组策略与组策略应用.docVIP

组策略与组策略应用 课题：组策略与组策略应用 课型：理论课 课时：2课时 教学目的：1、了解组策略及其应用； 2、掌握计算机和用户的组策略设置； 3、掌握通过组策略设置用户权限的方法； 4、掌握使用组策略重定向文件夹的方法； 5、掌握使用组策略布置和管理软件的操作。 重点难点：1、使用组策略管理用户和计算机； 2、使用组策略布置和管理软件。 教学环境：1、多媒体教室； 2、一台安装有虚拟机的电脑。 教学方法：讲授法 教学过程： 组策略为管理员提供了对网络中用户和计算机的管理控制能力。通过使用组策略，可以定义用户初始的工作环境状态，然后在工作中还可以根据实际需要进行修改。管理员可以将组策略应用于整个网络，也可以将组策略只应用于指定的用户组或计算机组。组策略的应用使得管理用户和计算机的工作变得更加灵活。 一、组策略介绍 Windows Server 2003中的组策略是基于策略的管理，管理员一次性设定用户/计算机环境的状态之后，依赖系统来强制实现这个状态要求，而不需要再进行重复的操作。 1、组策略对象的作用 通过使用组策略，可以完成以下工作。 （1）在站点级或域级上，该应用于整个企业策略集中起来；或者在组织单位（OU）级上，将应用于每个部门的策略分散开来。 （2）确保用户在能满足工作需要的用户环境中工作，保证他们可以： ◆ 在注册表中拥有必要的应用程序和系统配置设置，并在系统中拥有用于修改计算机和用户环境的脚本。 ◆ 自动安装软件。 ◆ 拥有本地计算机、域和网络的安全设置。 ◆ 控制用户数据文件夹的存储位置。 （3）控制用户和计算机的环境，从而可以降低用户所需的技术支持级别，并使由用户失误造成的工作效率降低的情况大大减少。例如，通过使用组策略，可以防止用户安装不必要的软件，或更改工作环境。 （4）实施企业策略，包括商业规范、目标和安全要求。 要为一组特定的用户创建指定的桌面配置，可以创建组策略对象（GPO），即组策略设置的集合。每个Windows Server 2003计算机都有一个本地GPO，它可以服从于任何非本地（基于活动目录）的GPO。 2、GPO的类型 GPO有两种类型：本地和非本地。 本地GPO：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地GPO。然而，若计算机处在Active directory的网络中，那么非本地GPO将覆盖本地GPO，从而将本地GPO对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地GPO的设置并没有被 非本地GPO覆盖，所以仍然可以发挥作用。 非本地GPO：非本地GPO是与Active directory对象联系起来使用的。非本地GPO也可以应用于用户或计算机。如果要使用非本地GPO，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地GPO中的策略。 3、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个GPO时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。 4、组策略设置的类型 通过编辑GPO可以对组策略设置进行配置，可以进行配置的组策略类型有： ◆ 管理模板。用于配置应用程序以及用户桌面环境的基于注册表的设置。 ◆ 安全设置。用于配置本地计算机、域和网络安全性的设置。 ◆ 软件安装。用于将管理软件的安装、更新或删除操作集中起来的设置。 ◆ 脚本。指定了系统在何时运行特定的脚本。 ◆ 远程安装服务。指当通过“远程安装服务（RIS）”运行“客户安装向导”时，用于控制用户可用选项的设置。 ◆ Internet Explorer维护。指用于管理和自定义Microsoft Internet Explorer的设置。 ◆ 文件夹重定向。用于将特定的用户配置文件夹存储到网络服务器上的设置。 二、计算机和用户的组策略设置 存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户