第四讲 组策略的基本原理和使用组策略管理用户环境

第4讲组策略基本原理和使用组策略管理用户环境课程导入在ActiveDirectory目录服务中使用组策略管理用户和计算机。组策略有哪些用途和功能？如何使用和管理组策略对象？第4讲组策略基本原理和使用组策略管理用户环境课程内容实现组策略对象在域中实现组策略对象组策略部署管理多媒体组策略介绍目的：介绍组策略在管理用户和计算机环境中的角色域OU站点GPO实现组策略对象组策略用户和计算机的配置设置设置本地计算机策略设置课堂练习设置本地计算机策略设置组策略组策略组策略设置定义了系统管理员需要管理的用户桌面环境中各种组件用户可用的程序用户桌面上出现的程序以及“开始”菜单选项为特定用户组创建特殊的桌面配置可以使用组策略对象编辑器指定的组策略设置包含在组策略对象中组策略对象与选定的ActiveDirectory对象（即站点、域或组织单位）相关联组策略用户配置：桌面设置软件设置Windows设置安全设置组策略计算机配置：桌面设置软件设置Windows设置安全设置用户和计算机的配置设置课堂练习设置本地计算机策略设置目的：掌握设置本地计算机策略设置场景：你是Nwtraders公司的系统管理员，你希望把策略设置部署到生产服务器上之前，对一些本地策略设置进行测试。你需要在你的服务器上设置一些本地计算机策略设置，并对这些设置进行测试，以保证其正常工作。课堂练习设置本地计算机策略设置（续）主要步骤：1.把组策略对象编辑器添加到管理控制台中.2.用本地策略设置阻止用户关闭服务器3.测试此策略设置将阻止用户关闭服务器第4讲组策略基本原理和使用组策略管理用户环境实现组策略对象在域中实现组策略对象组策略部署管理在域中实现组策略对象创建组策略对象的工具域上的组策略对象管理创建组策略对象课堂练习创建组策略对象组策略对象链接创建链接的组策略对象ActiveDirectory中组策略权限的继承创建组策略对象的工具默认组策略工具ActiveDirectory用户和计算机域和组织单位组策略对象ActiveDirectory站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象ActiveDirectory站点和服务ActiveDirectory用户和计算机附加工具创建组策略对象演示：演示组策略对象的创建方法课堂练习创建组策略对象目的：通过组策略管理器创建组策略场景：你是Nwtraders公司的系统管理员，你打算在实验环境中测试组策略设置，这些组策略设置将用于以后的可扩展性测试。你需要在组策略对象容器中创建一个名为“GlasgowGP”的组策略对象。组策略对象链接组织单位GPO组织单位GPO站点GPO域GPO站点域OUOUOU所有组策略对象都存储在ActiveDirectory中一个称作“组策略对象”的容器中当站点、域或组织单位实现组策略对象时，该组策略对象会被链接到组策略对象容器上。这样，就可以对多个域或组织单位集中管理和配置组策略对象组策略对象链接组策略对象链接创建并链接GPO链接现有GPO解除GPO链接删除GPO链接删除GPO停用GPO创建链接的组策略对象演示：演示组策略对象链接的创建ActiveDirectory中组策略权限的继承域OUOUOUOUOU用户或计算机账户OUGPO1OUGPO3OUGPO2阻止策略继承要阻止策略在域或组织单位中继承ActiveDirectory用户和计算机管理工具要阻止策略在站点上继承ActiveDirectory站点和服务管理工具课堂练习创建组策略对象链接目的：掌握创建组策略对象链接场景：你需要已创建的一个名为“GlasgowGP”的组策略对象链接到“ITTest/Glasgow”组织单位上。第4讲组策略基本原理和使用组策略管理用户环境实现组策略对象在域上实现组策略对象组策略部署管理组策略部署管理处理组策略对象冲突阻止组策略对象部署阻止组策略对象部署的步骤组策略对象链接的属性配置组策略的强制执行组策略对象部署的筛选课堂讨论组策略继承的修改配置组策略筛选课堂练习管理组策略部署处理组策略对象冲突冲突解决在ActiveDirectory层次中组策略设置发生冲突时，应用子容器的组策略对象设置修改继承选项不覆盖阻止策略继承阻止组策略对象部署销售生产域组策略对象没有组策略对象设置应用阻止组策略对象部署的步骤演示：阻止组策略对象部署的步骤组策略对象链接的属性强制链接冲突课堂演示：组策略对象链接的属性配置组策略的强制执行课堂演示：配置组策略的强制执行组策略对象部署的筛选销售生产域MengphKimyo组应用组策略拒绝读取和应用组策略允许GPO课堂讨论组策略继承的修改你该如何设置组策略对象？薪资销售Contoso.msft培训要求：域中所有计算机必须安装防病毒程序域中所有计算机必须安装Office组件除了薪资部门薪资部门里除了管理人员以外的所有客户端计算机都必须安装财务应用程序配置组策略筛选演示：配置组策略筛选课堂练习组策略管理部署City标准桌面City财务应用程序City市场应用程序CityNameITTestDomainAccountingEmployeesMarketingEmployeesTempEmployeesTempEmployees课堂练习组策略管理部署目的：连接组策略对象到组织单位多个组策略对象分配后确定继承的有效性阻止组策略继承强制组策略对象应用到下一级组织单位通过筛选组策略对象以至于组织单位中选中的用户和组得以应用课堂练习组策略管理部署(续)场景:Nwtraders公司要求你在“ITTest”组织单位中创建一个组织单位层次结构，该组织单位层次结构见下图，还要求你创建组策略对象，用于安装会计应用软件和营销应用软件。会计软件和营销软件将安装到所有“Accounting”和“Marketing”组织单位员工的计算机上，但是推迟为临时员工部署应用软件。如果临时员工准备使用软件时，能够很快启用这些应用软件。