05实现组策略

第五章:实现组策略概述实现组策略对象在域中实现GPO管理组策略的部署建立和配置GPO配置组策略刷新率和组策略设置管理GPO组策略的检验与排错委派组策略的管理控制为企业规划组策略5.1实现组策略对象什么是组策略？什么是用户和计算机配置？如何设置本地计算机策略5.1.1什么是组策略？DomainOUSiteGPO针对用户的组策略配置:桌面设置软件设置Windows设置安全设置针对计算机的组策略配置:桌面行为软件设置Windows设置安全设置5.1.2什么是用户和计算机配置？5.1.3如何设置本地计算机策略教师将演示如何设置本地计算机策略5.2域中实现GPO用于建立GPO的工具什么是在域中管理GPO？如何建立GPO组策略权限在活动目录中如何被继承5.2.1用于建立GPO的工具默认的组策略工具ActiveDirectoryUsersandComputers域和组织单元GPOActiveDirectorySitesandServices站点GPOLocalSecurityPolicy本地计算机安全设置附加工具GroupPolicyManagement域、组织单元和站点GPO5.2.2什么是在域中管理GPO？5.2.3如何建立GPO教师将演示如何建立GPO5.2.4组策略权限在活动目录中如何被继承域OUOUOUOUOU用户或计算机帐号OUGPO1OUGPO3OUGPO25.3管理组策略的部署当GPO出现冲突时怎么办阻止GPO的部署如何阻止GPO的部署如何配置组策略的强制执行过滤GPO的部署如何配置组策略过滤5.3.1当GPO出现冲突时怎么办如何解决冲突当活动目录中各层次结构的组策略设置发生冲突，则子容器上的GPO设置被应用修改继承的选择NoOverride（拒绝覆盖）BlockPolicyinheritance（阻止策略继承）5.3.2阻止GPO的部署SalesProductionDomainGPOs没有GPO设置被应用5.3.3如何阻止GPO的部署教师将演示如何阻止GPO的部署5.3.4如何配置组策略的强制执行5.3.5过滤GPO的部署SalesProductionDomainMengphKimyoGroup应用组策略拒绝读取和应用组策略允许GPO5.3.6如何配置组策略过滤教师将演示如何配置组策略过滤5.4建立和配置GPOGPO的组成为什么指定一台域控制器管理GPO？如何指定一台域控制器管理GPO什么是WMI过滤器？如何使用WMI过滤器过滤组策略设置什么是回环处理？如何配置用户组策略的回环处理模式5.4.1GPO的组成包含组策略设置存储在两个地点组策略对象（GPO）存储在共享的SYSVOL文件夹提供组策略设置组策略模板（GPT）存储在活动目录中提供版本信息组策略容器（GPC）5.4.2为什么指定一台域控制器管理GPO？选择一台域控制器以避免发生复制冲突选项5.4.3如何指定一台域控制器管理GPO教师将演示如何指定一台域控制器来执行域和站点的操作什么是WMI过滤器？500MB的可用空间?WMI过滤器管理员安装OfficeXP?10GB400MB35GB750MBGPO5.4.5如何使用WMI过滤器过滤组策略设置教师将演示如何建立一个WMI过滤器并把它链接到一个GPO上Select*FROMWin32_LogicalDiskWHERE(Name=C:ORName=D:ORName=E:)ANDDriveType=3ANDFreeSpace10485760ANDFileSystem=NTFS5.4.6什么是回环处理？5.4.7如何配置用户组策略的回环处理模式教师将演示如何配置用户组策略的回环处理模式5.5配置组策略刷新率和组策略设置什么时候应用组策略？如何为低速链路配置组策略如何配置域控制器和计算机的刷新率如何在用户的计算机上使用Gpupdate.exe刷新组策略设置5.5.1什么时候应用组策略？计算机启动应用计算机设置运行Startup脚本刷新间隔用户登录应用用户设置运行Logon脚本刷新间隔5.5.2如何为低速链路配置组策略5.5.3如何配置域控制器和计算机的刷新率教师将演示如何配置域控制器和计算机的刷新率5.5.4如何在用户的计算机上使用Gpupdate.exe刷新组策略设置教师将演示如何在用户的计算机上使用Gpupdate.exe刷新组策略设置5.6管理GPO什么是复制操作？