活动项目应用组策略祥讲课件.pptVIP

郑重声明：本资料来自武汉软件工程职业学院优秀教师唐能立，未经本人同意不得转载

第13讲组策略

企业需求?企业的员工都使用计算机办公，为了管理上的方便，需要对全部的计算机在某些配置上强制性实施统一的配置。例如：密码设置原则、统一安装办公软件。

本讲任务?对域中的计算机，强制每个月必须修改密码，并且密码不能过于简单或反复使用。?此外还不允许员工自己配置网络邻居，自己添加和删除程序。

基本知识

1什么是组策略?“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。?组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。

各种组策略?计算机是否加入到域对策略的影响是很大的?没有加入到域中的计算机只有本地策略在起作用?而如果计算机加入到域中，牵涉的组策略就复杂得多了，包括本地策略、默认域策略、默认域控制器策略，还有组织单元上（OU）的策略等

2本地策略、本地安全策略?没有加入到域中的计算机只有本地策略在起作用?本地安全策略是本地策略的一部分

本地安全策略：在管理工具中

本地策略：在MMC中添加

添加管理单元：组策略对象编辑器

本地安全策略是本地策略的一部分

两种配置选项?计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。?用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。

3默认域策略?域策略会应用到整个域，域策略存储在域控制器上。?在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。

在MMC中可以添加默认域策略管理单元

默认域控制器策略?默认域控制器策略是应用到域中的域控制器的。?在“ActiveDirectory用户和计算机”窗口中的左边选中“DomainControllers”，右击鼠标选择“属性”项，选择“组策略”选项卡。?域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。?默认域控制器策略是安装Windows2003时自动创建的、应用到域控制器上的策略。

4各种策略存在的位置

各种策略并存时，哪个在起作用？?作用顺序：l首先是本地策略l然后是域策略l域控制器策略（域控制器上才有）?如果发生不同组策略对同一策略项设置了不同的值，后者将替代前者?也就是说本地策略的优先级是最低的。如果有需要我们可以改变这种替代关系，稍后才介绍如何改变。

配置步骤

1创建组策略n每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略n而域上可以有多个组策略，我们可以在一个域上同时应用多个组策略

也可以在原有的策略上直接进行修改

创建新的组策略，则域上有多个策略存在n有多个策略时，排在列表上面的组策略具有较高的优先级n对于同一策略设置，上面的组策略会替代下面的组策略

修改域控制器上的默认策略

2设置密码策略

在成员服务器上刷新组策略：gpupdate

在成员服务器上检查本地安全策略是否被更新可以看到策略已经更新为在域上面设置的策略了

测试策略是否生效更改用户密码时，要求满足设置的密码策略了

3配置桌面

阻止更改“任务栏”和“开始”菜单

4不要保留打开文档的记录不想让人知道自己浏览过哪些网页和打开过哪些文件。

5关闭一些不需要的服务

6控制用户或组访问注册表的权限

用户或组访问注册表的权限

企业疑难问题解析

问题?公司的不少员工使用office，可是有好几个版本的office，我能用组策略统一安装一个版本的office吗？l可以，组策略中的用户配置?软件设置?软件安装就是为了完成这个用途。可以在域中统一使用某一软件。?我是否可以使用组策略把员工的计算机都设成一个模样？l完全一样很难做到，如果真做到，估计员工会造反，管理员要在个性和统一之间做个平衡。不过可以做到大同小异。