域管理组策略及其应用ppt课件

主讲教师主讲教师:谭鸣钟谭鸣钟Windows Server 2003服务器服务器操作系统操作系统主讲教师:谭鸣钟Windows Server 2003服务器1第第10章章 组策略及其应用组策略及其应用 主要知识点：主要知识点：一、活动目录结构和组策略一、活动目录结构和组策略（了解）（了解）二、配置安全策略二、配置安全策略（掌握）（掌握）三、管理用户环境三、管理用户环境（掌握）（掌握）四、文件夹重定向四、文件夹重定向（掌握）（掌握）第10章 组策略及其应用 主要知识点：2一组策略概述一组策略概述 组组策策略略是是Windows Server 2003操操作作系系统统中中提提供供的的一一种种重重要要的的更更新新和和配配置置管管理理技技术术。系系统统管管理理员员使使用用组组策策略略来来为为计计算算机机和和用用户户组组管管理理桌桌面面配配置置指指定定的的选选项项。组组策策略略很很灵灵活活，它它包包括括如如下下的的一一些些选选项项：基基于于注注册册表表的的策策略略设设置置、安安全全设设置置、软软件件安安装装、脚脚本本、计计算算机机启启动动与与关关闭闭、用用户户登登录录和和注注销销，文文件件重重定定向向等等。Windows Server 2003包包括括几几百百种种可可以以配配置置的的组组策策略略设设置置。组组策策略略设设置置允允许许企企业业管管理理员员通通过过增强和控制用户桌面来减少总的开销。增强和控制用户桌面来减少总的开销。一组策略概述 组策略是Windows3 组组策策略略只只允允许许用用户户一一次次性性地地规规定定自自己己的的环环境境，在这之后，依赖操作系统来强制实施。在这之后，依赖操作系统来强制实施。组组策策略略对对象象不不是是用用户户配配置置文文件件。用用户户配配置置文文件件是是用用来来进进行行用用户户环环境境设设置置的的，它它允允许许用用户户进进行行更更改改，如如：桌桌面面设设置置、NTUSER.DAT文文件件中中的的注注册册表表配配置置、用用户户配配置置文文件件目目录录、MyDocuments以以及及Favorites等等。而而组组策策略略是是由由系系统统管管理理员员管管理理和和维维护护的的，系系统统管管理理员员使使用用（MMC，Microsoft Manage Controller）工具来对用户组和计算机组设置策略。）工具来对用户组和计算机组设置策略。组策略只允许用户一次性地规定自己的环4 默默认认情情况况下下，组组策策略略能能够够从从站站点点、域域、最最后后到到组组织织单单元元继继承承而而来来。应应用用组组策策略略对对象象（把把它它们们链链接接到到它它们们的的目目标标上上）的的顺顺序序和和级级别别决决定定了了用用户户或或计计算算机机实实际际能能收收到到的的组组策策略略设设置置。另另外外，组组策策略略能能够够在在站站点点、域域、组组织织单单元元这这些些级级别别上上被被阻阻塞塞；组组策策略略还还能能够够基基于于组组策策略略对对象象强强制制实实施施。这这可可以以通通过过将将组组策策略略对对象象链链接接到到它它们们的的目目标标上上，然然后后将将链链接接设设置置为为非覆盖方式来实现。非覆盖方式来实现。默默认认情情况况下下，组组策策略略影影响响站站点点、域域、或或组组织织单单元元中中所所有有用用户户和和计计算算机机，而而不不影影响响站站点点、域域、或或组织单元中的其他对象。组织单元中的其他对象。默认情况下，组策略能够从站点、域、最5 组组策策略略插插件件为为基基于于注注册册表表的的策策略略、安安全全设设置置、软软件件安安装装、脚脚本本和和文文件件夹夹重重定定向向提提供供内内置置的的特特征征。用用户户创创建建的的组组策策略略设设置置包包含含在在组组策策略略对对象象中中，也也可可以以从从属属于于任任何何非非本本地地（即即基基于于活活动动目目录录）的的组组策策略略对对象象。使使用用组组策策略略指指定定的的策策略略设设置置是是Windows Server 2003中中启启用用中中心心化化的的更更新新和和配配置置管管理理的的首首选方式。选方式。组策略插件为基于注册表的策略、安全设6组策略设置能够：组策略设置能够：与站点、域、组织单元相关联与站点、域、组织单元相关联在站点、域、组织单元中影响用户和计算机在站点、域、组织单元中影响用户和计算机被安全组中的用户或计算机成员进一步控制被安全组中的用户或计算机成员进一步控制是安全的，仅仅系统管理员能更改设置是安全的，仅仅系统管理员能更改设置在策略改变时被删除和重写在策略改变时被删除和重写用于很好地调整桌面控制，增强用户的计算环境用于很好地调整桌面控制，增强用户的计算环境组策略设置能够：与站点、域、组织单元相关联7二二 活动目录结构和组策略活动目录结构和组策略 组组策策略略的的实实现现是是企企业业在在规规划划活活动动目目录录结结构构设设置置时时需需要要考考虑虑的的因因素素之之一一。