第5章 Windows server 2003管理组策略.ppt

第五章 管理组策略 学习要求及能力目的 组策略用来在用户或计算机集合上强制设置一些配置，这在多台计算机需要统一的工作界面时很有实用意义。组策略为管理员提供了进一步控制和集中管理用户工作环境、实现软件部署以及安全性管理。 掌握组策略的管理与配置方法 掌握利用组策略管理资源与对象 掌握域安全策略及域控制器安全策略的配置管理方法 组策略 组策略是从Windows 2000开始有的一个新特点。组策略用来在用户或计算机集合上强制设置一些配置，这在多台计算机需要统一的工作界面时很有实用意义。例如用户的桌面环境、计算机启动/关机所执行的脚本文件、用户登录/注销所执行的脚本文件等。Windows Server 2003系统赋予组策略更新的功能和特性，通过组策略可以更容易管理网络上的资源。 1. 组策略简介 组策略是一组配置设置，是组策略管理员应用于活动目录存储中的一个或多个对象。利用它组策略管理员可以为用户提供一个完全总装的桌面环境。这个环境包括定制的【开始】菜单，自动安装的应用程序和对文件、文件夹和Windows Server 2003系统设置的限制访问。 1) 组策略的组件 （1）组策略对象 组策略对象（GPO，Group Policy Object）是组策略的载体，要想实现组策略管埋，必须创建组策略对象。在活动目录中可以把组策略对象应用于特定的目标，如站点、域和OU以实现组策略管理的目的。组策略对象的内容存储在GPC和GPT中。 在对这些对象设置组策略时有以下特点： 一个GPO可以与多个站点、域和OU相链接，这样当需要对不同的对象执行相同策略管理时可以减轻管理员的工作负担。 每个站点、域和OU也可以应用多个GPO。 （2）组策略容器 组策略容器（GPC，Group Policy Container）是包含GPO状态和版本信息的活动目录对象，存储在活动目录中。计算机使用GPC来定位组策略模板，而且域控制器可以通过访问GPC来获得GPO的版本信息。如果一台域控制器没有最新的GPO版本信息，那么就会引发为了获得最新GPO版本信息的活动目录复制。 （3）组策略模板 组策略模板（GPT，Group Policy Template）存储在域控制器上的SYSVOL共享文件夹中，用来提供所有的组策略设置和信息，包括管理模板、安全性、软件安装、脚本、文件夹重定向设置等。当创建一个GPO时，Windows Server 2003创建相应的GPT。客户端计算机能够接受组策略的配置就是因为它们和DC的SYSVOL文件夹链接，获得并应用这些设置。 2) 组策略的配置类型 每个组策略的配置类型都包括两部分内容：计算机配置和用户配置 图5-1 组策略编辑器窗口 （1）计算机的组策略配置 在计算机的组策略配置中可以指定操作系统的行为、桌面行为、安全性设置、计算机的启动和关机命令、计算机赋予的应用程序选项以及应用程序设置。在计算机启动时会应用计算机的组策略设置。 2) 组策略的配置类型 （2）用户的组策略配置 在用户的组策略配置中可以指定操作系统行为、桌面行为、安全性设置、赋予的和公布的应用程序选项、应用程序设置、文件夹的重定向选项以及用户登录和退出登录的命令等。当用户登录计算机时会应用与该用户相关的组策略设置。 注意：当同一个组策略的计算机配置和用户配置发生冲突时，计算机的组策略配置优先。 3) 组策略的功能类型 （1）软件设置 影响用户可以访问的应用程序，应用程序自动安装的策略有两种方法实现：指派应用程序，组策略直接在用户计算机上安装或升级应用程序，或为用户提供应用程序的连接，指派的应用程序用户无法删除；发布应用程序，组策略管理员通过活动目录服务发布应用程序。应用程序出现在用户的控制面板的【添加/删除程序】的安装组件列表中，用户可以卸载这些应用程序。 （2）脚本 组策略管理员可以设定脚本和批处理文件在指定时间运行，如在系统启动、关闭、用户登录或注销时。脚本可以自动执行重复性任务，如映射网络驱动器。 （3）安全设置 组策略管理员可以限制用户访问文件和文件夹，配置账户限制（如在Windows Server 2003锁定用户账户之前允许用户输入多少次错误的口令），设置本地策略（如用户权力和审计），控制服务操作，限制注册表和事件日志文件的访问，设置公钥访问和配置IPSec策略。 （4）管理模板 包括基于注册表的组策略，可以利用它来强制注册表设置，控制桌面的外观和状态，包括操作系统组件和应用程序。 （5）远程安装服务（RIS） 当运行用户安装向导时，控制显示给用户的RIS安装选项。 （6）文件夹重定向 可以重定向Windows Ser