用户和组账号管理讲解.ppt

* 不再需要分发的软件，可以在GPO中删除软件设置 下一次用户和计算机登录或启动时，软件会被强制删除 用户和计算机仍可继续执行使用软件，但不允许重新安装 * 强制升级 强制用户将当前软件升级到新的版本 可选升级 允许用户同时使用一个应用程序的两个版本 * 引入：通过配置本地安全策略加强了工作组中计算机的安全性。在域环境中，如果要对多台客户机进行同样的安全设置，是否需要在每一台计算机上进行单独配置呢？ →不需要，在域环境中，可以通过“组策略”对多台客户机进行统一的配置。 列举组策略可以实现哪些管理，这里只做简单说明，有的会在后面详细讲解与演示，其他的学员可在课下查阅资料去完成。 * 组策略不适用于早期的Windows操作系统，如Windows 9x/NT，那时使用的是“系统策略”。 组策略是系统策略的更高级扩展，它是由Windows 9x/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003/Vista/2008中。 * GPO（Group Policy Object）：组策略对象 让学员知道域创建完时，默认有2个GPO： ◆ Default Domain Policy：默认域策略→影响域中所有的用户和计算机 ◆ Default Domain Controllers Policy：默认域控制器策略→影响组织单位“Domain Controllers”中所有的用户和计算机。 强调虽然活动目录中的对象有很多，但最终组策略可以控制的只是活动目录中的用户和计算机 站点在下页做出解释，本页只要说明组策略可以链接在SDOU对象上面。 * 要求针对用户进行配置，所以需要配置组策略中的用户配置。 实现方法：右击“Sales_OU”→“在这个域中创建GPO并在此处链接” 教员进行组策略配置的演示并验证用户是否可以更改桌面背景 该案例完成后，不要删除相应的策略，后继的实验继续使用。 强调更改组策略后，需要在服务器和客户端都刷新组策略 * 引入：前面学习了组策略可以链接到SDOU，但用户和计算机可能会受多条策略的影响，要知道最终计算机和用户会应用哪些策略的设置，并通过设置达到用户的需求，就需要学习组策略的应用规则。 本页让学员对组策略的应用规则有个大体的了解，不需要花太多时间，后面将逐一展开讲解。 * 与NTFS权限类似，组策略也是继承的，子容器也可以阻止继承。 教员演示： 在Sales_OU下新建两个子OU，查看子OU:bj_sales的“组策略继承”页，其中有继承于域的GPO和上级OU的GPO 验证：以bj_sales中的用户登录域，查看是否受到Sales_OU上设置的策略影响（不能修改桌面背景） 。 * 按照上表中的设置，教员进行演示并验证结果。 ◆ IE主页设置：用户配置→策略→管理模板→Windows组件→Internet Explore→启用“禁用更改主页设置”，并设置主页为 ◆ 阻止更改墙纸：“用户配置”→“策略”→“管理模板”→“桌面”→“桌面” ，启用或禁用“不允许更改” * 组策略的“强制生效”会覆盖“阻止继承”设置，也就是如果上级容器中的策略设置强制生效，那么下级容器与其相冲突的一律无效。 但NTFS权限的继承与阻止继承是哪个后设置，后设置的生效。 教员演示： 右击 “Sales_OU”下的“Sale_OU Policy”，选择“强制” ，再到bj_sales的“组策略继承”页中查看，如果时间允许，可以在bj_sales下创建一个与“Sale_OU Policy”冲突的策略，并验证最终效果。 * 教员演示筛选的实现过程和结果： Sales组和ManagerA用户都位于Sales_OU中，OU上的组策略设置“阻止更改墙纸”，筛选后组策略对ManagerA用户不起作用，即ManagerA用户仍可更改墙纸。 为节约时间，教员可提前创建好相应组账户和用户账户。 * 要求针对用户进行配置，所以需要配置组策略中的用户配置。 实现方法：右击“Sales_OU”→“在这个域中创建GPO并在此处链接” 教员进行组策略配置的演示并验证用户是否可以更改桌面背景 该案例完成后，不要删除相应的策略，后继的实验继续使用。 强调更改组策略后，需要在服务器和客户端都刷新组策略 * 要求针对用户进行配置，所以需要配置组策略中的用户配置。 实现方法：右击“Sales_OU”→“在这个域中创建GPO并在此处链接” 教员进行组策略配置的演示并验证用户是否可以更改桌面背景 该案例完成后，不要删除相应的策略，后继的实验继续使用。 强调更改组策略后，需要在服务器和客户端都刷新组策略 * 要求针对用户进行配置，所以需要配置组策略中的用户配置。 实现方法：右击“Sales_O