组组策策略略的的基基本本单单元元是是组组策策略略对对象象（Group Policy Object）。组组策策略略对对象象是是用用户户链链接接所所有有组组策策略略对对象象的的基基本本单单元元。不不能能仅仅仅仅将将组组策策略略对对象象的的一一个个子子集集链链接接到到目目标标上上。使使用用安安全全组组来来过过滤滤组组策策略略范范围围同同样样可可达达到到打打开开或或关关闭闭组组策策略略对对象的目的，它不是仅能作用到部分组策略对象上。象的目的，它不是仅能作用到部分组策略对象上。有有两两种种类类型型的的组组策策略略对对象象：本本地地组组策策略略对对象象和非本地组策略对象。和非本地组策略对象。二 活动目录结构和组策略 组策略的8 组组策策略略对对象象存存储储在在Windows Server 2003的的域域中中，其作用由它们所链接的站点、域或组织单元启用。其作用由它们所链接的站点、域或组织单元启用。链链接接到到一一个个站站点点（使使用用活活动动目目录录站站点点和和服服务务）的的组策略对象能够应用于站点上的所有域。组策略对象能够应用于站点上的所有域。一一个个域域的的组组策策略略对对象象直直接接应应用用于于域域中中的的所所有有计计算算机机和和用用户户，从从而而被被组组织织单单元元（通通常常为为活活动动目目录录容容器）中的所有用户和计算机继承。器）中的所有用户和计算机继承。应应用用到到组组织织单单元元的的组组策策略略对对象象直直接接应应用用到到组组织织单单元元中中所所有有用用户户和和计计算算机机，从从而而被被组组织织单单元元（通通常常为活动目录容器）中所有用户和计算机继承。为活动目录容器）中所有用户和计算机继承。组策略对象存储在Windows Se9 不不可可能能将将一一组组策策略略对对象象链链接接到到通通常常的的活活动动目目录录容容器器中中。（通通常常的的活活动动目目录录容容器器可可以以由由它它在在活活动动目目录录用用户户与与计计算算机机控控制制台台上上的的文文件件夹夹图图标标来来区区分分。同同一一个个组组织织单单元元中中的的图图标标是是类类似似的的，除除了了有有一一本本小小书书的的图图形形叠叠放放在在文文件件夹夹上上）然然而而，通通常常的的活活动动目目录录容容器器中中的的用用户户和和计计算算机机接接收收这这些些类类型型的的策策略略，这这些些策策略略继继承承于于链链接接到到较较高高层层次次的的活活动动目目录录的的组组策策略略对对象象。例例如如，在在活活动动目目录录用用户户与与计计算算机机中中见见到到的的【User】和和【Computer】不不能能有有组组策策略略对对象象直直接接链链接接到到它它们们，但但是是它它们们可可以以通通过过继继承承接接收收链链接接到到域域的的组策略对象。组策略对象。不可能将一组策略对象链接到通常的活动10 本本地地组组策策略略对对象象首首先先被被应应用用，然然后后是是链链接接到到站站点点的的组组策策略略对对象象，再再然然后后是是链链接接到到域域的的组组策策略略对对象象以以特特定定顺顺序序被被应应用用，最最后后是是链链接接到到组组织织单单元元的的组组策策略略对对象象，其其顺顺序序是是开开始始于于最最高高层层（在在活活动动目目录录层层次次）的的组组织织单单元元（它它包包含含用用户户或或计计算算机机帐帐户户），终终止止于于最最低低层层（最最接接近近用用户户和和计计算算机机）的的组组织织单单元元（它它包包含含用用户户和和计计算算机机）。在在每每个个组组织织单单元元中中，任任何链接到它的组策略对象以指定的管理顺序被应用。何链接到它的组策略对象以指定的管理顺序被应用。本地组策略对象首先被应用，然后是链接11 应应用用的的顺顺序序（本本地地、站站点点、域域和和组组织织单单元元）对对于于活活动动目目录录体体系系结结构构非非常常有有意意义义。因因为为缺缺省省情情况况下下，对对每每种种设设置置而而言言，后后来来被被应应用用的的策策略略覆覆盖盖前前面面应应用用的的策策略略，而而无无论论后后来来被被应应用用的的策策略略是是“开开启启”还还是是“关关闭闭”。