域管理组策略及其应用..ppt

主讲教师:谭鸣钟 第10章 组策略及其应用 主要知识点： 一、活动目录结构和组策略 （了解） 二、配置安全策略 （掌握） 三、管理用户环境 （掌握） 四、文件夹重定向 （掌握） 一　组策略概述 组策略是Windows Server 2003操作系统中提供的一种重要的更新和配置管理技术。系统管理员使用组策略来为计算机和用户组管理桌面配置指定的选项。组策略很灵活，它包括如下的一些选项：基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销，文件重定向等。Windows Server 2003包括几百种可以配置的组策略设置。组策略设置允许企业管理员通过增强和控制用户桌面来减少总的开销。 组策略只允许用户一次性地规定自己的环境，在这之后，依赖操作系统来强制实施。 组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行更改，如：桌面设置、NTUSER.DAT文件中的注册表配置、用户配置文件目录、MyDocuments以及Favorites等。而组策略是由系统管理员管理和维护的，系统管理员使用（MMC，Microsoft Manage Controller）工具来对用户组和计算机组设置策略。 默认情况下，组策略能够从站点、域、最后到组织单元继承而来。应用组策略对象（把它们链接到它们的目标上）的顺序和级别决定了用户或计算机实际能收到的组策略设置。另外，组策略能够在站点、域、组织单元这些级别上被阻塞；组策略还能够基于组策略对象强制实施。这可以通过将组策略对象链接到它们的目标上，然后将链接设置为非覆盖方式来实现。 默认情况下，组策略影响站点、域、或组织单元中所有用户和计算机，而不影响站点、域、或组织单元中的其他对象。 组策略插件为基于注册表的策略、安全设置、软件安装、脚本和文件夹重定向提供内置的特征。用户创建的组策略设置包含在组策略对象中，也可以从属于任何非本地（即基于活动目录）的组策略对象。使用组策略指定的策略设置是Windows Server 2003中启用中心化的更新和配置管理的首选方式。 组策略设置能够： 二 活动目录结构和组策略 组策略的实现是企业在规划活动目录结构设置时需要考虑的因素之一。组策略的基本单元是组策略对象（Group Policy Object）。组策略对象是用户链接所有组策略对象的基本单元。不能仅仅将组策略对象的一个子集链接到目标上。使用安全组来过滤组策略范围同样可达到打开或关闭组策略对象的目的，它不是仅能作用到部分组策略对象上。 有两种类型的组策略对象：本地组策略对象和非本地组策略对象。 组策略对象存储在Windows Server 2003的域中，其作用由它们所链接的站点、域或组织单元启用。 不可能将一组策略对象链接到通常的活动目录容器中。（通常的活动目录容器可以由它在活动目录用户与计算机控制台上的文件夹图标来区分。同一个组织单元中的图标是类似的，除了有一本小书的图形叠放在文件夹上）然而，通常的活动目录容器中的用户和计算机接收这些类型的策略，这些策略继承于链接到较高层次的活动目录的组策略对象。例如，在活动目录用户与计算机中见到的【User】和【Computer】不能有组策略对象直接链接到它们，但是它们可以通过继承接收链接到域的组策略对象。 本地组策略对象首先被应用，然后是链接到站点的组策略对象，再然后是链接到域的组策略对象以特定顺序被应用，最后是链接到组织单元的组策略对象，其顺序是开始于最高层（在活动目录层次）的组织单元（它包含用户或计算机帐户），终止于最低层（最接近用户和计算机）的组织单元（它包含用户和计算机）。在每个组织单元中，任何链接到它的组策略对象以指定的管理顺序被应用。 应用的顺序（本地、站点、域和组织单元）对于活动目录体系结构非常有意义。因为缺省情况下，对每种设置而言，后来被应用的策略覆盖前面应用的策略，而无论后来被应用的策略是“开启”还是“关闭”。设置为“未定义”将不覆盖任何东西（任何早期被应用的设置），“打开”或“关闭”允许保留。 组策略编辑器是如下图所示的MMC插件，它分为两个节点：【计算机配置】和【用户配置】。每个节点包含了各自的安全主体的策略。可以把策略应用到任何一个组策略对象中的两个节点之一。 3、配置安全策略 安全策略用于Windows Server 2003网络的安