win2003活动目录AD域服务器-04扩展组策略.ppt

介绍组策略 通过使用组策略，可以: 可以进行集中化或分散式策略 确保用户有适合完成他们工作的环境 降低控制用户和计算机环境的总费用 推行公司策略 组策略结构 组策略设置的类型 组策略的目标 针对计算机和用户的组策略设置 组策略目标和活动目录容器 组策略设置的类型 组策略对象 组策略对象 包含组策略的设置 组件被存储在两个不同的场所 组策略容器 被定位在活动目录中 提供域控制器所需的版本信息 组策略模版 域控制器上到GPT的的路径是：systemroot\SYSVOL\sysvol 运行Windows 2000的客户机获得或应用的组策略设置 计算机和用户的组策略设置 计算机的组策略设置: 计算机的组策略设置指定操作系统行为，桌面行为，安全性设置，计算机的启动和关机命令，计算机赋予的应用程序选项以及应用程序设置 计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中 用户的组策略设置: 用户的组策略设置指定特定的操作系统行为，桌面行为，安全性设置，赋予的和公布的应用程序选项，应用程序设置，文件夹得重定向选项以及用户登录和退出登录命令 用户相关的组策略应用在用户登录计算机和周期性更新循环的过程中 组策略对象和活动目录容器 在将GPO和站点，域或组织单元链接后。GPO的设置将应用在站点，域或组织单元的用户和计算机上 可以将 GPO 和多个站点，域以及组织单元链接 也可以将多个 GPOs和单个站点，域以及组织单元链接 管理员不能将 GPOs 和默认的活动目录容器——计算机，用户和builtin相连 处理组策略对象 创建已连接的组策略目标 创建未连接的组策略目标 连接一已存在的组策略目标 指定管理组策略目标的域控制器 创建已连接的组策略目标 为了把组策略应用到容器上, 首先要创建连接到容器的GPO: 使用“ Active Directory Users and Computers”创建连接到域和OU的GPO 使用“ Active Directory Sites and Services”创建连接到站点的GPO 创建未连接的组策略目标 连接一已存在的组策略目标 指定管理组策略目标的域控制器 当创建一新的GPO或编辑一已存在的GPO时，默认的，具有PDC操作主控的域控制器将执行该操作 制定管理 GPO 的域控制器的可选项包括: 操作主控遵循PDC竞争原则 使用活动目录插件的形式 使用任何可能得域控制器 制定管理GPO的域控制器: 使用在组策略快照中的查看菜单下的 DC 选项命令 在组策略设置中指定使用什么域控制器 如何在活动目录中应用组策略设置 组策略是如何处理的 控制组策略的处理 组策略和慢速网络连接 解决组策略间的冲突 组策略生效时机 控制组策略的处理 同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步 在特定的时间间隔内刷新组策略: 域环境中的非域控制器计算机每隔90分钟就会刷新策略，有随机的延迟。 域控制器每5 分钟刷新一次 未发生变更的组策略设置的处理 可以配置每一个客户端扩展用于处理所有可用的组策略设置 组策略和慢速网络连接 组策略能够接受慢速连接 组策略使用一种运算法则来确定连接是否为慢速 组策略给客户端扩展设定标志指出是慢速连接 解决组策略间的冲突 除非组策略设置冲突，否则所有的组策略设置都将被执行 如果发生冲突，默认的是执行最新的设置 来自父容器的GPO设置和来自子容器的GPO设置冲突时，子容器的设置后执行并发挥作用 当连接到同一容器上的不同的 GPO 的设置发生冲突时，在容器属性对话框中 GPO列表中最高位置的GPO 的设置后执行并发挥作用 当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置 课堂讨论：如何执行组策略设置 课堂讨论：如何执行组策略设置 修改组策略的应用选项 允许阻止继承 允许不重写 筛选组策略设置 课堂讨论：改变组策略的继承性 组策略的继承性 Windows 2003按照一定的顺序应用GPO设置 子容器继承父容器的GPO 设置 允许阻止继承 阻止继承: 阻止子容器从所有父容器处继承任一个GPO 无法选择阻止哪个GPO 不能阻止不重写选项 使用“禁止替代”选项 禁止替代选项： 可以优先于拒绝继承和下层的策略冲突而生效 应当在活动目录服务数型结构的上层 应用到它链接的范围内的 用来强化公司的管理策略 筛选组策略设置 筛选组策略设置: 明确拒绝申请对组策略的许可 忽略一验证过的申请组策略许可 课堂讨论：改变组策略的继承性 课堂讨论：改变组策略的继承性 委派组策略的管理控制 允许一用户管理一站点，域或OU的组策略连接，通过如下方式: 赋予用户站点，域或OU的GPOPtions属性的读写权限 使用委派控制向导 允许用户或小组创建