设设置置为为“未未定定义义”将将不不覆覆盖盖任任何何东东西西（任任何何早早期期被被应应用用的的设设置置），“打打开开”或或“关关闭闭”允许保留。允许保留。组组策策略略编编辑辑器器是是如如下下图图所所示示的的MMC插插件件，它它分分为为两两个个节节点点：【计计算算机机配配置置】和和【用用户户配配置置】。每每个个节节点点包包含含了了各各自自的的安安全全主主体体的的策策略略。可可以以把把策策略应用到任何一个组策略对象中的两个节点之一。略应用到任何一个组策略对象中的两个节点之一。应用的顺序（本地、站点、域和组织单元12组策略编辑器 组策略编辑器 133、配置安全策略、配置安全策略 安安全全策策略略用用于于Windows Server 2003网网络络的的安安全全设设置置。安安全全配配置置包包含含有有应应用用到到一一个个或或多多个个Windows Server 2003支支持持的的安安全全领领域域的的设设置置。指指定定的的安安全全配配置置被被应应用用到到计计算算机机作作为为组组策策略略强强制制的的一一部部分分。组组策策略略插插件件的的安安全全设设置置扩扩展展对对已已存存在在的的系系统统安全工具进行了补充。安全工具进行了补充。能为计算机配置安全领域的包括：能为计算机配置安全领域的包括：（1）帐户策略帐户策略 它它们们是是Windows Server 2003域域中中关关于于密密码码策策略、帐户锁定策略的计算机安全设置。略、帐户锁定策略的计算机安全设置。3、配置安全策略 14（2）本地策略本地策略 包包括括有有关关审审核核策策略略（试试图图登登录录时时审审计计成成功功或或失失败败）、用用户户权权限限分分配配（他他们们连连接接到到网网上上）、以以及及安安全选项（以匿名连接到计算机的能力）。全选项（以匿名连接到计算机的能力）。（3）事件日志事件日志 它它控控制制如如应应用用的的大大小小和和保保持持方方法法、安安全全、系系统统事事件件日日志志等等设设置置。可可以以通通过过事事件件浏浏览览器器来来访访问问这这些日志。些日志。（2）本地策略15（4）受限组受限组 允允许许用用来来控控制制是是否否需需要要属属于于安安全全敏敏感感组组，以以及及哪哪些些其其他他组组需需要要属属于于安安全全敏敏感感组组。这这就就允允许许系系统统管管理理员员强强制制有有关关敏敏感感组组的的成成员员关关系系策策略略，这这种种敏敏感感组组的的例例子子有有企企业业管管理理员员、薪薪水水册册等等。例例如如，有有可可能能决决定定仅仅仅仅有有两两个个用用户户成成为为企企业业管管理理员员组组，这这样样就就定定义义企企业业行行政政组组为为一一个个受受限限组组，它它仅仅包包含含两两个个成成员员。如如果果第第三三个个人人添添加加到到这这个个组组（例例如如，在在紧紧急急情情况况下下处处理理某某个个事事情情），下下一一次次策策略略实实施施时时该该用用户户被被自自动动的的从从企企业业管管理理员员组组删删除除。这这种种策策略略也也可可以以强强制制用用于于域域中中工工作作站站上上的的组组成成员员（即即，强强制制使使一一些些系系统统管管理理员从域中移到工作站上本地管理员组）。员从域中移到工作站上本地管理员组）。（4）受限组16（5）系统服务系统服务 它它控控制制启启动动模模式式及及系系统统服服务务的的访访问问权权限限，如如哪些用户能关闭和启动传真服务。哪些用户能关闭和启动传真服务。（6）注册表注册表 用用来来为为注注册册表表表表项项配配置置注注册册表表设设置置，包包括括访访问控制、审计、所有者。问控制、审计、所有者。（7）文件系统文件系统 它它用用来来为为文文件件系系统统对对象象配配置置安安全全设设置置，包包括括访问控制、审计、所有者。访问控制、审计、所有者。（5）系统服务171、帐户策略、帐户策略 装装入入组组策策略略的的MMC管管理理单单元元后后，出出现现本本地地计计算算机机策策略略选选项项。要要访访问问帐帐户户策策略略文文件件夹夹，需需展展开开【本本地地计计算算机机策策略略】、【计计算算机机配配置置】、【Windows设设置置】、【安安全全设设置置】和和【帐帐户户策策略略】。如下图所示。如下图所示。1、帐户策略18设置帐户策略 设置帐户策略 19（1）密码策略密码策略 密密码码策策略略（Password policies）可可以以强强制制在在计计算算机机上上执执行行安安全全要要求求。一一定定要要注注意意，密密码码策策略略在在各个计算机上设置，而不能对特定用户配置。各个计算机上设置，而不能对特定用户配置。