windows实训报告6--active+directory组策略.doc

Active Directory组策略 实训要求 用户配置实例； 计算机配置实例； 组策略处理规则： 1）组策略执行顺序； 2）组策略继承； 3）组策略累加： 4）组策略冲突（上下级和同一级）； 5）组策略禁止替代； 6）组策略阻止继承； 7）策略筛选； 8）GPO针对某一容器的禁用； 9）禁用用户设置/计算机设置。 用户登录注销脚本； 计算机开机关机脚本； 文件夹重定向。 实训步骤 用户配置实例； 点击服务器管理器-功能-组策略管理-林-域 针对北京用户lisi让他不能使用开始菜单的运行功能 创建GPO 编辑GPO 注销账户重新登录已经没有运行 计算机配置实例； 先把计算机移动到Beijing的OU中 组策略处理规则： 1）组策略执行顺序； 父容器到子容器在到OU 比如：高层父容器的某个策略被设置启用，但是其子容器策略被设置禁用，其结果是禁用 2）组策略继承； 子容器会继承父容器的策略 比如：高层父容器的某个策略被设置启用，但是其子容器策略未设置，其结果是启用 3）组策略累加： 域、站点和OU都设置了策略的时候，其结果是累加在一起，如果有冲突的时候，则以处理顺序在后的策略为优先 比如：域、站点都设置了同一策略为启用，而OU设置了禁用，其结果为禁用 4）组策略冲突（上下级和同一级）； 计算机策略和用户策略冲突时，会优先计算机策略，如果计算机有多个策略冲突时，是以在前面的策略为优先。（策略是针对同一设置） 比如：计算机策略是启用，用户是禁用的时候，其结果是启用，同时计算机有三条策略针对同一设置时，其在最前面的优先配置。 5）组策略禁止替代； 父容器设置了某策略，与子容器策略有冲突，并且子容器设置了组策略禁止替代，子容器还是执行自己现有策略，不改变。 6）组策略阻止继承； 父容器不让子容器继承策略 比如：父容器设置了某策略，如果子容器阻止继承的话，其子容器不会受到父容器策略影响 7）策略筛选； 当为一个OU设置了策略之后，如果您想针对某一计算机或用户不执行此策略，可以用策略筛选来做 比如：针对业务部设置了开始菜单没有运行选项策略之后，如果想让业务部的经理有运行选项，就可以用策略筛选设置不执行此策略。 8）GPO针对某一容器的禁用； 9）禁用用户设置/计算机设置。 10）环回处理模式 当为一个用户设置了策略，而他登陆的计算机有不同的策略的时候，可以运用环回处理模式 不执行用户策略，执行计算机策略。 比如：当为一个用户设置了登陆到任何计算机都会自动安装某软件的时候，但你却不想用户在这台计算机上安装软件，此时你就可以在这台计算机上启用环回处理模式，这时，不管任何用户登陆到这台计算机都不会运用用户策略，而是运用计算机策略。 用户登录注销脚本； 第一步：用记事本编辑一个登陆脚本，后缀名改为VBS 用记事本编辑一个注销脚本，后缀名改为VBS 第二步：开始-管理工具-组策略管理-展开OU-bengjing-右击-编辑 通过用户配置-策略-windows设置-脚本（登陆/注销）-双击右边登陆-点击显示文件 第三步：把文件粘贴到%systemroot%\sysvol\sysbol\域名\policies\{GUID}\user\scripts\logon 第三步：配置注销脚本（和上面步骤一样） 测试用户zhang从客户机登陆 5、计算机开机关机脚本； 第一步：编辑脚本-改后缀VBS 第二步：先在用户配置启动异步启动脚本（如果不启动，无法将“您好，这是启动脚本测试”）显示在屏幕上 由于此部分与登陆\注销脚本几乎完全相同，故此处不在重复 设置策略 第三步：到客户机重启机器登陆 6、文件夹重定向。 第一步：到域内任何一台成员计算机上创建一个文件夹，我在服务器DC1上创建文件夹C：\docstore ,然后要将组织单位bingjing内所有用户的我的文档文件夹定向到此文件夹内 第二步：将此文件夹设置为共享文件夹，赋予Everyone读取\写入权限（系统会同时将完全控制的共享权限与NTFS权限赋予Everyone） 第三步:到域控制器上设置GPO-用户配置-策略-windows设置-文件夹重定向-对文档单机右击-属性 我们需要另外设置才能够定向策略应用到旧版windows系统，此时没设置所以会出现此图 点击开始-右击我的文档-属性 我的文档已经被重定向，所以本地的我的文档将会被删除 三、总结