第十五章 - 普通用户登录.PPT

15.2.4 组策略继承与阻止继承 1．继承与阻止继承 15-16 “技术组”继承“业务部”的组策略 15-17 阻止“技术组”继承“业务部”的组策略 3. 强制继承 15-18 “强制继承”高于“阻止继承” * 15-17 阻止“技术组”继承“业务部”的组策略 * 第15章 使用组策略 15.1 组策略知识 15.1.1 组策略概述 15.1.2 组策略的配置内容 15.1.3 将组策略应用于对象 15.1.4 组策略的处理规则 15.1.1 组策略概述 1．组策略的概念 组策略是一种允许通过用户设置和计算机设置定义用户桌面环境的技术，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。 管理员可以根据需要设置组策略，然后将组策略作用于活动目录中的容器，如站点、域、组织单位等等，最终组策略将影响这些容器中的计算机和用户对象。 组策略对象GPO（Group Policy Object）是组策略的集合。组策略的设置结果是保存在GPO中的，GPO中包含用于特定用户或计算机的策略信息和配置。 在Windows系统中，共有两种类型的GPO。 （1）本地GPO 一台运行Windows Server 2008的计算机，都存在一个本地GPO，在活动目录环境下，本地GPO将被活动目录中的GPO所覆盖，在非网络环境中，本地GPO将发挥作用。 （2）非本地GPO 是Active Directory环境中使用的GPO，它们仅在Active Directory环境中可用。它们应用于组策略对象所链接的站点、域或组织单位中的用户和计算机。 2．组策略对象（GPO） 账户策略的设置：例如设置用户的密码长度、密码使用期限、账户锁定策略等。 本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。 脚本的设置：例如登录与注销、启动与关机脚本的设置。 用户工作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行／搜索／关机等功能、在开始菜单中添加注销选项、删除浏览器内部分选项、强制通过指定的代理服务器上网等。 软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。 限制软件的运行：通过各种不同的软件限制规则来限制域用户只能运行指定的软件。 文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。 限制访问可移动存储设备：例如限制将文件写入U盘，以免企业内的机密丈件轻易地被带离公司。 其他系统设置：例如让所有的计算机都自动信任指定的CA、限制安装设备驱动程序等。 3．组策略的功能 15.1.2 组策略的配置内容 1．计算机配置与用户配置 （1）计算机配置 当计算机开机时，系统会根据计算机配置的属性来设置计算机的环境。 计算机策略在计算机开机时自动应用。 （2）用户配置 当用户登录时，系统会根据用户配置的属性来配置用户的工作环境。 用户策略在用户登录时自动应用。 当用户策略与计算机策略发生冲突时，计算机策略优先于用户策略。 （1）软件设置。能够帮助用户安装和维护程序，可以用分配和发布的方法让计算机或用户使用某个程序。 （2）Windows设置 Windows设置包含了脚本和安全设置。脚本设置包括启动/关闭脚本和登录/注销脚本。 安全模板允许管理员手动的为本地或非本地的GPO对象设置安全级别。 （3）管理模板 包含了所有基于注册表的组策略设置，不论是用户配置还是计算机配置，都包括Windows组件、系统和网络的设置三个模块。“Windows组件”可以管理Windows2008组件；“系统”可以用来管理登陆及注销时执行的策略；“网络”用来配置网络及拨号连接策略以及控制脱机文件。 计算机配置中还包含打印机设置，用户配置中还包含任务栏和开始菜单设置、桌面设置控制面板设置等内容。 2．组策略设置内容 组策略内的设置可以再分为策略设置和首选设置。二者的区别如下： （1）只有域的组策略才有首选设置功能，本地计算机策略并无此功能。 （2）策略设置是强制性设置，客户端应用这些设置后就无法更改；首选设置是非强制性设置，客户端可自行更改设置值，因此首选设置适合于用来当作默认值。 （3）过滤策略设置，必须针对整个GPO来过滤，首选设置可以针对单一设置项目来过滤。 （4）如果在策略设置与首选设置内有相同的设置项目，而且都已做了设置，但是其设置值却不相同时，则以策略设置优先。 3．策略设置和首选设置 在安装了活动目录后，在域中已经自动建立了两个内置的组策略对象。 （1）Default Domain Policy。该GPO默认已经被链接到域，其设置值会被应用到整个域内的所有用户与计算机。 （2）Default Domain Controller Pol