密码策略选项使用如下（如下图所示）：密码策略选项使用如下（如下图所示）：强强制制密密码码历历史史：用用户户不不能能用用相相同同的的密密码码。用用户户在旧密码到期或改变时要创建新密码。在旧密码到期或改变时要创建新密码。密密码码最最长长使使用用期期限限：到到达达最最大大密密码码寿寿命命期期后后强强迫用户改变密码。迫用户改变密码。密密码码最最短短使使用用期期限限：不不允允许许用用户户连连续续多多次次改改变变密码以破坏强制密码历史策略。密码以破坏强制密码历史策略。（1）密码策略密码策略选项使用如下（如下图所示）：20密密码码长长度度最最小小值值：保保证证用用户户创创建建密密码码并并指指定定其其符符合合长长度度要要求求。如如果果不不设设置置这这个个选选项项，则则用用户户不需要创建密码。不需要创建密码。密密码码必必须须符符合合复复杂杂性性要要求求：防防止止用用户户将将常常用用字字典中的项目当作密码。典中的项目当作密码。用用可可还还原原的的加加密密来来存存储储密密码码：提提供供用用户户密密码码的的高级安全性。高级安全性。密码长度最小值：保证用户创建密码并指定其符合长度要求。如果不21密码策略 密码策略 22（2）帐户锁定策略帐户锁定策略 帐帐户户锁锁定定策策略略用用于于指指定定无无效效登登录录企企图图的的最最大大次次数数。它它通通常常被被配配置置成成在在y分分钟钟内内进进行行x次次登登录录失失败败时时帐帐户户将将在在指指定定的的时时间间段段内内锁锁定定，直直到到管管理理员员打打开开这个帐户锁，如下图所示。这个帐户锁，如下图所示。帐帐户户锁锁定定策策略略类类似似于于银银行行处处理理ATM访访问问码码安安全全性性的的方方法法。用用户户有有几几次次机机会会输输入入访访问问码码。这这样样，如如果果别别人人企企图图盗盗用用，那那么么他他无无法法一一直直猜猜访访问问码码。通通常常，几几次次访访问问失失败败后后，ATM机机会会吃吃掉掉这这个个卡卡，然然后需要从银行申请办理新卡。后需要从银行申请办理新卡。（2）帐户锁定策略23帐户锁定策略 帐户锁定策略 242、本地策略、本地策略 帐帐户户策策略略可可控控制制登登录录过过程程。要要控控制制用用户户登登录录之之后后的的操操作作，需需使使用用本本地地策策略略（local policies），如如下下图图所所示示。利利用用本本地地策策略略可可以以实实现现审审核核、指指定定用用户权限和设置安全选项。户权限和设置安全选项。设置本地策略 2、本地策略 设置本地策略 25（1）审核策略审核策略 可可以以通通过过审审计计策策略略审审核核与与用用户户管管理理有有关关的的事事件件。通通过过跟跟踪踪某某个个事事件件，可可以以创创建建特特定定任任务务的的历历史史，其其界面如下图所示。界面如下图所示。审核策略（1）审核策略审核策略 26 定定义义审审计计策策略略时时，可可以以选选择择采采用用审审核核访访问问也也可可以以选选择择特特定定事事件件故故障障。事事件件成成功功表表示示任任务务顺顺利利完完成，事件失败表示任务没有顺利完成。成，事件失败表示任务没有顺利完成。缺缺省省情情况况下下，审审核核过过程程并并不不启启用用，需需要要手手工工配配置置。配配置置审审核核过过程程之之后后，可可以以通通过过事事件件查查看看器器、安全日志浏览审核结果。安全日志浏览审核结果。审审核核太太多多事事件件会会因因为为增增大大处处理理要要求求而而降降低低系系统统性性能能。审审核核还还需需要要大大量量磁磁盘盘空空间间来来存存放放审审核核日日志志，因此事件查看实用程序要慎用。因此事件查看实用程序要慎用。定义审计策略时，可以选择采用审核访问27（2）用户权限分配用户权限分配 用用户户权权限限分分配配确确定定了了用用户户和和组组对对计计算算机机的的权权利利。用用户户权权利利的的一一个个例例子子是是备备份份文文件件和和目目录录权权利利。这这个个权权利利使使用用户户可可以以备备份份文文件件与与文文件件夹夹，如如下下图图所所示。示。用户权限分配（2）用户权限分配用户权限分配 28（3）安全选项安全选项 启启用用或或禁禁用用计计算算机机的的安安全全设设置置，例例如如数数据据的的数数字字信信号号、Administrator和和Guest的的帐帐户户名名、软软盘盘驱驱动动器器和和光光盘盘的的访访问问、驱驱动动程程序序的的安安装装以以及及登登录录提提示，如下图所示。示，如下图所示。安全选项（3）安全选项安全选项 29四管理用户环境四管理用户环境 管管理理用用户户环环境境意意味味着着控控制制用用户户在在登登录录网网络络时时有有哪哪些些权权利利，以以及及用用户户桌桌面面上上会会出出现现哪哪些些内内容容。