策略三者关系？本章目标理解组策略的作用掌握组策略继承与阻止继承理解组策略应用顺序掌握组策略强制生效、筛选掌握软件分发方式教师讲解本章目标组策略的作用2-1方便地管理AD中的计算机和用户用户桌面环境计算机启动/关机与用户登录/注销时所执行的脚本文件软件分发安全设置域域控制器组策略活动目录组策略的作用2-2使用组策略可以对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境降低布置用户和计算机环境的总费用•因为只须设置一次，相应的用户或计算机即可全部使用规定的设置•减少用户不正确配置环境的可能性推行公司使用计算机规范•桌面环境规范•安全策略组策略不适用于早期的Windows操作系统如Windows9x/NT组策略结构3-1组策略的具体设置数据保存在GPO（GroupPolicyobject）中默认的2个GPO默认域策略默认域控制器策略GPO所链接的对象SDOU（Site、Domain、OrganizationalUnit）GPO控制SDOU中的计算机和用户SDOUGPO计算机用户组策略组策略结构3-2站点的概念活动目录中的站点是从物理上抽象的概念由一个或多个高速连接的IP子网组成站点和域的关系一个站点中可以有多个域一个域中可以有多个站点站点的主要作用优化复制使用户能够使用可靠、高速的连接登录到域控制器组策略结构3-3GPO的组件存储在GPC和GPT中GPC（组策略容器）与GPT（组策略模板）GPC：GPC是包含GPO属性和版本信息的活动目录对象GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构组策略简单应用目标销售部的员工不能随意更改桌面背景步骤单击“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”右击销售部OU→“属性”→“组策略”，单击“新建”按钮，输入GPO的名字为“销售部GPO”打开“组策略编辑器”窗口，选择“阻止更改墙纸”双击“阻止更改墙纸”，启用策略计算机配置与用户配置2-1计算机配置软件设置Windows设置•脚本•安全设置管理模板•Windows组件•系统•网络•打印机计算机配置与用户配置2-2用户配置软件设置Windows设置•远程安装服务•脚本（登录/注销）•安全设置•文件夹重定向•IE浏览器维护管理模板•Windows组件•任务栏和【开始】菜单•桌面•控制面板•共享文件夹•网络•系统小结组策略有哪些作用？组策略适用哪些操作系统？默认的2个GPO是什么？站点和域的关系？组策略应用规则继承与阻止继承累加应用顺序强制生效筛选继承与阻止继承在默认情况下，下层容器会继承来自上层容器的GPO（组策略对象）销售部OU继承域的组策略。北京销售部OU继承其上级销售部OU的组策略子容器可以阻止继承上级的组策略累加容器的多个组策略设置如果不冲突，则最终的有效策略是所有组策略设置的总和容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置是否冲突OU的有效设置域：IE主页设置为：已启用“阻止更改墙纸”否IE主页设置为阻止更改墙纸域：已启用“阻止更改墙纸”OU：已禁用“阻止更改墙纸”是可以更改墙纸教师演示并讲解相关理论应用顺序本地组策略对象每台运行WindowsXP/2000/2003的计算机都只有一个本地组策略对象打开本地GPO的2种方法•MMC和gpedit.msc组策略按以下顺序被应用：LSDOU1）首先本地组策略对象2）如果有站点组策略，则应用之3）然后应用域组策略对象4）如果计算机或用户属于某个OU，则应用之5）如果计算机或用户属于某个OU的子OU，则应用之强制生效销售部工程部域冲突GPO设置“强制生效”的GPO设置强制生效是上级容器强制下级容器执行其GPO设置如果销售部OU阻止继承域的策略或者销售部OU与域的GPO设置冲突销售部应用域的GPO设置验证强制生效效果强制生效教师演示并讲解相关理论筛选域销售部salemanagerSales不受GPO影响受GPO影响GPO设置筛选可以阻止一个GPO应用于容器内的特定计算机和用户设置读取和应用组策略的权限•允许•拒绝小结如何理解组策略的继承？如何理解组策略的累加？组策略的应用顺序？如何使用组策略的强制生效？如何使用组策略的筛选？利用GPO实现软件设置分发软件修复软件删除软件升级软件分发软件分发软件的步骤1）获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件2）将软件安装文件放到一个软件分发点3）创建或修改GPO指派与发布的区别：“指派”•可以将程序指派到用户或计算机。•指派的程序在客户机的“开始”菜单中“发布”•可以将一个程序发布给用户•发布的程序显示在“控制面板”→“添加/或删除程序”中“指派”是比“发布”更具强制性的部署方式。修复软件如果用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复如果原来软件分发点上的安装文件发生丢失或损坏在服务器上修复该软件的源文件重新部署一次删除软件立即从用户和计算机卸载软件下一次用户登录或计算机启动时，软件会被强制删除允许用户继续使用软件，但禁止新的安装用户和计算机仍可继续执行使用软件，但不允许重新安装升级软件举例Office2000升级到Office2003Visio2000升级到visio2002强制升级会强制用户将当前软件升级到新的版本可选升级允许用户同时使用一个应用程序的两个版本小结软件设置可以实现那四个功能？分发软件:指派与发布的区别？删除软件的两种方法是什么？升级软件的两种方法是什么？总结组策略有哪些作用？如何使用组策略的强制生效和筛选？如何使用组策略的组策略继承与阻止继承？如何使用组策略实现分发软件？总结并布置作业