经典win2003教程之十一：组策略

打造“香港上市职业教育高端品牌”组策略打造“香港上市职业教育高端品牌”2019/9/9Page2/22组策略的作用2-1•方便地管理AD中的计算机和用户–用户桌面环境–计算机启动/关机与用户登录/注销时所执行的脚本文件–软件分发–安全设置域域控制器组策略活动目录打造“香港上市职业教育高端品牌”2019/9/9Page3/22组策略的作用2-2•使用组策略可以–对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境–降低布置用户和计算机环境的总费用•因为只须设置一次，相应的用户或计算机即可全部使用规定的设置•减少用户不正确配置环境的可能性–推行公司使用计算机规范•桌面环境规范•安全策略•组策略适用哪些操作系统打造“香港上市职业教育高端品牌”2019/9/9Page4/22组策略结构3-1•组策略的具体设置数据保存在GPO中•默认的2个GPO–默认域策略–默认域控制器策略•GPO所链接的对象–SDOU•GPO控制–SDOU中的计算机和用户SDOUGPO计算机用户组策略打造“香港上市职业教育高端品牌”2019/9/9Page5/22组策略结构3-2•站点的概念–活动目录中的站点是从物理上抽象的概念–由一个或几个通过高速联接在一起的IP子网组成•站点和域的关系–一个站点中可以有多个域–一个域中可以有多个站点•站点的主要作用–优化复制–使用户能够使用可靠、高速的连接登录到域控制器上打造“香港上市职业教育高端品牌”2019/9/9Page6/22组策略结构3-3•GPC（组策略容器）与GPT（组策略模板）–GPC：GPC是包含GPO属性和版本信息的活动目录对象–GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构打造“香港上市职业教育高端品牌”2019/9/9Page7/22组策略简单应用•XXX公司要求销售部的员工不能随意更改桌面背景•步骤–1）右击销售部OU|【属性】|【组策略】，单击【新建】，输入GPO的名字为“销售部GPO”–2）打开【组策略编辑器】|【用户配置】|【管理模板】|【控制面板】|【显示】|选择“阻止更改墙纸”–3）双击“阻止更改墙纸”，启用该策略，然后关闭【组策略编辑器】打造“香港上市职业教育高端品牌”2019/9/9Page8/22计算机配置与用户配置2-1•计算机配置–软件设置–Windows设置•脚本•安全设置–管理模板•Windows组件•系统•网络•打印机打造“香港上市职业教育高端品牌”2019/9/9Page9/22计算机配置与用户配置2-2•用户配置–软件设置–Windows设置•远程安装服务•脚本（登录/注销）•安全设置•文件夹重定向•IE浏览器维护‒管理模板•Windows组件•任务栏和【开始】菜单•桌面•控制面板•共享文件夹•网络•系统打造“香港上市职业教育高端品牌”2019/9/9Page10/22组策略应用规则•继承与阻止继承•累加•应用顺序•强制生效•筛选打造“香港上市职业教育高端品牌”2019/9/9Page11/22继承与阻止继承•在默认情况下，下层容器会继承来自上层容器的GPO（组策略对象）–例如•销售部OU的GPO中设置IE主页URL为•北京销售部OU中的用户登录客户机后，IE的主页地址为“”•子容器可以阻止继承上级的组策略–例如•销售部OU的GPO中设置主页URL为•右击北京销售部|【属性】|【组策略】选项卡，选中【阻止策略继承】选项•北京销售部OU中的用户登录客户机后，IE的主页地址不是“”打造“香港上市职业教育高端品牌”2019/9/9Page12/22累加•容器的多个组策略设置如果不冲突，则最终的有效策略是所有组策略设置的总和•容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置是否冲突OU的有效设置域：IE主页设置为：已启用“阻止更改墙纸”否IE主页设置为阻止更改墙纸域：已启用“阻止更改墙纸”OU：已禁用“阻止更改墙纸”是可以更改墙纸打造“香港上市职业教育高端品牌”2019/9/9Page13/22应用顺序•本地组策略对象–每台运行WindowsXP/2000/2003的计算机都只有一个本地组策略对象–打开本地GPO的2种方法•MMC和gpedit.msc•组策略按以下顺序被应用：LSDOU1）首先本地组策略对象2）如果有站点组策略，则应用之3）然后应用域组策略对象4）如果计算机或用户属于某个OU，则应用之5）如果计算机或用户属于某个OU的子OU，则应用之打造“香港上市职业教育高端品牌”2019/9/9Page14/22强制生效销售部工程部域冲突GPO设置“强制生效”的GPO设置强制生效是上级容器强制下级容器执行其GPO设置‒如果销售部OU阻止继承域的策略‒或者销售部OU与域的GPO设置冲突销售部应用域的GPO设置强制生效打造“香港上市职业教育高端品牌”2019/9/9Page15/22筛选组策略设置域销售部salemanagerSales不受GPO影响受GPO影响GPO设置筛选可以阻止一个GPO应用于容器内的特定计算机和用户演示演示验证筛选效果‒设置读取和应用组策略的权限允许拒绝打造“香港上市职业教育高端品牌”2019/9/9Page16/22利用GPO实现软件设置•分发软件•修复软件•删除软件打造“香港上市职业教育高端品牌”2019/9/9Page17/22分发软件•分发软件的步骤–1）获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件–2）将软件安装文件放到一个软件分发点–3）创建或修改GPO•指派与发布的区别–指派，程序在【开始】菜单中–发布，程序显示在【控制面板】|【添加/删除程序】中打造“香港上市职业教育高端品牌”2019/9/9Page18/22修复软件•如果用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复•如果原来软件分发点上的安装文件发生丢失或损坏–在服务器上修复该软件的源文件–重新部署一次打造“香港上市职业教育高端品牌”2019/9/9Page19/22删除软件•【立即从用户和计算机卸载软件】：下一次用户登录或计算机启动时，软件会被强制删除•【允许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不允许重新安装打造“香港上市职业教育高端品牌”2019/9/9Page20/22实验•任务1组策略简单应用•任务2利用GPO分发Windows2003管理工具包打造“香港上市职业教育高端品牌”2019/9/9Page21/22任务1组策略简单应用•背景–BENET公司为了统一公司的桌面设置，所有域用户不能随意修改背景–如何利用组策略实现此功能•完成标准–编辑默认域策略–管理员账户登录成员计算机不能修改桌面背景打造“香港上市职业教育高端品牌”2019/9/9Page22/22任务2利用GPO分发管理工具包•背景–BENET公司需要为域中的每个用户安装“WindowsServer2003管理工具包”–如何使用组策略实现此功能•完成标准–编辑GPO，实现指派方式的软件分发–在成员计算机上的【开始】菜单的【管理工具】中增加了许多服务管理工具