集集中中配置和管理用户环境，可以执行下列任务：配置和管理用户环境，可以执行下列任务：把把用用户户访访问问限限制制在在所所选选择择的的操操作作系系统统的的某某些些部部分分。可可以以防防止止用用户户打打开开控控制制面面板板和和关关闭闭计计算算机机。通通过过防防止止用用户户访访问问一一些些关关键键的的操操作作系系统统组组件件和和配置选项，可以减少用户破坏系统的可能性。配置选项，可以减少用户破坏系统的可能性。四管理用户环境 管理用户环境意味着控30 要要有有效效地地配配置置和和管管理理用用户户环环境境，应应确确保保用用户户只只可可以以访访问问他他们们工工作作需需要要的的资资源源。利利用用管管理理模模板板可可以以简简化化用用户户环环境境并并防防止止用用户户破破坏坏工工作作环环境境或或把把时时间间花在不必要的应用程序、软件和文件上。花在不必要的应用程序、软件和文件上。限限制制使使用用Windows Server 2003中中的的工工具具和和组组件件。这这些些工工具具和和组组件件包包括括Internet Explorer、资资源源管管理理器器和和MMC。可可以以不不让让用用户户看看到到这这些些工具，除非他们确实需要使用。工具，除非他们确实需要使用。组组装装用用户户桌桌面面。可可以以确确保保用用户户有有他他们们所所需需要要的的文件、快捷方式和网络连接。文件、快捷方式和网络连接。使用管理模板可以配置和管理用户环境。使用管理模板可以配置和管理用户环境。要有效地配置和管理用户环境，应确保用31 如如下下图图所所示示，【本本地地计计算算机机】策策略略有有两两个个部部分分：计计算算机机的的配配置置主主要要集集中中于于Windows Server 2003的的管管理理，而而用用户户的的配配置置主主要要集集中中于于控控制制用用户户如如何何能能够够影响桌面环境。影响桌面环境。使用管理模板管理用户环境 如下图所示，【本地计算机】策略有两个部32 管管理理模模板板设设置置分分成成七七种种类类型型，下下表表列列出出了了管管理理模板扩展中不同类型的设置。模板扩展中不同类型的设置。设置置类型型控控 制制可使用者可使用者Windows组件 用户可以访问的Windows Server 2003及其工具和组件部分，例如用户对MMC的访问。计算机和用户系统 登录、退出过程。利用系统设置，可以管理组策略、更新间隔、磁盘配额等。计算机和用户网络 网络连接和拨号连接的属性，包括共用网络访问。计算机和用户任务栏和开始菜单 用户可以从开始菜单中访问的功能部件。例如，如果删除“运行”菜单，用户将不能运行没有图标或快捷方式的应用程序。可以把开始菜单设置为只读方式，这样可以防止用户修改。用户桌面 活动桌面。通过隐藏某些桌面图标并控制用户对My Documents文件夹使用，可以控制用户对网络的访问。用户控制面板 控制面板上的一些应用程序。包括限制对添加/删除程序，显示和打印机的使用。用户共享文件夹 控制用户是否允许发布共享文件夹或DFS根。用户 管理模板设置分成七种类型，下表列出了管理模板33五文件夹重定向五文件夹重定向 在在用用户户配配置置文文件件中中，可可以以使使用用文文件件夹夹重重定定向向扩扩展展来来重重定定向向下下面面的的任任何何文文件件夹夹到到可可选选的的位位置置（如如网络共享）：网络共享）：Application DataDesktopMy DocumentsMy Pictures开始菜单开始菜单五文件夹重定向 在用户配置文件中34 可可以以重重定定向向一一名名用用户户的的My Documents文文件件夹夹到到server_nameshare_name%username%，并并且且提供如下的好处：提供如下的好处：可可以以确确保保用用户户从从一一台台计计算算机机漫漫游游到到另另一一台台计计算算机机，并并且且无无论论在在有有或或没没有有漫漫游游用用户户配配置置文文件件的的情况下用户的文档都是可用的。情况下用户的文档都是可用的。可可以以把把用用户户的的数数据据存存储储在在网网络络上上而而不不是是本本地地计计算算机机上上，这这就就为为用用户户提提供供了了管管理理和和保保护护数数据据的的另一种方式。另一种方式。当当用用户户从从企企业业网网上上断断开开时时，可可以以通通过过离离线线文文件件夹技术使用户的基于网络的文件夹可用。夹技术使用户的基于网络的文件夹可用。