图组策略部署ITTestGlasgowMarketingAccountingEmployeesTempEmployeesEmployees标准桌面财务应用软件营销应用软件TempEmployees课堂练习组策略管理部署(续)步骤:1.创建与上图相匹配的组织单位结构2.创建三个组策略对象GlasgowStandardDesktopGlasgowAccountingAppsGlasgowMarketingApps3.创建强制执行的组策略对象链接4.配制组策略对象安全筛选器5.配置组策略对象阻止继承组策略使用的最佳实践不要处理未被配置的策略设置要防止整个组策略对象影响站点、域和组织单位及时删除不再使用的组策略对象尽量少用“阻止策略继承”和“禁止替代”功能仅在必要时才用基于计算机的组策略替代基于用户的组策略避免跨域指派组策略对象不要将一个组策略对象多次链接到同一组织单位随堂练习1你是活动目录域dm.com的管理员。网络中只有一个域，所有域服务器安装WindowsServer2003系统。所有3500个用户账户保存在默认用户容器中。所有用户的部门属性都已经设置好。你现在需要将所有部门属性设置为Sales的账户放在SalesOU中。由于时间紧急，你希望自动完成添加过程。你应当执行哪两个步骤？A.使用适当的命令参数运行dsmod命令B.使用适当的命令参数运行dsget命令C.使用适当的命令参数运行dsquery命令D.使用适当的命令参数运行dsmove命令E.使用适当的命令参数运行dsrm命令F.使用适当的命令参数运行find命令随堂练习2你是活动目录域dm.com的管理员。网络中只有一个域，所有域服务器安装WindowsServer2003系统。公司购买了一台新的服务器用于测试应用程序。公司的安全策略要求半小时内三次使用错误密码登录，账户将被锁定。你发现新的服务器的账户在锁定半小时后又能登录。你要确保公司的安全策略，应当如何做？A.设置“复位锁定计数”为1B.设置“复位锁定计数”为99999C.设置“账户锁定时间”为0D.设置“账户锁定时间”为99999随堂练习3你是活动目录域dm.com的管理员。网络中只有一个域，所有域服务器安装WindowsServer2003系统。所有的客户计算机使用WindowsXPProfessional。一些用户使用移动计算机，其余的人使用台式机。你要使得所有用户在登录时在域控制器上验证。你应当如何修改本地安全策略？A.请求域控制器验证解除计算机锁定B.缓存零个对话式登录C.授予Users组“登录本地”用户权限随堂练习4你是活动目录域dm.com的管理员。网络中只有一个域，所有域服务器安装WindowsServer2003系统。用户Tom收到一台新计算机Client1。他一直能够正常登录到域中。第二天他再次登录时，虽然域名出现在对话框的域下拉框中，却无法登录。你在这台机器上也无法登录到域中。你查看系统日志发现错误信息：“NETLOGONEventID3210:Failedtoauthenticatewith\\Server5,aWindowsNTdomaincontrollerfordomainDM”你查看了活动目录用户和计算机中没有Client1。为了让Tom成功登录，你应当如何做？A.重新创建Tom的用户账户并将他加入合适的安全组B.运行命令netdomreset$Client1/domain:dm并重新启动Client1C.将Client1加入一个工作组，将Client1加入到域中D.在活动目录用户和计算机中重设Server5的计算机账户随堂练习5你是活动目录域dm.com的管理员。网络中只有一个域，所有域服务器安装WindowsServer2003系统。用户Tom报告说他无法从他的计算机上登录到域中。Tom收到登录消息：随堂练习5你要让Tom成功登录到域中，你应当如何做？A.使用适当的参数运行命令netuserB.使用适当的参数运行命令netaccountsC.使用适当的参数运行命令dsmoduserD.添加Tom到Users组第4讲组策略基本原理和使用组策略管理用户环境课程导入如何使用组策略管理用户环境,如：使用组策略配置“文件夹重定向”、Microsoft®InternetExplorer网络连接和用户桌面等第4讲组策略基本原理和使用组策略管理用户环境课程内容:配置组策略设置使用组策略指派脚本配置“文件夹重定向”确定已应用的策略对象配置组策略设置使用组策略的原因禁用和启用的组策略设置编辑组策略设置课堂练习编辑组策略设置使用组策略的原因使用组策略目的：管理用户和计算机部署软件强制安全设置强制一致的桌面环境禁用和启用的组策略设置多值设置启用/禁用课堂练习编辑组策略设置目的：编辑组策略设置场景：Nwtraders公司必须应用“GlasgowStandardDesktop”组策略对象。“GlasgowStandardDesktop”组策略对象已链接到“ITTest/Glasgow”组织单位。“GlasgowStandardDesktop”组策略对象实现下列组策略设置。从“开始”菜单中删除“运行”菜单禁止访问“控制面板”隐藏桌面上的“网上邻居”图标从“开始”菜单删除“网络连接”删除“映射网络驱动器”和“断开网络驱动器”第4讲组策略基本原理和使用组策略管理用户环境配置组策略设置使用组策略指派脚本配置“文件夹重定向”确定已应用的策略对象使用组策略指派脚本组策略脚本设置使用组策略指派脚本的方法设置域控制器上的脚本指派计算机启动脚本指派计算机关机脚本指派用户登录脚本指派用户注销脚本课堂练习使用组策略指派脚本组策略脚本设置SetobjNetwork=Wscript.CreateObject(WScript.Network)objNetwork.MapNetworkDriveG:,\\ComputerName\ComputerNameDatamsgboxYourScriptworked!!!!!课