《第31讲组策略管理》-公开课件.pptVIP

服务器搭建与管理 —— Windows Server 2003 课题内容：组策略的管理 教学目的：理解组策略； 学会创建组策略，并进行关联，使之生效。 教学方法：演示法、练习法 重 难 点：创建组策略；组策略的应用。 能力培养：培养学生学会创建组策略，并进行关联，使之生效。 课堂类型：讲授课 教 具：投影仪、多媒体设备 组策略的管理 组策略是一种在用户或计算机集合上强制使用一些配置的方法，定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等各种配置。 网络管理主要是依赖组策略来进行，它是在活动目录上的最大应用。在此要说明的是，“组策略”中的“组”和以前介绍的用户组并没有什么直接关系，不要把组策略理解为针对用户组所配置的策略。 简单理解，组策略就是一套Windows Server 2003的配置方案，如图标、菜单的设置，这套方案可以应用到一批计算机或用户上。 组策略的管理 组策略通过组策略对象设置，下列特性： 组策略利用访问控制列表 (Access Control List，ACL)记录权限设置，可以修改组策略的访问控制列表，指定哪些人对该组策略拥有何种权限。 用户只要有足够的权限，就能添加或删除组策略，但无法复制组策略。 系统已经有两个内建组策略： Default Domain Policy：默认域组策略，此策略已被连接到域，因此它将影响域内所有计算机和用户。 Default Domain Controller Policy：默认域控制策略，此策略已被连接到Domain Controller OU，因此该策略将影响域控制器组织单位内的所有计算机和用户。 组策略的管理 应用组策略时存在两种配置选项：计算机配置和用户配置。当计算机配置和用户配置发生冲突时，用户配置会覆盖计算机配置。 计算机配置：用于管理控制计算机特定项目的策略，包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配、计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。 用户配置：用于管理控制更多用户特定项目的管理策略，包括应用程序配置、桌面配置、应用程序分配、计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。 组策略的管理 软件部署：包括应用程序分配和应用程序发行两部分内容。应用程序分配指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；应用程序发行指将应用软件提供给用户或计算机，允许它们选择安装。 软件策略：最常用的配置设置，这些选项定义了用户的工作环境。例如用户的“开始”菜单、屏幕保护程序或用户配置文件的设置，包括操作系统组件和注册表设置。 文件夹管理：允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。 脚本：脚本能够用于在某些时间自动运行批处理文件的进程。 安全：用于定义目录树、域、网络和本地计算机的安全配置，能够用于设置账户策略。 组策略的管理 当组策略配置好后，这些配置要被应用到用户和计算机后才有效。 组策略计算机配置的启动方式是： ①计算机开机时自动启动； ②如果用户不重新开机，系统会每隔一段时间自动启动； ③手动启动。 组策略用户配置的启动方式是： ①用户登录时自动启动； ②即使用户不注销、登录，系统默认每隔90-120分钟自动启动； ③手动启动。 组策略的管理 组策略对象用于存储组策略的配置信息、控制站点、域和组织单元中用户和计算机的设置。 在Windows Server 2003中有本地组策略、域组策略、域控制器组策略和组织单元组策略，它们的优先级如下： ①本地组策略； ②域组策略； ③域控制器组策略； ④组织单元组策略。 默认情况下，这些策略不一致时，最后应用的策略将覆盖以前的策略。如果这些策略设置的对象不一致，前后的策略都将是有效策略。组策略可以继承，也可以阻止组策略继承。 组策略的管理 Windows Server 2003对组策略进行了改善，主要集中在以下几个方面： 组策略管理控制台(GPMC)：提供了强大的管理功能。例如备份和恢复组策略，导入/导出和复制/粘贴组策略，组策略设置报告及策略结果集数据用于管理配置模板和所有可脚本化的组策略管理控制台操作。 策略结果集(Rsop)：提供了强大、灵活的基层工具，使管理员能够计划、监控和检测修复组策略。通过策略结果集，管理员能够从报告中知道组策略将如何影响到目标用户和计算机，也能使管理员远程检测指定计算机上当前策略的有效性。 组策略的管理 新策略设置：Windows Server 2003提供了大约2