win2003活动目录AD域-04扩展组策略

第四章组策略Windows2003AD管理学习目标在完成本章的学习后，您将能够：共同组策略集中管理网络课程安排1.组策略结构2.组策略创建管理3.利用组策略管理用户桌面4.利用组策略发布软件介绍组策略通过使用组策略，可以:可以进行集中化或分散式策略确保用户有适合完成他们工作的环境降低控制用户和计算机环境的总费用推行公司策略组策略结构组策略设置的类型组策略的目标针对计算机和用户的组策略设置组策略目标和活动目录容器组策略设置的类型组策略对象组策略对象包含组策略的设置组件被存储在两个不同的场所组策略容器被定位在活动目录中提供域控制器所需的版本信息组策略模版域控制器上到GPT的的路径是：systemroot\SYSVOL\sysvol运行Windows2000的客户机获得或应用的组策略设置计算机和用户的组策略设置计算机的组策略设置:计算机的组策略设置指定操作系统行为，桌面行为，安全性设置，计算机的启动和关机命令，计算机赋予的应用程序选项以及应用程序设置计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中用户的组策略设置:用户的组策略设置指定特定的操作系统行为，桌面行为，安全性设置，赋予的和公布的应用程序选项，应用程序设置，文件夹得重定向选项以及用户登录和退出登录命令用户相关的组策略应用在用户登录计算机和周期性更新循环的过程中组策略对象和活动目录容器在将GPO和站点，域或组织单元链接后。GPO的设置将应用在站点，域或组织单元的用户和计算机上可以将GPO和多个站点，域以及组织单元链接也可以将多个GPOs和单个站点，域以及组织单元链接管理员不能将GPOs和默认的活动目录容器——计算机，用户和builtin相连处理组策略对象创建已连接的组策略目标创建未连接的组策略目标连接一已存在的组策略目标指定管理组策略目标的域控制器创建已连接的组策略目标为了把组策略应用到容器上,首先要创建连接到容器的GPO:使用“ActiveDirectoryUsersandComputers”创建连接到域和OU的GPO使用“ActiveDirectorySitesandServices”创建连接到站点的GPO创建未连接的组策略目标连接一已存在的组策略目标指定管理组策略目标的域控制器当创建一新的GPO或编辑一已存在的GPO时，默认的，具有PDC操作主控的域控制器将执行该操作制定管理GPO的域控制器的可选项包括:操作主控遵循PDC竞争原则使用活动目录插件的形式使用任何可能得域控制器制定管理GPO的域控制器:使用在组策略快照中的查看菜单下的DC选项命令在组策略设置中指定使用什么域控制器如何在活动目录中应用组策略设置组策略是如何处理的控制组策略的处理组策略和慢速网络连接解决组策略间的冲突组策略生效时机计算机启动计算机设置应用启动脚本运行用户登录用户设置生效登录脚本应用控制组策略的处理同步和异步处理默认的组策略处理是同步的可以通过使用组策略设置将默认的行为改为异步在特定的时间间隔内刷新组策略:域环境中的非域控制器计算机每隔90分钟就会刷新策略，有随机的延迟。域控制器每5分钟刷新一次未发生变更的组策略设置的处理可以配置每一个客户端扩展用于处理所有可用的组策略设置组策略和慢速网络连接组策略能够接受慢速连接组策略使用一种运算法则来确定连接是否为慢速组策略给客户端扩展设定标志指出是慢速连接解决组策略间的冲突除非组策略设置冲突，否则所有的组策略设置都将被执行如果发生冲突，默认的是执行最新的设置来自父容器的GPO设置和来自子容器的GPO设置冲突时，子容器的设置后执行并发挥作用当连接到同一容器上的不同的GPO的设置发生冲突时，在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置课堂讨论：如何执行组策略设置GPO1确保“Favorites”出现在“start”菜单中的组策略设置GPO2andGPO3要求输入一个至少含有11个字符的密码的组策略设置和从开始菜单中移去windows更新图标的组策略设置GPO4从开始菜单中移去“Favorites”图标并添加“WindowsUpdate”图标在OU中用户对象的最终组策略设置是什么?OUSiteDomainGPO1GPO2GPO3GPO4课堂讨论：如何执行组策略设置在OU中用户对象的最终组策略设置是什么?