Microsoft Active Directory中的组策略.pptVIP

本章主要介绍的内容 组策略概论 组策略实例演练 组策略的处理规则 利用组策略部署软件 组策略的功能 组策略主要提供以下功能： 帐户策略设定案　例如：用户密码长度、密码使用期限、帐户锁定策略。 本地策略　例如：审核设置、用户权限指派、安全性能设置。 脚本(scripts)的设定 例如:登录/注销、启动/关机脚本的设置 用户工作环境的设定 例如：隐藏用户桌面上的图标等。 软件的安装与删除 例如：用户登录或计算机启动时，自动为用户安装软件、自动修复应用软件或自动删除应用软件。 限制软件的运行 例如：主要用来限制对软件的使用。 文件移动 例如：改变“我的文档”、“开始菜单”等文件夹的存储位置。 计算机配置 例如：当启动计算机时，系统就会根据“计算机”配置的内容来配置计算机的环境。 用户配置 例如：主要是用来设定用户的工作环境。 组策略对象GPO（Group Policy Object） 组策略是通过“GPO”来设定的。 GPO主要有三种： 一、内建的GPO 系统已经有两个内建的GPO，分别是： Default Domain Policy 此GPO已经被链接到域，因此它的设置会被应用到整个域内的所有用户与计算机。 Default Domain Controller Policy 此GPO已经被链接到Domain Controller OU,因此它的设定值会被应用到域控制器组织单位内的所有用户与计算机。 二、GPO内容 GPO的内容被分为GPC与GPT两部分： GPC组策略容器(Group Policy Container):被存储在Active Directory数据库内，它记载着此GPO的属性与版本等数据。 查看方法： Active Directory用户和计算机→查看→高级→选择域→展开system容器→Policies GPT（Group Policy Template） 用来存储GPO的配置值与相关文件，它是一个文件夹，而且是被建立在域控制的%systemroot%\SYSVOL\SYSVOL\域名称\Policies文件夹内. 三、组策略应用时机 当修改了站点、域或OU的GPO配置后，这些设置并不是立刻就会对站点、域或OU内的用户与计算机生效，而是必须等它们被应用到用户或计算机后才有效。 组策略配置启用时间： 计算机开机时自动启用。 如果计算机不重启，系统仍然会每隔一段时间自动启用： 手动启用：gpupdate /target:computer(user) /force 注：“软件安装策略”、“文件夹重定向策略”必须计算机重启 组策略的继承 计算机配置 用户配置 管理用户桌面环境 组策略的继承与处理规则 组策略配置具有继承性： 子容器继承父容器的策略配置；也可以通过“阻止策略继承”来阻止继承 子容器策略配置可以覆盖继承下来的配置值 组策略配置具有累加性 组策略处理规则: 当域、站点、“OU”之间的GPO发生冲突时，处理顺序 组策略实施的三个层次：SITE，DOMAIN，OU 组策略的处理： 系统先处理“计算机配置”再处理“用户配置” 组策略对象(GPO)：用来存贮组策略配置信息 组策略继承 文件夹重定向 文件夹重定向主要是借助组策略实现将一些特殊文件夹的存储位置,重定向到(转向)网络中其他位置。 可以重定向的特殊文件夹主要有： Application data 桌面 我的文档 开始菜单 我的文档和桌面等文件夹的默认存储位置。 将我的文档重定向 步骤一、在域内的任何一台计算机中创建一个文件夹，同时确认System与Creator Owner或者直接给every one组设置具有对该文件“完全控制权限”。 步骤二、将新创建的文件夹设置为隐藏共享，并且保证every one具有对该文件夹“完全控制”的共享权限。 步骤三、对相应的OU进行策略设置，将该OU内的用户进行文件夹重定向操作。 “设置”下拉框相关选项的解释: 1、基本-将每个人的文件夹重定向到同一个位置 表示：将OU内所有用户文件夹重定向。 2、高级-为不同用户指定位置 表示：将OU内属于某个组的用户文件夹重定向。 “目标文件位置”下拉框相关选项: 1、重定向到用户的主目录 2、在根目录路径下为每一个用户创建一个文件夹 3、重定向到下列位置 4、重定向到本地用户配置文件位置 什么是文件夹重定向 重定向文件夹的优点： 不管用户从什么客户机上登录，都可以访问文件夹的数据 数据的集中存储更便于管理和备份 减少网络通信。指用户配置文件在漫游而未