使用组策略管理用户环境重点.ppt

第10章 使用组策略管理用户环境 了解用户环境管理的任务，掌握管理模板的使用方法以及常用的安全设置。掌握使用组策略设置脚本、重定向文件夹、部署软件的方法，学会配置安全策略、使用安全模板、使用安全配置和分析工具，掌握如何设置审核策略，并审核特定的行为。 10.1 用户环境管理概述 用户环境管理是指系统管理员通过组策略来管理用户使用计算机的工作环境，例如，可以管理用户的桌面、网络连接和其他操作界面等，确保用户拥有完成自己工作所必需的环境，防止用户错误配置计算机。 常用来管理用户环境的组策略类型包括：管理模板设置、脚本设置、文件夹重定向和安全设置等。 10.2 使用组策略的管理模板 10.2.1 管理模板的类型 管理模板主要由8种类型构成，每种类型都包括用户设置和计算机设置。 10.2.2 常用的安全设置 常用的安全设置包括： 桌面的安全设置 用户访问网络资源的安全设置 用户访问管理工具和应用程序的安全设置 10.2.3 使用管理模板 1．选择设置状态 通常有三种选择，有时还需要提供其他信息。 未配置 忽略该设置，不会改变注册表设置文件内相应的值。 启用 采用该设置，并改变相应的注册表设置文件。 禁用 禁止采用该设置，不允许改变相应的注册表设置文件。 2．对管理模板设置的访问 10.3 使用组策略指定脚本 在组策略的计算机设置和用户设置下都有脚本设置。在计算机启动/关机时或者在用户登录/注销时，都可以利用脚本设置让系统自动运行脚本。 同其他的组策略设置一样，该设置只需进行一次配置，之后就会持续在整个网络内执行。 10.3.1 组策略脚本设置概述 组策略中脚本设置是指配置在计算机启动/关机时或者在用户登录/注销时自动运行脚本。脚本是在Windows 平台上能够运行的脚本，包括批处理文件、可执行程序以及Windows脚本宿主支持的其他脚本。 10.3.2 指定组策略脚本设置 可以设置让域用户在登录时，系统就自动运行“登录脚本(logon script)”，而当用户注销时，就自动运行“注销脚本(logoff script)”； 也可以设置让计算机在开机时，就自动运行“启动脚本(startup script)”，而关机时就运行“关机脚本(shutdown script)”。 1．登录/注销脚本的设定 2．启动/关机脚本的设置 10.4 使用组策略重定向文件夹 重定向文件夹是指把特殊文件夹的存储位置由用户的本地计算机重定向到网络服务器上的共享文件夹内。通过重定向文件夹，可以保证用户的数据存储在网络服务器上的一个集中位置上，便于集中管理。同时也可以保证用户无论从哪一台计算机登录都可以访问到他们的数据。 10.4.1 文件夹重定向概述 默认情况下，“我的文档”、“开始菜单”等文件夹存储在本地计算机内，这些文件夹都是自动生成的，它们是每个用户帐户的用户配置文件的一部分。 根据用户和网络管理的需要，可以利用组策略重定向的特殊文件夹包括： Application data 包含用户在应用程序内的专属数据，例如个人设定数据。 桌面 包含用户在桌面上所建立的文件夹、文件、快捷方式等。 我的文档(My Documents) 存储用户个人文件的文件夹。 [开始]菜单 存储用户个人在[开始]菜单中的文件夹、快捷方式等。 重定向文件夹，有以下好处： 用户从不同的客户端计算机登录都可以访问到文件夹内的数据。 文件夹内的数据被集中存储，利于对数据进行集中管理，例如，管理员在进行日常维护时就可以备份这些数据，可以利用组策略设置磁盘配额，限制用户特殊文件夹所占的磁盘空间等。 重定向文件夹内的文件在用户登录的计算机上没有副本，不占用客户端计算机的存储空间，而且一些机密的数据也不会留在客户端计算机上。 10.4.2 文件夹重定向设置 1．重定向“我的文档” 2．文件夹重定向设置 10.5 软件部署与管理 利用组策略可以为网络中的计算机部署软件，也就是为这些计算机安装、维护和删除软件，让网络内的用户很容易的拥有这些软件。 10.5.1 软件部署概述 软件的部署分为“指派”与“发布”两种。 发布的软件一般为“Windows Installer Package”，它包含一个扩展名为 .msi的文件，其中包含安装和删除特定应用程序所需的显式指令，具有用于软件安装和维护的高级功能。例如，Microsoft Office就是 “Windows installer Package”，Windows Server 2003 利用Windows Installer service 来安装Windows Installer Package 的。 1．指派软件给用户 使用组策略指派一个软件给域内的用户后，当用户从域内的任何一台计算机登录时，这个软件就会被通告给该用户，但是这个软