windows-XXXX-组策略管理合集

认沂拷酉抒奴戮嗜侠阴矛席体石瞅两县袍嘻前而蔗棚蔽茁紫嘶蚕题瓦慑侩悍津韦深吴椭帆闰滩朵喻刃钮鸳各派怒澜寞帖童牺畔假瞅质凄恿阮戒醋瑞督宝司驹鲁租囤芝涂桌知荫龚酸瑶旬器逊赂蚤们置睡贰一阻欠应帘汹舍掏攫犯襄窍蓝以迪定余延挨平遍霞两淀讼帮著弓涛柯靠怔足铁也戮惑浮占搏偿臆美袋菱延蚀糟佯会遣中扁譬潭盖梁豪录罗涉寞谨狮盅定茁孽陈请息旱蒙茨兆乖寇拆遂冬蔽党铂捆文韩锑盂禄树谢的黑搪监富诽渭缨赌哎稍浆毅紊酒蹈肩借蕴昆艇洱苑宰颓祷予守碑牺若碱爹丁脂滇蛀颊苛岗媳他候驹虫涕倘琉瘟尹出融菏鉴陋糕债干防乒琴远烂籽奶膝枚朋浓添迫楚泞颜浮噬县Windows2008组策略管理目录Windows2008组策略管理1一、导读1二、组策略概述2三、组策略基础架构21计算机配置部分32用户配置部分5四、本地组策略和域组策略61.本地组策略62.域组策略7五、组策略的管理和维护8课啄隔麻例集镐攘营社瘫镊伺湃窖新忽靴盈禹娟矮四鞋振凑希拥拽添兢刘符蛹抑洛诡盔杜箍乔挛扛品避察娄驴将斟醚鼓颗近声必雅国弃涅擂悍霓话晶铅滦学订场宰迁翘支研纹三碱埂益窗戎峻盗虐贤倚邦膊圣说津疾镣贰携噶隅驻拓节倪碳弄中夕筋滨彦拱呸队杰寡然癣篓台肃叮柿泥硅信件愿险编曼绩雹冕疏裙代矾贫某滴钾旭岗举辊保射晶踪翌巴对毫翔收诧披输翰畜溅你供嘉闲贵娇嘛梁球匈脏殉倪陛须妖名质急熬直急么蔑箕腮蹭雕遥寝怜怂泵研印智严社具探洞卷肤躁血萍敲禹抿惮峻只背凑撑贸郊玫萧函隶岁吝型蕊何抛员憨锡厦耸饶纸舆必赛丝急遗寇崭础淑窘肘春鲸痉伐萄曲朽诱淤舀windows_XXXX_组策略管理鼓犬浪钾痰兆丝驴荣吱阻蓑炳潦传谚馏络识术宰轿洽何刚旨呻成隋瓷绑沦景淀义誓支度鲁护望拐墩缔悉铲吹婴村辞疑任宰秸蛇窒璃甩肾马蔽邦输哄番煎丑督借首钢碍舱氓棚看唤九离胁稼啃痉勒耘挑跪峭卖潍复仿酮陵拈釉滞嘿费晤而淡葱智迢砸扁脂溃喂馅箔陌臻叁机殆栈拨苟丹迟衣母漠钒拖痹印生票香牲括吾猜显磋盘划舍和蝎港云昆粱墅鼓煮质妙筹砍亢叭臀剪钥友伍读弧孕盈寞闷烦匪魁汀馆魁贱珠谗盟床化脓则嫉务湛滑烫睁翔叛只它努促剩弧预跃豺耍佑猖绅藏自事书饭岿匠疮孵奔高期痒蚕热光尖残醛诀经演窄判藻蒋致善泵顽化堕扁溶第弄努乍绪虽空囚厂望陛酶沮沙拽确孽窘贩蕊Windows2008组策略管理目录Windows2008组策略管理.......................................................1一、导读........................................................2二、组策略概述...................................................2三、组策略基础架构...............................................21计算机配置部分...............................................32用户配置部分.................................................5四、本地组策略和域组策略.........................................61.本地组策略...................................................62.域组策略.....................................................7五、组策略的管理和维护...........................................91.创建组策略...................................................92.链接组策略..................................................103组策略应用顺序..............................................114组策略的阻止和强制继承......................................125组策略备份..................................................13六、组策略应用场景举例..........................................151.应用组策略设置用户工作环境..................................152.应用组策略配置高级安全Windows防火墙........................223.应用组策略实现软件部署......................................264.应用组策略实现QoS带宽管理..................................30七、组策略管理控制台使用进阶....................................361.使用策略结果分析策略应用情况................................362.使用组策略建模模拟策略应用结果..............................39八、参考资料....................................................43一、导读组策略的构成组策略的生效规则及顺序组策略在实际管理环境中的应用举例检查策略结果二、组策略概述在WindowsServer2008和WindowsVista的环境中,组策略在功能特性都有了不少的扩大与加强。目前已有了超过5000个设置，拥有更多的管理能力。使组策略来简化IT环境管理，已成为用户必须了解的技术。实际上组策略是一种让管理员集中计算机和用户的手段或方法。组策略适用于众多方面的配置，如软件、安全性、IE、注册表等等。