05-创建和配置组策略

Module5:创建和配置组策略概览组策略概述配置组策略对象范围评估组策略对象的应用管理组策略对象组策略的委派控制管理内容1:组策略概述何为组策略?组策略设置组策略如何被应用组策略处理例外组策略组件什么是ADM和ADMX文件?什么是中央存储（CentralStore）?演示:配置组策略对象何为组策略?组策略可以:•实现标准化配置•部署软件•增强安全设定•增强桌面环境的连续性组策略使IT管理员能自动化的实现一对多恶管理用户和计算机对象本地组策略对本地用户和域用户以及本地计算机设置生效组策略的设置•软件•Windows•安全•操作系统组策略关于计算机的设置:•软件•Windows•安全•桌面组策略关于用户的设置:组策略如何被应用计算机启动•计算机设置被应用•启动脚本运行RefreshInterval用户登录•用户设置被应用•登陆脚本运行RefreshIntervalEvery90minutesEvery90minutes组策略处理过程例外其他的例外:•WindowsXP和WindowsVista能缓存凭据，加快登陆•ManyGPOsettingstaketwologonstotakeeffect缓存的凭据•默认500kbps•一些clientsideextensions不被处理•Vista以前,用ICMP检测慢速连接•WindowsVista用NetworkLocationAwareness慢速连接•远程访问连接•移动用户或者计算机对象组策略组件组策略对象•存储在AD中•提供版本信息组策略容器•存储在共享的sharedSYSVOLfolder•提供组策略设置•支持ADM和ADMX模板组策略模板•包含组策略的设置•存储内容在两个位置什么是ADMandADMXFiles?ADM文件是:•复制到每个SYSVOL文件夹的GPO中•定制化困难ADMX文件是:•Languageneutral•NotstoredintheGPO•ExtensiblethroughXML什么是CentralStore?中央存储:•是一个ADMX和ADML文件的中央存放库•存储在SYSVOL中•必须手工创建•能被Vista和2008自动检测WindowsVistaorWindowsServer2008workstationADMXfilesDomaincontrollerwithSYSVOLDomaincontrollerwithSYSVOL演示:配置组策略对象在演示中,你能看到如何:创建GPO配置设置内容二2:配置组策略对象的作用范围组策略处理顺序什么是多个本地组策略对象?修改组策略处理选项演示:配置组策略对象链接演示:配置组策略继承演示:组策略对象的安全组过滤演示:通过WMI过滤器过滤组策略还回处理如何工作?讨论:配置组策略处理范围组策略处理顺序站点域OUOUOUGPO2GPO3GPO4GPO5GPO1本地组什么是多个本地组策略对象?•应用到所有用户的一层计算机配置•只能应用到单个用户,不能应用到组•有三层用户配置:•管理员•非管理员•特定的用户修改组策略处理选项修改组策略默认处理的5种方式:•阻止继承•强制•安全组或者WMI过滤•禁用GPOs•回环处理演示:配置组策略对象链接在演示中,你能看到如何:创建和链接GPOs禁用GPOlink演示:配置组策略继承在演示中,你能看到如何:阻断GPO继承设置强制GPO演示:组策略对象的安全组过滤在演示中,你能看到如何用安全组过滤组策略演示:通过WMI过滤器过滤组策略在演示中,你能看到如何创建和指派一个WMI过滤器还回处理如何工作?讨论:配置组策略处理范围WoodgroveBankDomainTreeWoodgroveBankHeadOfficeBranchesServersTorontoWinnipegSQLServerExchangeServerTorontositeWinnipegHeadOfficeHeadOfficesiteHigh-speedlinkSlowlink什么是组策略报告?•GPMC提供组策略结果•GPResult是一个命令行工具组策略报告是一种规划和排错组策略的方法什么是组策略建模?组策略建模向导模拟:•站点成员•安全组成员•WMI过滤器•慢速链接•环回处理•移动用户或计算机的影响组策略建模向导计算GPO模拟的网络效果(calculatesthesimulatedneteffectofGPOs)演示:如何评估组策略对象的应用在演示中,你能看到如何运行工具来浏览组策略应用内容4:管理组策略对象GPO管理任务什么是StarterGPO?演示:如何复制一个GPO演示:备份和恢复GPO演示:导入GPO迁移组策略对象GPO管理任务GPOmanagementtasks:•备份GPOs•恢复GPOs•复制GPOs•导入GPOs什么是StarterGPO?存储管理模板设置,作为新建GPO的初始设置值能被导出成.cab文件能被导入到企业的其他的区域ExportedtocabfilestarterGPO.cabfileImportedtoGPMCLoadcabinetfile演示:HowtoCopyaGPO在演示中,你能看到如何复制GPO.演示:备份和恢复GPO在演示中,你能看到如何备份和恢复GPO演示:导入GPO在演示中,你能看到如何:导入GPO使用迁移表迁移组策略对象•CanbeusedtoconvertcustomADMfilestoADMX•基于图形化界面，可以从微软站点下载此工具ADMX迁移工具:内容5:组策略的委派控制管理委派管理控制选项演示:如何委派管理控制委派管理控制选项委派控制方法创建GPO编辑和删除GPO链接GPO到容器上使用报告工具MembershipinGroupPolicyCreatorOwnersgrouporexplicitpermissiontocreateGPOsAssignEditrightstoindividualpoliciesDelegatetherighttolinkGPOstocontainersDelegatetherighttouseGroupPolicyreportingtools演示:如何委派管理控制在演示中,你能看到如何委派创建,编辑,链接和用报告工具的权限Lab:创建和配置GPO练习1:创建GPO练习2:管理GPO应用范围练习3:验证GPO的应用练习4:管理GPO练习5:GPO委派控制Estimatedtime:75minutesLogoninformation