计算机网络实践教程第16篇 使用组策略.pptxVIP

实验16 使用组策略;16.1 知识准备;16.1.1 组策略概述;组策略对象GPO（Group Policy Object）是组策略的集合。组策略的设置结果是保存在GPO中的，GPO中包含用于特定用户或计算机的策略信息和配置。 在Windows系统中，共有两种类型的GPO。 （1）本地GPO 一台运行Windows Server 2008的计算机，都存在一个本地GPO，在活动目录环境下，本地GPO将被活动目录中的GPO所覆盖，在非网络环境中，本地GPO将发挥作用。 （2）非本地GPO 是Active Directory环境中使用的GPO，它们仅在Active Directory环境中可用。它们应用于组策略对象所链接的站点、域或组织单位中的用户和计算机。 ;账户策略的设置：例如设置用户的密码长度、密码使用期限、账户锁定策略等。 本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。 脚本的设置：例如登录与注销、启动与关机脚本的设置。 用户工作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行／搜索／关机等功能、在开始菜单中添加注销选项、删除浏览器内部分选项、强制通过指定的代理服务器上网等。 软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。 限制软件的运行：通过各种不同的软件限制规则来限制域用户只能运行指定的软件。 文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。 限制访问可移动存储设备：例如限制将文件写入U盘，以免企业内的机密丈件轻易地被带离公司。 其他系统设置：例如让所有的计算机都自动信任指定的CA、限制安装设备驱动程序等。 ;16.1.2 组策略的配置内容;（1）软件设置。能够帮助用户安装和维护程序，可以用分配和发布的方法让计算机或用户使用某个程序。 （2）Windows设置 Windows设置包含了脚本和安全设置。脚本设置包括启动/关闭脚本和登录/注销脚本。 安全模板允许管理员手动的为本地或非本地的GPO对象设置安全级别。 （3）管理模板 包含了所有基于注册表的组策略设置，不论是用户配置还是计算机配置，都包括Windows组件、系统和网络的设置三个模块。“Windows组件”可以管理Windows2008组件；“系统”可以用来管理登陆及注销时执行的策略；“网络”用来配置网络及拨号连接策略以及控制脱机文件。 计算机配置中还包含打印机设置，用户配置中还包含任务栏和开始菜单设置、桌面设置控制面板设置等内容。 ;组策略内的设置可以再分为策略设置和首选设置。二者的区别如下： （1）只有域的组策略才有首选设置功能，本地计算机策略并无此功能。 （2）策略设置是强制性设置，客户端应用这些设置后就无法更改；首选设置是非强制性设置，客户端可自行更改设置值，因此首选设置适合于用来当作默认值。 （3）过滤策略设置，必须针对整个GPO来过滤，首选设置可以针对单一设置项目来过滤。 （4）如果在策略设置与首选设置内有相同的设置项目，而且都已做了设置，但是其设置值却不相同时，则以策略设置优先。 ;在安装了活动目录后，在域中已经自动建立了两个内置的组策略对象。 （1）Default Domain Policy。该GPO默认已经被链接到域，其设置值会被应用到整个域内的所有用户与计算机。 （2）Default Domain Controller Policy。该GPO默认已经被链接到组织单位Domain Controllers，其设置值会被应用到Domain Controllers内所有的用户和计算机。在Domain Controllers内，默认只有域控制器的计算机账户。;16.1.3 将组策略应用于对象;可以创建有链接的GPO，也可以创建无链接的GPO。 有链接的GPO是指在创建GPO的同时，将其链接到某个容器（如组织单位）上。 无链接的GPO是指创建GPO，但暂时不与某个容器相连接，以备将来使用。 3．将GPO连接到容器 前提是对相应站点、域或组织单位的gPLink和gPOptions两种属性的“读取”和“写入”权限。;16.1.4 组策略的处理规则;通过在子容器上启用“阻止继承”，可以阻止子容器继承其父容器的任何GPO。 3．强制继承 通过启用父容器中的“强制”选项，那么该容器的子容器就不能阻止对该GPO的继承。 4．组策略过滤 使用筛选能够阻止将某个GPO及其设置应用到某容器中特定的计算机、用户和安全组上。 为了对某个GPO进行筛选，以阻止它应用到特定的计算机、用户或安全组对象上，必须“拒绝”与该GPO有关的“采用组策略”权限。;16.2 实验目的与任务;16.3 实验过程; 图16-4 组策略管理编辑器