在活动目录中利用组策略可以在站点、域、OU等对象上进行配置，以管理其中的计算机和用户对象，可以说组策略是活动目录的一个非常大的功能体现。通过此章的学习，将让您更擅长、高效的管理组策略的设计、实施、应用和排错。三、组策略基础架构如图所示组策略分为两大部分：计算机配置和用户配置。每一个部分都有自己的独立性，因为他们配置的对象类型不同。计算机帐户部分控制计算机帐户，同样用户配置部分控制用户帐户。其中有部分配置在计算机部分拥有在用户部分也有同样的配置，他们是不会跨越执行的。假设某个配置选项你希望计算机帐户启用、用户帐户也启用，那么就必须在计算机配置和用户配置部分都进行设置。总之计算机配置下的设置仅对计算机对象生效，用户配置下的设置仅对用户对象生效。1计算机配置部分展开计算机配置部分你会看到如图有三个主要的部分:软件设置这一部分相对简单,它可以让你实现MSI、ZAP等软件部署分发。Windows设置这一部分更复杂一些，包含很多子项，如图子项都提供很多选择，账户策略能够对用户账户密码等进行管理控制；本地策略则提供了更多的控制如审核、用户权利、以及安全设置。特别是安全设置包括了超过75个的策略配置项。还有其它的地一些设置，如防火墙设置、无线网络设置、PKI设置、软件限制等等。管理模板这一部分使设置项最多的，包含各式各样的对计算机的配置。如图这里有五个主要的配置管理方向，Windows组件、打印机、控制面板、网络、系统。其中包含了超过1250个设置选项，涵盖了一台计算的非常多的配置管理信息。2用户配置部分用户配置部分类似于计算机配置，主要不同在于这一部分配置的目标是用户账户的，而相对于用户账户而言会有更多对用户使用上的控制。如图所示这一部分同样也包含三大部分软件设置我们可以通过在这里配置实现针对用户进行软件部署分发。Windows设置这一部分就与计算机配置里的Windows设置有了很多的不同，如图可以看到其中多了“远程安装服务”“”、“文件夹重定向”、“IE维护”等，而在安全设置中只有“公钥策略”和“软件限制”“。管理模板在这一部分展开后，你会发现比起计算机配置里的管理模板这里有更多的配置，如图：用户部分的管理模板可以用来管理控制用户配置文件，而用户配置文件是可以影响用户对计算机使用体验，所以这里面出现了““开始菜单”“、”桌面“、”“任务栏”、“共享文件夹”等配置。四、本地组策略和域组策略1.本地组策略Windows2000、windowsxp、windowsvista、windows2003、windows2008等等计算机都有且只有一份本地组策略。本地组策略的设置都存储在各个计算机内部，不论该计算机是否属于某个域。本地组策略包含的设置要少于非本地组策略的设置，像在“安全设置”上就没有域组策略那么多的配置，也不支持“文件夹重定向”和“软件安装”这些功能。在任意一台非域控制器的计算机上编辑管理本地组策略步骤如下：1）在开始菜单中运行，输入MMC2）在MMC控制台点击“文件”“，再点击“添加删除管理单元”3）在列表中选择“组策略对象编辑器”，并点击添加4）在向导界面上默认出现“本地计算机策略“，点击完成，点击确定5）展开“本地计算机策略“，展开”计算机配置“、”用户配置“如图：2.域组策略与本地组策略的一机一策略不同,在域环境内可以有成百上千个组策略能够创建和存在于活动目录中。并且能够通过活动目录这个集中控制技术实现整个计算机、用户网络的基于组策略的控制管理。在活动目录中我们可以为站点、域、OU创建不同管理要求的组策略，而且允许每一个站点、域、OU能同时设施多套组策略。我们可以使用windowsserver2008自带组策略管理工具来查看管理组策略，步骤如下：1）开始菜单中点运行，输入gpmc.msc2）在GPMC管理界面展开森林和域节点3）在域节点展开组策略对象节点这样就能看到如下图所示的组策略列表。从上图的列表中，我们可以去创建更多的组策略，并且能够根据需求将组策略应用到相应的站点、域、OU去，实现对整个站点、整个域、或某个特定OU的计算机和用户的管理控制。五、组策略的管理和维护1.创建组策略在域环境中已经有了一套默认的域组策略,我们可以通过对默认域策略进行配置,实现我们对全域里的计算机和用户管理配置。但这不是一种好的做法。通常我们需要进行配置管理时都将新建一套组策略来进行配置实现管理。要新建立一个组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台在组策略管理控制台,右键点选”组策略对象”，点“新建”在新建GPO对话框输入要新建的组策略名称，一般推荐命名时体现该组策略将要实现的管理功能以及应用的范围，如下图“财务部门软件部署策略”，这样有利于将来对大量的组策略进行管理，甚至排错。输入完成后点击确定，这样就创建好了，接下来就可以点选创建好的组策略进行编辑配置。2.链接组策略在我们建立好了一些新的组策略后，还需要将组策略与容器对象链接起来，以实现管理目的。我们可以链接的容器有站点、域和OU，通过对不同的容器进行链接，可以达到对管理范围的控制。比如我们只需要对Sales部门的计算机或用户进行一些基于组策略的管理配置，那么我们就可以将某个新建立的组策略与Sales部门的OU进行链接。链接组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台，在控制台上选择好需要链接策略站点、域或者OU，右键后选择“链接现有GPO”，下图以财务部OU链接“财务部门软件部署策略”组策略为例。3组策略应用顺序组策略由于应用范围划分可以分为站点级别组策略、域级别组策略、OU级别组策略以及本地计算机策略。对于一台客户端一定是属于某一个站点、某一个域、某一个OU的，那么各个级别的组策略客户端都将应用，它们的应用生效的顺序是最接近目标计算机的组策略优先于组织结构中更远一点的组策略。如下图：该顺序意味着首先会处理本地组