第二章 组策略及其应用.pptVIP

第二章组策略及其应用 学习目标 了解组策略是什么 了解组策略的相关处理规则 掌握利用组策略管理用户环境 学习组策略的委派管理 学习将软件分布给用户 学习将软件指派给用户或计算机 了解软件升级与重新部署 学习修改部署的软件 理解发布“非-MSI”的软件 了解软件部署的其他设置 了解软件包装程序 了解什么是软件限制策略 了解软件限制策略的优先级 了解软件限制策略的相关规则 了解哈希规则、路径规则、Internet区域规则 掌握软件限制策略的应用环境 组策略概论 组策略是一种在用户或计算机集合上强制使用一些配置的方法，定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户设置统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等各种配置。 网络管理主要是依赖组策略来进行，它是在活动目录上的最大应用。在此要说明的是，“组策略”中的“组”和本地用户组并没有什么直接关系，不要把组策略理解为针对用户组所配置的策略。 简单理解，组策略就是一套Windows Server 2003的配置方案，如图标、菜单的设置，这套方案可以应用到一批计算机或用户上。 组策略概论 组策略的功能 账户策略的设定：如设定用户密码长度、使用期限等 本地策略的设定：如用户权限的指派、安全性设定等 脚本(scripts)的设定：如登录、关机脚本的设定等 用户工作环境的设定：如隐藏桌面图标等 软件的安装和删除：如自动为用户安装、删除软件等 限制软件的运行：如限制域用户运行某些软件 文件夹重定向：如更改文件夹的存储位置 其他系统设定：如让计算机自动信任指定的CA 组策略的配置包括:计算机配置和用户配置 组策略概论 计算机配置：用于管理控制计算机特定项目的策略，包括桌面外观、安全设置、文件部署、应用程序分配、计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。 用户配置：用于管理控制更多用户特定项目的管理策略，包括应用程序配置、桌面配置、应用程序分配、计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。 组策略概论 组策略的对象：如域中的计算机、用户、打印机、用户数据等等。 内建GPO (Group Policy object) Default Domain Policy:默认域组策略，此策略已连接到域，因此它的设定值将影响到整个域内的所有计算机和用户。 Default Domain controller Policy：默认域控制策略，此策略已被连接到Domain Controller OU，因此该策略将影响域控制器组织单位内的所有计算机和用户。 验证是否连接： 1、“开始’’一“管理工具”一“Active Directory用户和计算机”一右击域名称一“属性”一“组策略” 2、“开始’’一“管理工具”一“Active Directory用户和计算机”一右击Domain Controllers OU一“属性”一“组策略” 组策略概论 GPO的内容 GPC (Group Policy Container)：组策略容器 ，被存储在Active Directory数据库内,它记载着此GPO的属性与版本等数据. GPT (Group Policy Template)：组策略模板 ，用来存储GPO的配置值与相关文件,它是一个文件夹.系统利用GPO的GUID作为GPT的文件夹名称. 组策略概论 组策略的应用时机 计算机配置的启用时间配置： 1、计算机开机的时候自动启用 2、即使计算机不重新开机,系统每隔一段时间会自动启用 ·域控制器 默认每隔5分钟自动启用 ·非域控制器 默认每隔90~120分钟自动启用 ·不论策略配置值是否有变动，系统每隔16小时启用一次 3、手动启用 gpupdate /target:computer /force gpupdate /force 组策略概论 用户配置的启用时间： 域内的用户会在以下情况中启用GPO内的用户配置值： 用户登录时自动启用。 即使用户不注销、登录，系统会默认每隔90~120分钟自动启用。而且不论策略配置是否有变动，系统仍然会每隔16个小时自动启用一次。 手动启用。执行“开始”一“所有程序”一“附件”一“命令提示符”命令，然后运行以下命令：gpupdate /target:user /force 组策略应用实例 策