[电脑基础知识]AD组策略.pptVIP

组策略是Microsoft从Windows 2000 Server开始提供的功能,并在Windows Server 2003中继续应用与推广. Windows 2000 Server以前的版本如WindowsNT4.0与WindowsNT3.51中是基于用户与用户组对网络进行管理,功能比较单一！ 组策略介绍 在Windows Server 2003的网络环境中,提高管理效率对于网络管理来说是至关重要的!组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了管理员的管理负担。 利用组策略管理可以在站点,域和OU对象上进行设置,管理其中的用户对象和计算机对象.可以说组策略的活动目录的精华. 组策略具有下面的特点 通过对站点,域和OU设置组策略,可以对网络设置集中化的策略,通过组策略的阻止继承等特点还可以对网络设置分散的策略. 可以为用户设置合适的工作环境 降低控制用户和计算机环境的总费用 便于推行公司的整体策略 组策略可以实现的功能 用户习惯设置与数据自动带到另一台计算机 完成客户端软件的自动安装 应用软件跟随用户 为用户制定统一的工作环境 灾难恢复更加容易 注意 组策略只对Windows 2000以后版本的操作系统有效,并不适用于早期的Windows操作系统,如Windows NT和Windows9X 组策略的功能 账户策略的设定 （设定用户密码的长度、密码使用期限、账户锁定策略等） 本地策略的设定 （审核策略的设定、用户权限的指派、安全性的设定） 脚本的设定 （登录/注销、启动/关机脚本的设定） 用户工作环境的设定 （隐藏桌面上的图标，修改开始菜单） 软件的安装与删除 （用户登录或计算机启动时，自动为用户安装应用软件） 限制软件的运行 （通过规则限制域用户只能运行某些软件） 文件夹转移 （改变“我的文档”等文件加的存储位置） 其他系统设定 （所有计算机都自动信任指定的CA） 组策略包含 计算机配置： 当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。 用户配置： 当用户登录时，系统就会根据“用户配置”的内容来配置用户的工作环境。 注意 当同一个组策略的计算机配置和用户配置发生冲突时,计算机的组策略配置优先 组策略对象（GPO） 组策略对象是组策略的载体,组策略是通过“组策略对象（GPO）”来设定的，只要将GPO链接到指定的站点、域或OU，该GPO内的设定值就影响到该站点、域或OU内的所有用户与计算机。 GPO的内容被分为GPC与GPT两个部分，并且分别存储到不同的地方。 GPC 组策略容器的包含GPO状态和版本信息的活动目录对象,存储在活动目录中.计算机使用GPC来定位组策略模板,而且域控制器可以访问GPC来获得GPO的版本信息.如果一台域控制器没有最新的GPO版本信息,那么就会引发为了获得最新GPO版本信息的活动目录复制 查看GPC：“开始—管理工具—Active Directory用户和计算机—查看—高级—选择域—展开System容器—Policies” GPT GPT用来存储GPO的配置值与相关文件，它是一个文件夹，而且是被建立在域控制器的%systemroot%\SYSVOL\sysvol\域名称\Policies文件夹。系统利用GPO的GUID作为GPT的文件夹名称.用来提供所有的组策略设置和信息,包括管理模板,安全性,软件安装,脚本,文件夹重定向设置等.当创建一个GPO时,Windows Server 2003创建相应的GPT.客户端计算机能够接受组策略的配置就是因为它们和DC的SYSVOL文件夹链接,获得并应用这些设置! 利用GUID(全局统一标识符)来表识GPO,GUID是在创建对象时由DC分配的一个128位的字符串,该字符串永无不重复.GUID作为对象的属性被保存起来,用户不能修改或删除GUID 组策略的应用时机 当修改了站点、域或OU的GPO配置后，这些配置不是立刻就对站点、域或OU内的用户与计算机有效，而是必须等它们应用到用户或计算机后才有效。 组策略的委派管理 我们可以将GPO的链接、添加与编辑等工作，分派给不同的用户负责，以分散、减轻GPO的管理负担。 我们可以通过使用“控制委派向导”来完成这个任务。 创建组策略 1.创建链接的组策略 在此只是新建了一个组策略对象,新在该策略中并没有任何内容,创建组策略对象