用户密码至少11个子符长Windows更新图标在“start”菜单中出现“Favorites”不出现在“start”菜单中OUSiteDomainGPO1GPO2GPO3GPO4修改组策略的应用选项允许阻止继承允许不重写筛选组策略设置课堂讨论：改变组策略的继承性组策略的继承性Windows2003按照一定的顺序应用GPO设置子容器继承父容器的GPO设置允许阻止继承阻止继承:阻止子容器从所有父容器处继承任一个GPO无法选择阻止哪个GPO不能阻止不重写选项使用“禁止替代”选项禁止替代选项：可以优先于拒绝继承和下层的策略冲突而生效应当在活动目录服务数型结构的上层应用到它链接的范围内的用来强化公司的管理策略筛选组策略设置筛选组策略设置:明确拒绝申请对组策略的许可忽略一验证过的申请组策略许可课堂讨论：改变组策略的继承性确定网络中具备以下条件：在域中的所有计算上安装防病毒程序除了工资部门的用户外所有域中的计算机必须安装微软的办公套件除了工资部门的管理员的计算机外工资部门的所有计算机都必须安装系列商务说明应用程序如何配置GPO来满足上述条件?PayrollSalesContoso.comTraining课堂讨论：改变组策略的继承性如何配置GPO来满足上述条件?创建一连接到域的安装防病毒程序的GPO，将该连接设置为不重写创建可连接另一个域的GPO来安装办公套件在工资部门，允许阻止继承创建和连接到工资部门的GPO在客户机上来安装说明应用程序修改GPO的DACL使得工资管理员使用的计算机说明拒绝申请组策略许可PayrollSalesNwtraders.comTraining委派组策略的管理控制允许一用户管理一站点，域或OU的组策略连接，通过如下方式:赋予用户站点，域或OU的GPOPtions属性的读写权限使用委派控制向导允许用户或小组创建GPO，通过如下方式:将用户或小组添加到组策略创建拥有者小组允许用户编辑GPO，通过以下方式:赋予用户该GPO的读写权限将用户标注为域管理员，企业管理员或GPO创建拥有者小组通过使用GPO属性对话框中的安全性表来保证用户访问GPO监控组策略通过以下方法可以监控组策略:启用事件日志的诊断记录使组策略在事件薄中产生具体事件启用详细记录详细记录将记录所有的变更和应用到本地计算机和登录计算机的用户设置详细记录将添加详细记录的注册关键词最佳实践限制使用阻止，不重写，筛选GPO限制限制影响任一计算机或用户的GPO数目在单个GPO中与设置相关的组把对GPO的管理控制权委派给其他一个或两个用户避免把GPO连接到包含多个域的站点上在执行GPO之前要进行计划和测试管理用户环境简介管理用户环境控制用户有哪些权利使用组策略设置来控制用户环境通过在容器上应用组策略来立即为新用户或计算机指定用户环境集中配置和管理用户环境加强标准配置确保用户有他们自己的桌面和个人数据组装用户桌面确保用户环境安全什么是管理模版管理模版设置修改控制用户环境的注册设置设置在注册子目录树下修改注册设置计算机设置HKEY_LOCAL_MACHINE用户设置HKEY_CURRENT_USER如果GPO不再使用，将删除组策略Windows2003将同时实现组策略和本地预设注册设置，除非两者之间存在着冲突计算机如何实现管理模版设置当客户计算机启动的时候，他重新获得GPO列表并应用，使用户登录客户计算机连接到验证DC的SYSVOL文件夹上，然后确定Registry.pol文件的位置客户计算机把Registry.pol文件中的注册设置和设置值写到适当的子目录树下(HKLMandHKCU)在注册设置实施后，将出现登录对话框或显示桌面管理模版设置类型设置类型控制可使用者Windows组件用户何以访问的Windows2003及其工具和组件部分，包括控制用户对MMC的访问系统登录，退出过程。