可以重定向一名用户的My Docume35 类类似似的的好好处处适适用用任任何何重重定定向向文文件件夹夹，而而不不仅仅仅仅是是My Documents文文件件夹夹。重重定定向向到到一一个个DFS共共享在服务器失败时增加了安全性。享在服务器失败时增加了安全性。设置文件夹重定向的步骤如下：设置文件夹重定向的步骤如下：第第1步步 打开组策略编辑器。打开组策略编辑器。第第2步步 展展开开【用用户户配配置置】，展展开开【Windows设设 置】，然后展开【文件夹重定向】。置】，然后展开【文件夹重定向】。第第3步步 右右键键单单击击需需要要重重定定向向的的文文件件夹夹名名称称，单单击击 【属属性性】，然然后后提提供供目目标标路路径径和和位位置置。后后表表 是【目标】标签上的选项说明。是【目标】标签上的选项说明。类似的好处适用任何重定向文件夹，而不36选 项说 明明设置【没有具体指定的管理策略】。默认设置。【基本】，把所有文件夹重定向到同一位置。【高级】，为不同的安全组指定位置。该选项允许重定向用户的文件夹并根据组成员资格指定不同的位置。目标文件夹位置 选择【基本】的时候会出现该选项。该选项把所有的文件夹重定向到同一位置，并允许为新位置指定通用命名条例（UNC）的路径名。可以按下列格式用登录名字建立目标文件夹名字：server_nameshare_name%username%。安全组成员资格 选择【高级】的时候会出现该选项。该选项为不同的安全组制定具体位置。这里会出现安全组和重定向文件夹的路径。和上一个选项一样，可以用登录名建立文件夹名字。目标标签选项 选 项说 明设置【没有具体指定的管理策略】。默认设置。目37 【设设置置】标标签签上上的的选选项项控控制制文文件件夹夹重重定定向向的的方方式式。应应该该注注意意这这些些设设置置的的预预设设值值，这这可可能能和和服服务务器器磁磁盘盘空空间与安全性相关。下表是文件夹重定向设置的解释。间与安全性相关。下表是文件夹重定向设置的解释。选 项效效 果果授予文件夹用户独占权默认选中，该设置确保只有用户和系统有权访问文件夹。管理人员不能访问这些文件夹。把文件夹移到新位置默认选中，该设置在组策略下一次实现的时候把文件夹移动到新位置。策略删除当重定向策略删除的时候，可以将文件夹保留在重定向的位置。【设置】标签上的选项控制文件夹重定向的方式。应该注381.组策略概论组策略概论:是是一一个个管管理理用用户户工工作作环环境境的的技技术术,通通过过他他可可以以确确保保用用户户拥拥有所需要的工作环境有所需要的工作环境,也可以用他来限制用户也可以用他来限制用户,减轻管理员的负担。减轻管理员的负担。1.1 组策略的功能组策略的功能:1、账户策略：如设定用户密码长度，使用期限，账户锁定、账户策略：如设定用户密码长度，使用期限，账户锁定 2、本地策略：如审核策略、用户权限的指派，安全性、本地策略：如审核策略、用户权限的指派，安全性 3、脚本（、脚本（scripts）：如登录）：如登录/注销，启动注销，启动/关机。关机。4、用用户户工工作作环环境境：如如隐隐藏藏桌桌面面图图标标，删删除除开开始始菜菜单单中中的的“运运行行/搜索搜索/关机关机”等功能。等功能。1.组策略概论:39 5、软软件件的的安安装装与与删删除除：启启动动计计算算机机时时，自自动动为为用用户户安安装装应应用用软件，自动修复应用软件或删除。软件，自动修复应用软件或删除。6、限制软件的运行：限制域用户只能运行某些软件。、限制软件的运行：限制域用户只能运行某些软件。7、文件夹转移：改变文件夹的存储位置、文件夹转移：改变文件夹的存储位置 8、其他系统设定：让所有计算机自动信任指定、其他系统设定：让所有计算机自动信任指定CA 组策略包含组策略包含“计算机配置计算机配置”和和“用户配置用户配置”两部分：两部分：一一、计计算算机机配配置置：当当启启动动计计算算机机时时，系系统统就就会会根根据据“计计算算机机配配置置”的的内内容容来来配配置置计计算算机机的的环环境境。如如针针对对域域配配置置了了组组策策略略，那那么么此此组组策策略略内内的的“计计算算机机配配置置”就就会会被被应应用用到到此域内的所有计算机。此域内的所有计算机。5、软件的安装与删除：启动计算机时，自动为用户安装应用40 二二、用用户户配配置置：当当用用户户登登录录时时，系系统统就就会会根根据据“用用户户配配置置”的的内内容容来来配配置置用用户户的的工工作作环环境境。如如针针对对“业业务务部部”OU设设定定了了组组策策略略内内的的“用用户户配配置置”就就会会被被应应用用到到此此OU内内的的所所有有用用户。