第6章组策略管理.pptVIP

第6章 组策略管理 6.1 组策略概述 组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件，例如，用户可以使用的程序出现在用户桌面上的程序以及“开始”菜单选项等。用户指定的组策略设置包含在一个组策略对象（Group Policy Object，GPO）中，该组策略对象又与选定的活动目录（Active Directory，AD）对象（如站点、域或组织单位）关联。 6.1.1 组策略的功能 微软的操作系统从Windows 2000开始提供了组策略功能，对于早期的Windows NT 4.0和Windows 98等操作系统仅提供了组策略管理工具。组策略主要具有以下的特点： 一是实现“one-to-many”方式的管理。 二是实现对客户端的分类管理。 三是实现对客户端的分类管理。 四是实现对客户端的安全管理。 五是实现标准的用户环境。 6.1.2 组策略的应用 1． 软件分发 通过组策略可以将软件分发到每一个客户端，管理员不需要分别到每一台计算机上去安装软件。 2． 软件限制 可以限制客户端能够使用哪一种或哪一类型的软件。此功能是Windows XP/2003/Vista操作系统中新增加的一个功能， Windows 2000及以前版本的操作系统中不具有此功能。 3． 安全设置 在组策略中可以通过分发密码策略、账户锁定策略等安全策略，来实现对客户端的安全设置。同时，通过组策略还可以实现对客户端用户权限的管理，如是否允许关机等。 5． IE维护 利用组策略的IE维护功能，可以实现对客户端代理服务器的IP地址、端口等功能的设置，也可以设置打开IE时使用的默认主页。 6． 脱机文件夹 脱机文件夹的应用类似于IE的“脱机工作”功能。脱机文件夹使得用户（如经常外出的员工）能够在离线的情况下工作，当他们再次连接到网络的时候系统会进行更新同步。在同步的过程中，离线时所做的改变被复制原来的文件夹中，而且同步之后用户还可以再次返回到离线状态。 7． 漫游配置文件和文件夹重定向 用户配置文件是指在用户登录系统时定义的系统自动加载的环境设置和文件的集合。它包括所有用户专用的配置设置，如程序项目、屏幕颜色、网络连接、打印机连接、鼠标设置及窗口的大小和位置。 8． 计算机和用户脚本 脚本（script）是使用一种特定的描述性语言、依据一定的格式编写的可执行文件，又称作“宏”或“批处理文件”。脚本通常可以由应用程序临时调用并执行。在组策略管理中，脚本一方面弥补了系统提供的策略的不足，另一方面可以将计算机和用户的脚本文件以组策略的形式分发到客户端，从而实现对客户端的管理。 6.1.3 组策略应用中的一些概念 1． 计算机配置和用户配置 组策略中包含“计算机配置”和“用户配置”两部分。其中，计算机配置用于当启动计算机时，系统就会根据已设置的计算机配置内容来配置计算机的环境。 2． 组策略对象 组策略是通过“组策略对象”（Group Policy Object，GPO）来设定的，只要将GPO链接到指定的站点、域或组织单位（OU），该GPO内的设定策略就会作用于该站点、域或OU内的所有用户和计算机。 可以打开“Active Directory用户和计算机”窗口，选取域名，单击鼠标右键，在出现的快捷菜单中选取“属性”，在打开的如图6-1所示的对话框中可以看到“Default Domain Policy”这个GPO已经被应用到整个域中。在“Active Directory用户和计算机”窗口中选取“Domain Controllers”组织单位，单击鼠标右键，在出现的快捷菜单中选择“属性”，在打开的如图6-2所示的对话框中可以看到“Default Domain Controller Policy”已经被链接到“Domain Controllers”组织单位。 3． 组策略的应用时机 当修改了站点、域或OU的GPO配置后，这些配置值并非马上应用到指定站点、域或OU内的用户与计算机，而是依据是计算机配置还是用户配置，以及所采取的措施而定。 其中，如果是计算机配置，域内计算机会在以下情况下启用GPO内的配置： · 启动计算机时。 · 在没有重启计算机的情况下，如果是域控制器则默认每隔5分钟后自动启用，如果是非域控制器则默认90~120分钟内自动启用。 · 不论策略配置值是否发生改变，系统会每隔16小时自动启用一次组策略。 · 如果在修改了组策略配置后需要立即启用，则可以在“命令提示符”下运行以下命令：