利用系统设置，可以管理组策略，更新区间，启用磁盘限额和实现回环处理等网络网络连接和拨号连接的属性打印机打印机设置，可以是打印机自动公布在活动目录中，并使基于网络的的打印无效开始菜单和工具栏用户可以从开始菜单中访问的功能部件。可以把开始菜单设置为只读方式，这样可以防止用户修改。桌面活动桌面。通过隐藏某些桌面图标并控制用户对文件夹的使用，可以控制用户对网络的访问控制面板控制面板上的一些应用程序。包括限制对添加/删除程序，显示和打印机的使用禁闭桌面的设置隐藏桌面上所有的图标在退出时不保存设置隐藏我的电脑下具体指定的驱动器从开始菜单中删除“run”菜单禁止用户运行控制面板中的显示功能使与“WindowsUpdate”的连接无效并删除这种连接使工具栏和开始菜单设置的修改无效使关闭命令无效或删除改命令利用组策略设置禁闭桌面环境禁闭用户访问网络资源的设置隐藏桌面上“MyNetworkPlaces”图标删除“MapNetworkDrive”和“DisconnectNetworkDrive”工具菜单:禁用internet选项利用组策略禁闭用户访问网络资源的设置禁闭用户访问管理工具和应用程序的设置从开始菜单中删除“Search”菜单从开始菜单中删除“Run”菜单禁用任务管理器只运行允许的Windows应用程序从开始菜单中删除“Documents”菜单禁用对工具栏和开始菜单设置的修改隐藏开始菜单中普通程序组利用组策略禁闭用户访问管理工具和应用程序的设置组策略中的回环处理模式设置可以把用户管理模版设置应用到计算机上对于指定具体任务的计算机是非常有用的可以被设置为替换模式或合并模式在组策略中分配脚本组策略脚本设置允许你:组策略脚本设置可以集中配置脚本，在计算机启动，关闭，用户登录，退出时自动运行管理和配置用户环境当用户启动计算机，进行登录时:a.Startupscriptsrunb.Logonscriptsrun当用户退出，关闭计算机时:a.Logoffscriptsrunb.ShutdownscriptsrunWindows2003按从上到下的顺序处理脚本用组策略实现脚本设置的过程利用组策略重定向文件夹不管用户从什么客户机上登录，都可以访问文件夹中的数据文件夹中的数据集中存储，因此文件夹中的文件将更便于管理和备份减少网络通信，网络通信只在用户访问文件时才出现文件不在客户计算机上保存选择需要重定向的文件夹文件夹内容重定向到服务器的原因我的文档用户个人的数据开始菜单开始菜单中的文件夹和快捷方式桌面桌面上所有的文件，文件夹和快捷方式应用程序数据由应用程序存储的具体用户的数据用户可以从任何计算机上访问数据，这些数据可以集中地管理和备份用户“start”菜单是标准化的用户具有相同的桌面，不管用户从什么计算机上登录应用程序使用相同的具体用户的数据，不管用户从什么计算机上登录把文件夹重定向到服务器位置介绍软件布置的管理删除删除软件维护软件的安装或重新部署布置安装软件预备获取windows安装程序包文件Windows安装程序Windows安装程序服务Windows安装程序服务是一个使软件安装和配置过程完全自动化的客户端服务Windows安装程序服务也可以修改或修补已经安装的应用程序Windows安装程序包Windows安装程序包包含安装或卸载一个应用程序的windows安装程序服务所需的所有信息一个软件包包含一个Windows安装程序，或.msi文件和安装