户。除除了了可可以以针针对对站站点点，域域或或OU设设定定策策略略外外，还还可可以以针针对对本本地计算机设定组策略。地计算机设定组策略。1.2 组策略对象：组策略对象：组组策策略略是是通通过过“组组策策略略对对象象（GPO）”来来设设定定的的，只只要要将将GPO连连接接到到指指定定的的站站点点、域域或或OU，该该GPO内内的的设设定定值值就就会影响到该对象的所有计算机或用户。会影响到该对象的所有计算机或用户。二、用户配置：当用户登录时，系统就会根据“用户41域管理组策略及其应用ppt课件42域管理组策略及其应用ppt课件43域管理组策略及其应用ppt课件441.3 组策略的应用时机：组策略的应用时机：当当修修改改了了GPO的的配配置置后后，这这些些配配置置值值并并不不是是立立即即有有效效，而而是是必必须须等等他他们们应应用用到到用用户户或或计计算算机机后后才才有有效效。何何时时有有效效，要要看是计算机配置，还是用户配置而定。看是计算机配置，还是用户配置而定。一、计算机配置的启用时间：一、计算机配置的启用时间：1、计算机开机时、计算机开机时 2、即使计算机不重启，系统也会自动启用：、即使计算机不重启，系统也会自动启用：域控制器：每域控制器：每5分钟分钟 非域控制器：每非域控制器：每90120分钟分钟 不论策略配置是否改动，系统每不论策略配置是否改动，系统每16小时自动启用一次小时自动启用一次 3、手动（、手动（WIN2003）：）：gpupdate/target:computer/force 1.3 组策略的应用时机：45 二、用户配置的启用时间：二、用户配置的启用时间：1、用户登录时：、用户登录时：2、每、每90120分钟分钟 不论策略配置是否改动，系统每不论策略配置是否改动，系统每16小时自动启用一次小时自动启用一次 3、手动：、手动：gpupdate/target:user/force 二、用户配置的启用时间：462.组策略实例：组策略实例：2.1计算机配置：计算机配置：由由于于系系统统默默认认只只有有某某些些组组内内的的用用户户，才才有有权权限限在在域域控控制制器器的的计计算算机机上上登登录录，因因此此一一般般用用户户在在利利用用域域控控制制器器的的时时候候，会会出现出现“此系统的本地策略不允许你交互登录此系统的本地策略不允许你交互登录”的字样。的字样。那我们如何让其他用户也可以来登录到域控制器上呢？那我们如何让其他用户也可以来登录到域控制器上呢？Active Directory用用户户和和计计算算机机Domain Contorllers属性属性组策略组策略 2.组策略实例：47域管理组策略及其应用ppt课件48域管理组策略及其应用ppt课件49域管理组策略及其应用ppt课件50域管理组策略及其应用ppt课件51 但但不不是是我我们们对对策策略略配配置置好好了了，就就可可以以马马上上生生效效，而而必必须须等等待这个策略应用到域控制器上后，才可以使用。待这个策略应用到域控制器上后，才可以使用。2.2 用户配置：用户配置：我我们们利利用用组组策策略略中中的的“用用户户配配置置”，让让一一个个OU中中的的用用户户在登录域后，删除在登录域后，删除”开始开始“菜单中的菜单中的“运行运行”选项。选项。业务部业务部属性属性组策略组策略按图操作按图操作 但不是我们对策略配置好了，就可以马上生效，而必52域管理组策略及其应用ppt课件53域管理组策略及其应用ppt课件54域管理组策略及其应用ppt课件55域管理组策略及其应用ppt课件56域管理组策略及其应用ppt课件57域管理组策略及其应用ppt课件583.组策略的处理规则：组策略的处理规则：域域控控制制器器与与域域内内的的计计算算机机在在处处理理、应应用用组组策策略略时时，有有一一定定的的程程序序与与规规则则，了了解解他他们们，才才可可以以通通过过组组策策略略来来管管理理用用户户和和计算机。计算机。3.1 一般的继承与处理规则：一般的继承与处理规则：1、如如果果父父容容器器（high-level container）的的某某个个策策略略被被配配置置，但但其其子子容容器器（low-level container）的的策策略略未未被被配配置置，则则子子将将继继承承父父的的配配置置值值。如如：的的GPO内内的的某某策策略略已已经经配配置置了了，但但OU业业务务部部的的策策略略还还是是未未配配置置，那那么么OU将将继继承承a 的策略。的策略。3.