AD Group Policy组策略最佳实践.pptxVIP

Group Policy 组策略最佳实践议程组策略的概念组策略的种类组策略相关工具介绍策略项目功能详解利用组策略进行程序安装组策略最佳实践组策略工具排错与修复组策略2008之后版本新功能Preference 首选项综合案例组策略对象及相关概念组策略的概念组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准。 组策略的功能支持用户和计算机使用ONE-MANY的管理方式可以强制实施基于企业的Baseline 相关的标准简化管理任务统一企业桌面标准基于自动化脚本减轻IT工作任务用户\计算机\OU\组策略的关系用户隶属于OU，OU可套用组策略基于通俗的方式来说，OU 就是中国的一个省，用户是这个省的公民，而策略就是这个省的当地法律,计算机和用户就是这个省的男公民和女公民系统默认策略Default Domain Policy 默认域全局策略，针对整个活动目录执行的策略标准Default Domain Control Policy 针对活动目录所有的域控制器的策略，组策略存储位置组策略对象（由GUID标志，在域级别存储）组策略种类及配置组策略的种类-本地策略 - Slide 基于客户端本地的安全策略模版的设置，可设置的项目少，如果加入域。大部分功能会被域组策略取代组策略的种类-域策略 - Slide 基于活动目录策略模版的策略设置集合，所有的文件保存在SYSVOL中。可以链接组策略的对象 - Slide 计算机应用策略的前提条件 - Slide 1.计算机和用户必须位于GPO 所连接的OU上面2.对GPO 有读取和应用的权限组策略的配置项目计算机策略 应用到计算机上面的策略，这个策略如果需要运行，则必须计算机隶属于这个策略所在的OU或者下层OU用户策略 策略只应用到这个OU上的用户，其他对象不收到影响 - Slide 组策略刷新周期默认是90分钟，可以修改。使用GPUPDATE /Force立即生效 - Slide 组策略的执行顺序 - Slide 如果出现了策略冲突-后执行的优先级别高 - Slide 1.计算机和用户策略冲突则覆盖用户策略 如果用户在阻止文件中有冲突，可以看看结果2.不同层次的策略产生冲突时，子容器的GPO 优先级别高3.同一个容器上多个GPO冲突时，最高位置最后执行，所以优先级别高改变优先级别的方法 - Slide 阻止继承强制（禁止替代）修改安全筛选组策略安全过滤 - Slide 防止不该运用策略的用户运行，利用安全的选项设置 DEMO基于慢速网络的组策略应用 - Slide 慢速网络的定义： 速度低于500K的网络,用户可自定义 慢速网络以下策略不会被应用： 1.软件部署 2.脚本 3.文件夹重定向组策略的执行模式 - Slide 同步模式-基于Windows 2000、2003组策略应用模式异步模式-基于Windows XP的登陆模式 如果需要用户完全应用到策略，则必须使用将异步模式修改为同步模式组策略环回处理 - Slide 什么是组策略环回处理呢？ 组策略对象有用户和计算机策略，通常对于普通用户来说，计算机策略和用户策略都会执行。但是对于非需要定制的用户，比如公共计算机或者大量用户公用计算机，我们则不需要对用户实现策略控管，这个时候我们就不用执行用户策略 一般使用地点：公共教室、公共使用电脑 两种模式：替换模式，只执行计算机策略，不执行用户策略 合并模式，执行用户和计算机策略，当用户策略和计算机策略相冲突的时候，以计算机策略为准 组策略编辑工具介绍组策略管理工具 - Slide GPMC GPMC工具介绍 组策略创建、编辑与链接 组策略的复制粘贴 组策略的备份与还原 组策略结果集 组策略建模 迁移组策略 GPMC 管理工具 - Slide 属于MMC管理控制管理单元 一组可编写脚本的组策略管理接口GPMC的设计意图在于提供一个统一的场所来实现组简化组策略简化管理 实现组策略所有相关的管理任务一站式影响GPO作用范围的因素 - Slide 设置强制还是拒绝继承？安全筛选器WMI筛选器组策略的编辑与链接DEMO - Slide 组策略建模 - Slide 基于组策略现有设置进行预执行了解整个结果集来判断是否符合预期要求组策略结果集 - Slide 基于组策略实际计算机执行组策略结果后的运行集合组策略的复制与粘贴 - Slide 域内复制跨域、跨森林复制组策略的备份与还原DEMO - Slide 组策略备份的内容 - Slide GPO的名称、GUIDGPO的设置GPO的DACL（自定义访问列表）WMI筛选器链接（不是筛选器对象）执行备份的时间戳组策略的还原DEMO - Slide 组策略的导入可以由备份的策略导