组策略-高级篇.ppt

内容 重、难点 重点： 组策略的继承（阻止继承、禁止替代） 组策略的权限筛选 难点： 组策略对象的继承的设计 组策略的设计 任务一 组策略继承和冲突处理 1、一般继承与处理规则 组策略的配置具有继承性: 若父容器的某个策略被配置,但其子容器的策略未被配置,则子继承父容器配置值. 若子容器的某个策略被配置,则此配置值会覆盖由父容器传递下来的配置值. 组策略的配置具有累加性的： 例如:”业务部”OU内建立了GPO,同时在域、站点内也有GPO，则所有配置值累加起来是最后有效值。 组策略冲突的处理 冲突的处理 2、例外的继承性 设置“阻止继承” 设置“禁止替代” 设置筛选 设置“阻止策略继承” 阻止策略继承： 禁止从所有的高层继承GPO 无法选择针对哪些GPO， 全部都禁止继承 针对的是某一层次 不能阻挡“禁止替代” 设置“禁止替代” 禁止替代： 不管是否冲突，或者是否有“阻止继承”，始终生效 针对的是具体某个组策略对象，而不是针对某个容器所有的GPO。 高的“禁止替代”会覆盖低的“禁止替代”。 应该设置在较高层次 筛选组策略设置 GPO的配置默认是被应用到这个容器内的所有用户与计算机 默认用户等对象对该容器的GPO具有“读取”与“应用组策略”权限，查看方法：GPO-属性-安全 也可使GPO对容器内特定的计算机/用户/组不生效 使特定用户与计算机没有“读取”和“应用组策略”的基本权限，把这些用户添加到安全，设为“拒绝”即可 3、特殊处理的设置 慢速链接的GPO处理 环回处理模式 禁用GPO 慢速链接的GPO处理 可以设置让域内的计算机自动探测他们与域控制器之间的链接速度是否太慢,如果太慢,可以设置不要应用位于域控制器内的组策略.如图所示: 慢速链接的GPO处理 定义了即使慢速连接也要做软件安装策略处理 环回处理模式 系统会根据用户或计算机帐户在AD内的位置,来决定如何将GPO配置值应用到用户或计算机. 实例:计算机帐户Server1-服务器OU(“服务器GPO”组策略) 用户帐户Jackie-业务部OU(“业务部GPO”组策略) 当用户Jackie在Server1登录域时,用户环境由 “业务部GPO”中的“用户配置”决定,而计算机环境由 “服务器GPO”中的“计算机配置”来决定. 但是在“业务部GPO”中的“用户配置”内,设置了位于“业务部”OU用户登录,自动安装某个应用程序,所以用户在任何一台计算机上登录系统都将为其安装应用程序.现不想替此用户在这台重要服务器Server1内安装,用“环回处理模式”. 环回处理模式 若在“服务器GPO”内启用此模式,则不论用户是位于何处,只要用户是利用“服务器OU”的计算机登录,环境就由“服务器GPO”的“用户配置”决定. 环回处理模式 “环回处理模式”分为两种模式： 替代模式：直接改由“服务器GPO”的“用户配置”来配置环境。 合并模式：先处理“业务部GPO”的“用户配置”，再处理“服务器GPO”的，若有冲突，则“服务器GPO”内的优先。 禁用GPO 可以将整个GPO禁用 也可只禁用GPO内的“计算机配置”或“用户配置” 任务二 组策略最佳实践：规划(1) 尽量不要删除或者修改两个默认GPOs 禁用GPO中没有作用的节点（计算机设置或用户设置），以加快登录速度。 善用委派机制，减低系统管理员负担。 每个新的GPO应先进行测试 GPO的命名具有描述性 如“工程部门软件部署策略” 使用GPMC备份“默认域策略”和“默认域控制器策略” 组策略最佳实践：规划(2) 在有AD的情况下，尽量不使用本地组策略 限制域上的GPO数量，因为设置的GPO越多，登录所花费的时间越长。 尽可能不使用影响组策略默认继承性的 禁止替代 阻止继承 应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU) 善用筛选机制，一方面可以使特定的组不应用组策略，另一方面可以加快这些组成员的登录速度。 组策略实践练习： 管理用户环境： 管理模板策略 账户策略 用户权限分配策略 安全选项策略 登录/注销、启动/关机脚本 文件夹重定向 组策略实践(1)--管理模板策略 当用户端的计算机在处理“管理模板策略”时，会将这些策略配置值存储到用户计算机的“登录”内，但是并不会将此计算机的默认的登录值覆盖。 删除按Ctrl+Alt+Del组合键后所出现的对话框选项：用户配置--管理模板--系统--Ctrl+Alt+Del选项 隐藏在控制面板内指定的图标：用户配置—管理模板—控制面板—双击“隐藏指定的控制面板程序”，输入图标的名称 隐藏桌面上所有图标：用户配置—管理模板—桌面—隐藏和禁用桌面上的所有项目 删除“开始”菜单中的“关机”图标：用户配置--管理模板--任务