组策略的处理规则：59 2、如如果果子子容容器器内内的的某某个个策策略略被被配配置置，则则此此配配置置值值会会覆覆盖盖由由其其父容器继承下来的配置。父容器继承下来的配置。3.组组策策略略的的配配置置是是累累加加性性的的，如如在在业业务务部部内内建建立立了了一一个个GPO，同同时时在在域域和和站站点点也也都都有有GPO，则则域域、站站点点和和业业务务部部的的GPO将将累加起来，作为业务部的最后的有效值。累加起来，作为业务部的最后的有效值。但当他们出现冲突时，则以处理顺序在后的但当他们出现冲突时，则以处理顺序在后的GPO优先。优先。系统处理顺序是；站点、域系统处理顺序是；站点、域、OU 所以其中所以其中OU的优先级别最高最优先。的优先级别最高最优先。2、如果子容器内的某个策略被配置，则此配置值会覆盖由60 4、系系统统是是先先处处理理“计计算算机机配配置置”，再再处处理理“用用户户配配置置”。如如果果他他们们发发生生冲冲突突时时，虽虽然然“用用户户配配置置”在在后后，但但大大部部分分情情况况下下是以是以”计算机配置计算机配置”为先。为先。5、如如果果将将多多个个GPO连连接接到到同同一一个个OU，那那么么所所有有的的GPO将将进进行累加，但如果他们出现冲突，则以前面的行累加，但如果他们出现冲突，则以前面的GPO配置为优先。配置为优先。注：注：“本地计算机的策略本地计算机的策略”优先级别最低。优先级别最低。3.2例外的继承配置：例外的继承配置：1、阻止策略继承：、阻止策略继承：通过选择子容器的通过选择子容器的“阻止策略继承（阻止策略继承（Block Inheritance）”选项来设置不继承父容器传来的选项来设置不继承父容器传来的GPO配置配置。4、系统是先处理“计算机配置”，再处理“用户配置”。如61域管理组策略及其应用ppt课件62 2、强制策略继承：可以在父容器内通过GPO”禁止代替”选项强制子容器必须继承（不可覆盖）此GPO内的设定，且不论是否设置了“阻止策略继承”2、强制策略继承：、强制策略继承：可以在父容器内可以在父容器内通过通过GPO”禁止禁止代替代替”选项强制选项强制子容器必须继承子容器必须继承（不可覆盖）此（不可覆盖）此GPO内的设定，内的设定，且不论是否设置且不论是否设置了了“阻止策略继阻止策略继承承”2、强制策略继承：可以在父容器内通过GPO”禁止代替”选634.常见的利用组策略来管理用户环境：常见的利用组策略来管理用户环境：4.1 管理模板策略：管理模板策略：当当客客户户端端的的计计算算机机在在处处理理“管管理理模模板板策策略略”时时，会会将将这这些些策策略略存存储储到到用用户户计计算算机机的的“登登录录”内内，但但不不会会原原有有的的值值覆覆盖盖，系系统统将将同同时时运运行行“管管理理模模板板策策略略”和和本本地地计计算算机机默默认认的的登登录录值值，但但出出先先冲冲突突时时，会会以以“管管理理模模板板策策略略”为为主主。如如果果用用户户的的计计算算机机脱脱离离GPO约约束束时时（如如GPO被被删删除除），用用户户将将恢恢复复原原来来的的默默认设置。认设置。4.常见的利用组策略来管理用户环境：64域管理组策略及其应用ppt课件654.2 用户策略用户策略：对他们一一设定对他们一一设定4.2 用户策略：对他们一一设定664.3 用户权限分配策略：用户权限分配策略：4.3 用户权限分配策略：674.4 安全选项策略：安全选项策略：4.4 安全选项策略：685.组策略的委派管理：组策略的委派管理：我我们们将将GPO的的链链接接、添添加加与与编编辑辑等等管管理理工工作作，分分派派给给不不同同的用户负责，以分散的用户负责，以分散GPO的管理负担。的管理负担。链接链接GPO到站点、域或到站点、域或OU的委派：的委派：系系统统默默认认Domain Admins或或Enterprise Admins组组内内的的用用户户可可以以将将GPO链链接接到到站站点点、域域或或OU，其其他他没没有有，我我们们可可以以委委派派给他们。给他们。5.组策略的委派管理：69域管理组策略及其应用ppt课件70域管理组策略及其应用ppt课件71域管理组策略及其应用ppt课件72域管理组策略及其应用ppt课件73域管理组策略及其应用ppt课件74域管理组策略及其应用ppt课件75六六 作业作业1、练习配置本地安全策略、练习配置本地安全策略2、练习配置域安全策略、练习配置域安全策略3、配置文件夹重定向、配置文件夹重定向六 作业1、练习配置本地安全策略76