第16章组策略摘要.pptVIP

* * * * * * * * 使用组策略卸载软件 16.6 使用脚本管理 为了管理方便，可以在组策略中定义自动运行的脚本，包括计算机配置脚本和用户配置脚本。这样在计算机启动、关闭或用户登录、退出的时候，都可以使用组策略运行相应的脚本，以进行管理。 组策略脚本设置 脚本执行顺序 Windows Server 2008按下列顺序处理并运行指定脚本的组策略： 当用户启动计算机、进行登录时 启动脚本通过缺省，隐藏、同步运行。当脚本同步运行时，每个脚本必须在下一个脚本开始运行之前结束或暂停运行。 登录脚本通过缺省，隐藏、非同步运行。当脚本非同步运行时，即使先前的脚本正在运行，还可以开始运行另一个脚本。多个脚本可以同时运行。 当用户退出、关闭计算机时： 退出脚本运行。 关闭脚本运行。 使用登录脚本管理用户环境 Administrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。 Guest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常分配给它一个口令。 16.7 使用组策略管理工具管理组策略 组策略管理控制台（GPMC）为管理组策略提供了新的框架。通过GPMC，系统管理员可以更容易地使用组策略，公司也能够更好地利用活动目录服务，从其强大的管理特性中获益。例如，GPMC能够备份和恢复GPO，导入/导出和复制/粘贴GPO等。 组策略管理包括创建组策略、删除组策略、查看组策略设置、备份全部组策略、备份单个组策略、还原组策略等。 安装组策略管理工具 在GPMC中创建组策略 查看组策略设置 指定组策略的状态 查看组策略作用域 备份组策略 删除/还原组策略 16.8 监控组策略应用 系统管理员在实施组策略时可能会遇到问题，如域中的计算机应用完组策略后计算机设置没有达到预期的设置，或用户登录后应用完组策略中用户设置后没有达到预期的效果等。这就需要管理员能够快速找到组策略没有正确应用的原因。 在解决组策略问题时，必须考虑到各个组件之间的依赖关系，比如组策略依赖活动目录，活动目录依赖网络服务的正确配置等。 Windows Server 2008提供了两个新的组策略管理功能帮助系统管理员确定组策略对某个特定用户或计算机的设置，即组策略建模和组策略结果。 实施组策略时的常见问题 问题一、 在试图打开或编辑组策略时，接收到错误信息称组策略对象不能被访问或打开。该问题可能的原因和解决方案如下： 可能没有访问GPO的权限。检查试图打开或访问的GPO的DACL，必须拥有打开或访问的GPO的读写权限。 组策略试图连接的域控制器不在线或域控制器不能用域名系统来解析。确认域控制器在线，如果在线，确认能够使用域名系统来解析域控制器的域名。 实施组策略时的常见问题（续） 问题二、 组策略设置不发挥预期功能。该问题的可能原因和解决方案如下： 继承冲突 如果显示组策略设置没有应用，问题可能是由继承冲突引起的。从活动目录继承的顶端开始，检查连接到每个域、站点、组织单位的GPO顺序，这些GPO可能影响还没有接受组策略设置的用户或计算机。然后查看在计算机和用户设置之间是否有冲突，记住，在绝大多数情况下，如果发生冲突，计算机设置优先于用户设置；检查禁止覆盖的GPO连接以及检查阻止继承的域和组织单位。 实施组策略时的常见问题（续） 权限问题 检查希望应用的GPO的DACL。确保用户和计算机账户有需要应用的所有GPO的读和申请组策略设置的权限；同时，检查计算机或用户账户的安全组成员资格，确保账户是其成员之一的安全组在DACL中列出；同时，检查拒绝ACE。记住拒绝优先于所有的允许权限。 禁用GPO节点 检查所有的GPO，查看计算机配置或用户配置节点是否已经禁用。 复制问题 确保活动目录复制和Sysvol复制的完成。记住如果GPO的GPC和GPT部分都没有复制，组策略将无法运行。 实施组策略时的常见问题（续） 域之间的GPO链接问题 如果一个站点、域或组织单位链接到另一个域的GPO上，可以通过信任关系访问该GPO。如果由于某种原因信任遭到破坏，对链接的GPO的访问以及组策略的执行就会失败。可以通过每个域有多个域控制器或在域间创建明确的信任机制来阻止这种类型问题的发生。 移动了的计算机或用户 客户机每30分钟会缓存活动目录的位置。如果计算机或用户账户从一个组织单位移到