如何复制GPO什么是备份操作？如何备份GPO什么是恢复操作？如何恢复GPO5.6.1么是复制操作？复制GPO只是把GPO中的设置传输给另一个GPO新的GPO是无链接的，即：没有链接到任何活动目录容器上DACLUser1GPO1ReadFullControlDACLUser1GPO2ReadFullControl复制操作5.6.2如何复制GPO教师将演示如何复制GPO5.6.3什么是备份操作？在执行备份操作时，GroupPolicyManagement把GPO中的所有数据导出到指定的文件中并保存GPT文件备份操作GPO的备份GPO1GPO15.6.4如何备份GPO教师将演示如何备份GPO5.6.5什么是恢复操作？恢复操作会把GPO的内容准确恢复到执行备份时的状态恢复操作GPO1备份的GPOGPO15.6.6如何恢复GPO教师将演示如何:恢复一个已有的GPO恢复一个已经被删除的GPO5.7组策略的检验与排错实现组策略时的常见问题如何使用GroupPolicyModelingWizard检验组策略设置如何使用GroupPolicyResults检验组策略设置5.7.1实现组策略时的常见问题症状原因不能打开GPO没有分配对该GPO的Read和Write权限不能编辑GPO网络问题站点、域或组织单元上的组策略不生效组策略设置没有正确配置客户机上的组策略不生效一个非本地的GPO覆盖了本地策略5.7.2如何使用GroupPolicyModelingWizard检验组策略设置教师将演示如何:建立一个新的GroupPolicyModeling查询查看查询5.7.3如何使用GroupPolicyResults检验组策略设置教师将演示如何:建立一个新的GroupPolicyResults查询查看查询5.8委派组策略的管理控制GPO的委派对站点、域或组织单元上的组策略进行委派对WMI过滤器进行委派如何委派管理组策略链路的管理控制如何委派对建立和编辑GPO的管理控制5.8.1GPO的委派分配建立GPO权限的方法只允许用户在域中建立GPO允许用户编辑或删除其它GPO或者链接GPO把组或用户添加到GroupPolicyCreatorOwners组中给组或用户明确分配建立GPO的权限5.8.2对站点、域或组织单元上的组策略进行委派权限:ReadandWritepermissionstothegPLinksandgPOptionsattributesLinkGPOsGenerateResultantSetofPolicy(Logging)permissionGroupPolicyResultsGenerateResultantSetofPolicy(Planning)permissionGroupPolicyModelingOUOUOU组策略站点域5.8.3对WMI过滤器进行委派工资单管理员公司管理员WMI过滤器建立为了建立WMI过滤器，使用这些权限:CreateOwnerFullControl委派为了委派WMI过滤器，分配这些权限:EditFullControl5.8.4如何委派管理组策略链路的管理控制教师将演示如何委派管理组策略链路的管理控制5.8.5如何委派对建立和编辑GPO的管理控制教师将演示如何为以下操作委派管理控制：建立GPO编辑GPO5.9为企业规划组策略规划GPO的指导原则确定GPO继承的指导原则确定站点组策略的指导原则部署GPO的指导原则5.9.1规划GPO的指导原则在最高层次上应用GPO设置减少GPO的数量建立专用的GPO禁用计算机配置或用户配置5.9.2确定GPO继承的指导原则只有在需要时才使用Enforced选项慎用BlockInheritance只有在需要时才使用安全过滤5.9.3确定站点组策略的指导原则只有当组策略设置专门用于站点而不是域时才把GPO应用于站点在站点中具有最多域控制器的域上建立GPO5.9.4部署GPO的指导原则测试组策略设置对组策略的规划进行文档记录