组策略应用教材

第八章第八章 组策略应用组策略应用Windows 2008系统管理系统管理课程回顾v域、树、林之间是什么关系？v如何将一台计算机安装成域控制器？v本地域组的特点是什么？v全局组的特点是什么？v如何实现OU的委派功能？章节目标v理解组策略的作用v理解组策略的应用顺序v会配置组策略的继承v会配置组策略的强制生效v会配置组策略实现软件分发 组策略的作用2-1v方便管理AD中用户和计算机的工作环境q用户桌面环境q计算机启动/关机与用户登录/注销时所执行的脚本文件q软件分发q安全设置域域域域组策略组策略组策略组策略组策略的作用2-2v通过组策略可以q对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境q降低布置用户和计算机环境的总费用q只须设置一次，相应的用户或计算机即可全部使用规定的设置q减少用户不正确配置环境的可能性q推行公司使用计算机的规范q桌面环境规范q安全策略v组策略适用的操作系统组策略的结构3-1v组策略的具体设置数据保存在GPO中 默认默认默认默认GPOGPO默认域策略默认域策略默认域策略默认域策略 默认域控制器策略默认域控制器策略默认域控制器策略默认域控制器策略 GPOGPO所链接的对象所链接的对象所链接的对象所链接的对象 SDOUSDOUGPOGPO控制控制控制控制用户和计算机用户和计算机用户和计算机用户和计算机组策略组策略GPOSDOU计算机计算机用户用户组策略的结构3-2v站点的概念 q活动目录中的站点是从物理上抽象的概念 q由一个或几个通过高速链路连接在一起的IP子网组成v站点和域的关系q一个站点中可以有多个域 q一个域中可以有多个站点v站点的主要作用 q优化复制q使用户能够使用可靠、高速的连接登录到域控制器上 组策略的结构3-3vGPC（组策略容器）与GPT（组策略模板）qGPC：GPC是包含GPO属性和版本信息的活动目录对象 qGPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构计算机配置与用户配置2-1v计算机配置q策略q软件设置qWindows设置q管理模板q首选项qWindows设置q控制面板设置计算机配置与用户配置2-2v用户配置q策略q软件设置qWindows设置q管理模板q首选项qWindows设置q控制面板设置案例：组策略的简单应用案例：组策略的简单应用v需求：q公司的网络采用域结构进行管理，销售部员工的用户账户都位于Sales_OU中，现要求销售部的员工统一使用公司指定的桌面背景，而且不能随意更改成其它桌面背景v实现思路：q创建并链接组策略q配置组策略q用户配置策略管理模板桌面桌面桌面墙纸 小结v请思考：q组策略能够链接在哪些对象上？q请举一个组策略应用的实例。组策略的应用规则v继承与阻止继承 v累加 v应用顺序 v强制生效 v筛选继承与阻止继承v在默认情况下，下层容器会继承来自上层容器的GPOv子容器可以阻止继承上级的组策略q右击容器阻止继承继承继承Sales_OU的组策略的组策略继承域的组策略继承域的组策略累加v容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和v容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置是否冲突OU的有效设置域：IE主页设置为http:/OU：已启用“阻止更改墙纸”否IE主页设置为http:/阻止更改墙纸域：已启用“阻止更改墙纸”OU：已禁用“阻止更改墙纸”是可以更改墙纸应用顺序v组策略按以下顺序被应用：LSDOUq首先应用本地组策略对象q如果有站点组策略对象，则应用之q然后应用域组策略对象q如果计算机或用户属于某个OU，则应用OU上的组策略对象q如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象q如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用强制生效v强制生效是上级容器强制下级容器执行其GPO设置强制的强制的筛选v筛选可以阻止一个GPO应用于容器内的特定计算机和用户Sales_OUManagerASalesGPO 设置设置:阻止更改墙纸阻止更改墙纸小结v请思考：q如果OU上的组策略设置与域上的组策略设置冲突，OU的有效策略是什么？q如果OU上的组策略设置与域上的组策略设置不冲突，OU的有效策略是什么？q组策略的应用顺序是什么？利用组策略实现软件分发v分发软件 v修复软件v删除软件 v升级软件 分发软件v分发软件的步骤 q获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件q将软件安装文件放到一个软件分发点q创建或修改GPOv分配与发布的区别q分配：分配到用户或计算机q发布：发布给用户q分配比发布更具强制性修复软件v用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复v如果原来软件分发点上的安装文件发生丢失或损坏q在服务器上修复该软件的源文件q重新部署一次删除软件v不再需要分发的软件，可以在GPO中删除软件设置 q下一次用户和计算机登录或启动时，软件会被强制删除q用户和计算机仍可继续执行使用软件，但不允许重新安装 升级软件v强制升级q强制用户将当前软件升级到新的版本v可选升级q允许用户同时使用一个应用程序的两个版本 实验案例1：组策略简单应用v需求描述：q公司搭建了Windows 2008域，域中有多个账户UserA、UserB和计算机账户Client01，如何使域中所有用户使用统一的桌面背景？域域域域实验案例1：组策略简单应用v实现思路：q利用组策略统一桌面背景q准备桌面背景图片q规划桌面背景图片的保存位置并共享q注意共享权限与NTFS权限实验案例1：组策略简单应用v学员练习：q在DC上共享文件夹并设置共享权限与NTFS权限q将背景图片保存至共享文件夹q在DC上创建并链接组策略q配置组策略q刷新组策略q验证组策略的应用结果 3030分钟完成分钟完成实验案例2：组策略的应用顺序 v需求描述：q公司搭建了Windows 2008域，域中有组织单位Sales_OU，该组织单位中有多个账户和计算机账户，所有的策略为默认状态，现在需要：q所有计算机在关闭时会显示“关闭事件跟踪程序”q所有经典开始菜单的用户不显示“注销”q所有Sales_OU中使用经典开始菜单的用户显示“注销”实验案例2：组策略的应用顺序v实现思路：q在域的组策略上设置“关闭事件跟踪程序”q在域组策略和OU组策略上对同一策略做不同设置q验证效果v学员练习：q分别设置组策略q验证组策略的继承与生效顺序3030分钟完成分钟完成实验案例3：实现软件分发和升级 v需求描述：q公司搭建了Windows 2008域，域中有多个用户账户UserA、UserB和计算机账户Client01，现要将MBSA2.0分发给所有域用户 实验案例3：实现软件分发和升级v实现思路：q利用组策略实现软件的分发与升级q准备软件的.msi安装包q规划安装包的保存位置并共享q注意共享权限与NTFS权限q注意安装软件用户的权限实验案例3：实现软件分发和升级v学员练习：q在DC上共享文件夹并设置共享权限与NTFS权限q将软件安装包保存至共享文件夹q在DC上创建并链接组策略q配置组策略软件分配q刷新组策略q在客户机登录检查软件是否已经成功安装q升级软件并验证3030分钟完成分钟完成