单元四配置和管理组策略.ppt

Windows 网络操作系统的配置与管理 单元一：安装windows操作系统 单元二：安装与配置活动目录域服务 单元三：管理用户和组 单元四：配置和管理组策略 单元五：配置与管理分布式文件系统 单元六：配置与管理存储系统 单元七：配置与管理打印服务器 单元八：IP地址与配置方法 单元九：配置与管理DHCP服务器 单元十：配置与管理DNS服务器 单元十一：配置与管理Web服务器 单元十二：配置与管理WSUS服务器 单元十三：配置与管理ADCS 单元十四：配置路由与远程访问 单元十五：配置网络策略服务和网络访问保护 单元十六：配置IPSec保护网络通信 单元四 配置和管理组策略 任务1 配置本地计算机策略 任务2 创建和配置GPO 任务3 使用组策略配置用户环境 任务4 组策略管理软件 任务5 使用组策略配置安全性 任务2 创建和配置GPO 一、课程导入 二、知识原理 2.1 组策略概述 2.2 组策略的功能 2.3 默认的组策略 2.4 组策略设置 2.5 组策略的应用方式 2.6 组策略处理顺序 2.7 修改组策略处理的选项 2.8 评估组策略对象的应用 三、演示： 在AD创建与配置 GPO 四、小结 一、课程导入 时讯公司要求公司所有客户端计算机都有统一的桌面墙纸。 公司希望当员工在不同的计算机登录的时候，看到的环境总是自己预先定义好的，就像是在同一台计算机上登录一样。 公司某些人希望不管在哪台计算机上登录，都有自己需要的工具软件。 Windows server 2008中的组策略和active directory域服务结合使IT管理员能自动管理用户和计算机，从而简化管理任务并降到IT成本。管理员可有效地实施安全设置、强制实施IT策略、并在给定的站点、域或一系列组织单位中统一分发软件。 二、知识原理 2.1 组策略概述 2.2 组策略的功能 2.3 默认的组策略 2.4 组策略设置 2.5 组策略的应用方式 2.6 组策略处理顺序 2.7 修改组策略处理的选项 2.8 评估组策略对象的应用 2.1 组策略概述 组策略是active directory目录服务中一个非常有价值的管理工具。通过使用组策略，管理可以按照管理要求定义相应的策略，有选择地应用到active directory中的用户和计算机上。 组策略的设置存储在域控制器的GPO（group policy objects）中。 可以在站点、域或组织单位层次为整个公司设置组策略，从而集中管理策略。也可以通过在组织单位层次为每个部门设置组策略来实现组策略设置的分散管理。 2.2 组策略的功能 使用组策略可以： 应用标准配置 部署软件 强制实施安全设置 强制实施一致的桌面环境 组策略使 IT 管理员能实现用户和计算机的一对多管理自动化。 本地组策略对本地用户和域用户以及本地计算机设置总是有效。 2.3 默认的组策略 一：域策略 策略 描述 默认的域策略 此策略链接到域容器，并且影响该域中的所有对象 默认的域控制器策略 此策略链接到域控制器的容器，并影响到该容器中对象 二：本地策略 此策略影响本地计算机及登录到该计算机的用户，包括从该计算机登录的域用户 2.4 组策略设置 软件 窗口 安全 操作系统 针对计算机的组策 略设置控制这些设置： 软件 窗口 安全 桌面 针对用户的组策略 设置控制这些设置： 组策略的结构 2.5 组策略的应用方式 计算机启动 应用计算机设置 启动脚本运行 刷新时间间隔 用户登录 应用用户设置 登录脚本运行 刷新时间间隔 每隔 90 分钟 每隔 90 分钟 2.6 组策略处理顺序 站点 域 OU OU OU GPO2 GPO3 GPO4 GPO5 GPO1 本地组 注意：1.当不同的策略出现矛盾冲突的时候，后应用的策略会覆盖先前的策略，即子容器的组策略优先级更高。 2.多个组策略对象可链接到同一容器，它们的优先级可在控制台定义。 2.7 修改组策略处理的选项 修改组策略处理顺序的七种方法： 阻止继承：防止子级自动继承来自上级的GPO 强制：强制的优先级最高，即使下级启用了“阻止继承”，也必须强迫执行 使用安全组进行筛选：用户必须拥有组策略的“读取”“应用组策略”权限 禁用 GPO