第8章 组策略.ppt

组策略 第8章 组策略概念 组策略概念 组策略是规则集合，是系统管理员管理计算机和用户环境的有力工具。 组策略包括计算机策略和用户配置策略。 计算机策略在开机后有效 用户配置策略在用户登录后有效 2种策略有冲突时，以计算机配置策略为准 组策略有三类内容 管理模板：包括windows组件、系统、网络与桌面设置等 Windows设置：包括脚本、安全、文件夹重定设置等 软件设置：包括应用软件的安装、升级、卸载的集中管理 组策略的作用 组策略必须在部署好AD的环境下才能使用 方便地管理AD中的计算机和用户 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 软件分发 安全设置 组策略的作用 组策略的组成 组策略简单应用 阻止更改墙纸 域中有一组要求组中的用户不能随意更改桌面背景 步骤 1 ）右击该组|【属性】|【组策略】，单击【新建】，输入GPO的名字 2 ）打开【组策略编辑器】，选择”用户配置”|”管理模板”|”桌面”|“活动桌面” 3）双击“不允许更改”，启用该策略，然后关闭【组策略编辑器】 组策略简单应用 通过组策略设置使一般用户可通过域控制器登录 操作步骤 “开始”-“程序”-“管理工具”-“域控制器安全策略” 在“域控制器安全策略”窗口中选择“安全设置”-“本地策略”-“用户权利指派” 双击“在本地登录”，在“在本地登录”对话框中，单击“添加”按钮，将某一组加入到列表中。 组策略简单应用 为组织单位中所有用户定制工作环境 操作步骤 打开”Active Directory用户和计算机”窗口。选择某OU 右键单击选中的OU，选择“属性”-“组策略”-“新建”。 双击新建的组策略，打开“组策略”对话框。 选择“用户配置”-“管理模板”-“任务栏和开始菜单”，启用“从开始菜单删除文档菜单”和“从开始菜单中删除运行菜单”。 组策略应用规则 设置组策略的位置 有P(本地计算机)、S(站点)、D(域)和OU(组织单位)，执行顺序为P-S-D-OU。 组策略应用规则有 继承与阻止继承 累加 应用顺序 筛选 继承与阻止继承 累加 应用顺序 筛选组策略设置 利用GPO实现软件设置 分发软件 修复软件 删除软件 升级软件 分发软件 分发软件的步骤 1）获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件 2）将.msi文件拷贝至某文件夹下，并设置该文件夹为共享文件，添加共享权限给domain user为读取，并添加NTFS权限给domain user用户。 3）打开“Active Directory用户和计算机”窗口，右键单击域节点-“属性”-“组策略”-“新建”，新建一个组策略。 4）打开组策略编辑器，“用户配置”-“软件设置”，右键单击“软件安装”-“属性”，“默认程序包位置”中输入安装文件的路径。 5）右键单击“软件设置”-“新建”-“程序包”，选择安装程序 6）选择指派还是发布安装程序。 7）用一个域用户登录验证，查看能否安装程序？ 修复软件 删除软件 操作步骤 选中要被删除的程序包，右键单击该程序，指向“所有任务”，然后单击“删除”。 “立即从用户和计算机卸载软件”：下一次用户登录或计算机启动时，软件会被强制删除 “允许用户继续使用软件，但禁止新的安装”：用户和计算机仍可继续执行使用软件，但不允许重新安装 升级软件 操作步骤 “软件安装”-“新建”-“程序包”，将要升级的程序包添加至软件安装窗格中。 右键单击要执行升级的 程序包-“属性” -“升级”选项卡。 单击“添加”创建或添加到要由当前程序包升级的程序包列表。 要将某个应用程序替换为完全不同的应用程序，请单击“卸载现有程序包，然后安装升级程序包”。 要安装同一产品较新的版本，同时保留用户的应用程序首选项，请单击“程序包可以升级现有程序包”。 通过使用“添加或删除程序”来在本地计算机上安装或升级软件  Page */18 域 域控制器 组策略 活 动 目 录 使用组策略可以 对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 推行公司使用计算机规范 桌面环境规范 安全策略 一个组策略对象包含一个模板和一个容器，在备份时需要都备份 在默认情况下，下层容器会继承来自上层容器的GPO（组策略对象） 例如 计算机学院OU的GPO中设置IE主页URL为 软件教研室OU中的用户登录客户机后，IE的主页地址为“” 子容器可以阻止继承上级的组策略 例如 计算机学院OU的GPO中设置主页URL为 右击软件教研室OU |【属性】|【组策略】选项卡，选中【阻止策略继承】选