AD-组策略全解.pptVIP

2.更改“用户配置”的应用间隔时间 同更改“计算机配置”的应用间隔时间一样，只需要在“用户配置”下更改即可。 组策略的委派管理 我们可以将GPO的链接、添加与编辑等管理工作，分派给不同的用户负责，以分散、 减轻GPO的管理负担。 系统默认Domain Admins或Enterprise Admins组内的用户可以将GPO链接到站点、域或 OU；一般用户没有这个权限，但只要他们拥有对站点、域或OU的gPLink与gPOptions这两 个属性的读取与写入权限，就可以将GPO链接到站点、域或OU。 我们可以通过“委派控制”的方式来赋予一般用户这些权限。以下我们要将“业务部” OU的gPLink与gPOptions两个属性的读取与写入权限，开放给用户“王乔治”，让他可以将 GPO链接“业务部”OU。 步骤1 执行操作：“开始”→“管理工具”→“Active Directory 用户和计算机”→ 右击“一年级”OU→“委派控制”。 步骤2 出现“欢迎使用委派控制向导”对话框时单击“下一步”按钮。 步骤3 在如图所示对话框中单击“添加”按钮。 步骤4 在如图所示对话框中选择用户“张三”， 步骤5 在如图所示对话框中单击“下一步”按钮。 步骤6 在如图所示对话框中选择自己想要委派的选项后，并单击“下一步”按钮。 也可以选择“建立自订工作来委派”，个属性的权限开放给用户“王乔治” 步骤7 在如图所示对话框中单击“完成”按钮。 * 提升服务、力争优秀 提升服务、力争优秀 提升服务、力争优秀 提升服务、力争优秀 提升服务、力争优秀 AD--组策略 大纲 组策略概述 组策略的处理规则 组策略的委派管理 一组策略概述 组策略提供的功能 组策略分类 组策略对象 组策略应用时间 组策略提供的功能 组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了系统管理员的管理负担。 组策略所提供的功能如下所示： ? 账户策略的设定例如设定用户密码的长度、密码使用期限、账户锁定策略等。 ? 本地策略的设定例如审核策略的设定、用户权限的指派、安全性的设定。 ? 脚本（scripts）的设定例如登录/注销、启动/关机脚本的设定。 ? 用户工作环境的设定例如隐藏用户桌面上所有的图标，删除“开始”菜单中的“运 行”/“搜索”/“关机”等功能，在“开始”菜单中添加“注销”的功能等。 ? 软件的安装与删除用户登录或计算机启动时，自动为用户安装应用软件、自动修 复应用软件或自动删除应用软件。 ? 限制软件的运行通过各种不同软件限制的规则，来限制域用户只能运行某些软 件。 ? 文件夹转移例如改变“我的文档”、“开始菜单”等文件夹的存储位置。 ? 其他系统设定例如让所有的计算机都自动信任指定的CA（Certificate Authority） 组策略中包含“计算机配置（computer configuration）”与“用户配置（user configuration）” 两部分： ? 计算机配置当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机 的环境。举例来说，如果针对域配置了组策略，那么此组策略内的“计算 机配置”就会被应用到此域内的所有计算机。 ? 用户配置当用户登录时，系统就会根据“用户配置”的内容来配置用户的工作环 境。举例来说，如果针对“业务部”OU设定了组策略，那么此组策略内的“用户 配置”就会被应用到此OU内的所有用户。 除了可以针对站点、域与OU来设定组策略之外，还可以针对每一台计算机配置“本地计算机策略（local computer policy）”，这个计算机策略只会应用到本地计算机以及在此计算机登录的所有用户。 组策略分类 组策略对象 组策略是通过“组策略对象（Group Policy Object，GPO）”来设定的，只要将GPO链接到指定的站点、域或OU，该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机。 内建的 GPO系统已经有两个内建的GPO，分别是： ? Default Domain Ploicy 此GPO已经被链接到域，因此它的设定值会被应用到整个域内的所有用户与计算机。 ? Default Domain Controller Policy 此GPO已经被链接到Domain C