第五章组策略.ppt

课前准备工作：1、在Ftp中下载AD相关资料到本地计算机2、两台计算机为一组，用一台交换机相连，按照下表配置3、利用NewSID更改本机SID号4、建立域并使客户机加入域 第5章 组策略 概述 组策略概论 组策略的建立实例 组策略的应用顺序 利用组策略管理用户环境 组策略的委派管理 5.1 组策略概论 什么是组策略？ 组策略的分类 什么是用户配置和计算机配置 组策略对象 5.1.1 什么是组策略？ 5.1.2 组策略的分类 计算机配置 用户配置 5.1.3 什么是用户和计算机配置？ 5.1.4 组策略对象 内建的（默认）GPO 如何建立GPO GPO的组成 内建的（默认）GPO Default Domain Ploicy Default Domain Controller Policy 域中实现GPO 用于建立GPO的工具 默认的组策略工具 Active Directory Users and Computers--域和组织单元GPO Active Directory Sites and Services--站点GPO Local Security Policy--本地计算机安全设置 附加工具 Group Policy Management--域、组织单元和站点GPO 什么是在域中管理GPO？ 在建立GPO之后，便可以配置这个GPO的策略设置。通过把策略防止在不同的GPO中，可以为每个GPO配置不同的策略设置，这样每个GPO只会影响到指定范围中的计算机和用户。当把GPO应用于一个域时，便可以为整个域来配置策略设置。 什么是在域中管理GPO？ GPO的组成 GPO的组成如何设置本地计算机策略 5.1.5 组策略的应用时机 5.1.5 组策略的应用时机 5.2 组策略实例 Group Policy Management Console工具（GPMC） 5.2.1 建立计算机配置 5.2.2 建立用户配置 5.3 组策略的处理规则 组策略的应用顺序 组策略的继承 “强制”(Enforce)处理组策略 “阻止继承”(Block Inheritence)处理组策略 组策略过滤(Filtering) 计算机策略和用户策略冲突策略 5.3.1 组策略的应用顺序 5.3.2 组策略的继承 5.3.2 组策略的继承 结论3.如果各级容器上的组策略设置有冲突，则以最下一级（即范围最小的容器）上的策略设置为准。 5.3.3 “强制”(Enforce)处理组策略 5.3.4 阻止继承(Block Inheritence)处理组策略 5.3.5 组策略过滤(Filtering) 5.3.6 计算机策略和用户策略冲突策略 结论7.如果计算机策略与用户策略发生冲突，以计算机策略为准。 5.4 利用组策略来管理用户环境 管理模板策略 帐号策略 用户权限分配策略 安全选项策略 使用组策略指派脚本 文件夹重定向 5.4.1 管理模板策略 限定用户只可以运行制定的程序（有缺陷的） 隐藏在控制面板内指定的图标 禁用按Ctrl+Alt+Del组合键后错出现对话框的图标 隐藏桌面上所有图标 限制使用IE浏览器的“Internet选项”的部分功能 删除“开始”菜单中的图标 5.4.2 帐号策略 帐号策略包含密码策略、帐户锁定策略、Kerberos策略 对域用户来说，通过默认的Defaule Domain Policy GPO来设置，会被应用到域内的所有用户帐户 对某一级OU配置帐号策略，这个帐号策略只会被应用到位于此OU的计算机内的本机用户帐号。 配置方法：参见教材100页 密码策略 微软推荐使用的最小口令策略 密码策略 【注意】如果是森林中的根域用于才能放管理员帐号，应该考虑使用比域帐号更健壮的口令策略设置，例如：最长口令时间为30天，最短口令时间为7天，最短口令长度为14个字符。 帐户锁定策略 帐号锁定阈值 帐号锁定时间 复位帐号锁定计数器 5.4.3 用户权限分配策略 步骤：Start→Programs→Administraor Tools→Default Domain Security Setting→Local Policies→User Right Assigment 5.4.4 安全选项策略 交互式登录 不需按CTRL+ALT+DEL 不显示上次登陆名 在密码到期前提示用户更改密码 用户试图登陆时消息文字、标题 5.4.5 使用组策略指派脚本 什么是脚本？ 组策略脚本设置的好处？ 如何使用组策略来指派脚本？ 什么是脚本？ “脚本”(Script)是指一个能够执行代码或执行管理任务的批处理文件或Microsoft Visual B