组策略-UnderstandingBasicHTML

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第7章内容回顾,备份类型有哪几种,系统状态数据包含哪些内容,还原DC的系统状态数据的主要步骤,制定任务计划要主要哪些要素,组策略,第8章,本章目标,利用组策略管理域中的计算机和用户工作环境，实现软件分发,理解组策略作用,掌握组策略继承与阻止继承操作,理解组策略应用顺序,掌握组策略强制生效、筛选组策略设置,掌握软件分发方式：指派与发布,本章结构,组策略概念,应用规则,软件设置,组策略作用,组策略结构,组策略简单应用,继承与阻止继承,累加,应用顺序,组策略,计算机配置,/,用户配置,强制生效,筛选,分发软件,修复软件,删除软件,升级软件,组策略的作用2-1,方便地管理,AD,中的计算机和用户,用户桌面环境,计算机启动,/,关机与用户登录,/,注销时所执行的脚本文件,软件分发,安全设置,域,域控制器,组策略,活,动,目,录,组策略的作用2-2,使用组策略可以,对域设置组策略影响整个域的工作环境，对,OU,设置组策略影响本,OU,下的工作环境,降低布置用户和计算机环境的总费用,因为只须设置一次，相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性,推行公司使用计算机规范,桌面环境规范,安全策略,组策略适用哪些操作系统,组策略结构3-1,组策略的具体设置数据保存在,GPO,中,默认的,2,个,GPO,默认域策略,默认域控制器策略,GPO,所链接的对象,SDOU,GPO,控制,SDOU,中的计算机和用户,SDOU,GPO,计算机,用户,组策略,组策略结构3-2,站点的概念,活动目录中的站点是从物理上抽象的概念,由一个或几个通过高速联接在一起的,IP,子网组成,站点和域的关系,一个站点中可以有多个域,一个域中可以有多个站点,站点的主要作用,优化复制,使用户能够使用可靠、高速的连接登录到域控制器上,组策略结构3-3,GPC,（组策略容器）与,GPT,（组策略模板）,GPC,：,GPC,是包含,GPO,属性和版本信息的活动目录对象,GPT,：,GPT,在域控制器的共享系统卷（,SYSVOL,）中，是一种文件夹层次结构,查看,GPC,和,GPT,组策略简单应用,BENET,公司要求销售部的员工不能随意更改桌面背景,步骤,1,）右击销售部,OU|【,属性,】|【,组策略,】,，单击,【,新建,】,，输入,GPO,的名字为“销售部,GPO”,2,）打开,【,组策略编辑器,】,，选择“阻止更改墙纸”,3,）双击“阻止更改墙纸”，启用该策略，然后关闭,【,组策略编辑器,】,计算机配置与用户配置2-1,计算机配置,软件设置,Windows,设置,脚本,安全设置,管理模板,Windows,组件,系统,网络,打印机,查看计算机配置,计算机配置与用户配置2-2,用户配置,软件设置,Windows,设置,远程安装服务,脚本（登录,/,注销）,安全设置,文件夹重定向,IE,浏览器维护,管理模板,Windows,组件,任务栏和,【,开始,】,菜单,桌面,控制面板,共享文件夹,网络,系统,查看用户配置,阶段总结,组策略有哪些作用,组策略适用哪些操作系统,默认的,2,个,GPO,是什么,站点和域的关系,组策略包含哪些内容,阶段练习,背景,BENET,公司为了统一公司的桌面设置，所有域用户不能随意修改背景,如何利用组策略实现此功能,目标,组策略的作用,修改GPO,组策略的用户配置,组策略应用规则,继承与阻止继承,累加,应用顺序,强制生效,筛选,继承与阻止继承,在默认情况下，下层容器会继承来自上层容器的,GPO,（组策略对象）,例如,销售部,OU,的,GPO,中设置,IE,主页,URL,为,北京销售部,OU,中的用户登录客户机后，,IE,的主页地址为“,”,子容器可以阻止继承上级的组策略,例如,销售部,OU,的,GPO,中设置主页,URL,为,右击北京销售部,|【,属性,】|【,组策略,】,选项卡，选中,【,阻止策略继承,】,选项,北京销售部,OU,中的用户登录客户机后，,IE,的主页地址不是“,”,验证继承和阻止继承,累加,容器的多个组策略设置如果不冲突，则最终的有效策略是所有组策略设置的总和,容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略,组策略设置,是否冲突,OU,的有效设置,域：,IE,主页设置为,OU,：已启用“阻止更改墙纸”,否,IE,主页设置为,阻止更改墙纸,域：已启用“阻止更改墙纸”,OU,：已禁用“阻止更改墙纸”,是,可以更改墙纸,验证累加效果,应用顺序,本地组策略对象,每台运行,Windows XP/2000/2003,的计算机都只有一个本地组策略对象,打开本地,GPO,的,2,种方法,MMC,和,gpedit.msc,组策略按以下顺序被应用：,LSDOU,1,）首先本地组策略对象,2,）如果有站点组策略，则应用之,3,）然后应用域组策略对象,4,）如果计算机或用户属于某个,OU,，则应用之,5,）如果计算机或用户属于某个,OU,的子,OU,，则应用之,销售部,工程部,域,强制生效,冲突,GPO,设置,“,强制生效”的,GPO,设置,强制生效是上级容器强制下级容器执行其,GPO,设置,如果销售部,OU,阻止继承域的策略,或者销售部,OU,与域的,GPO,设置冲突,销售部应用域的,GPO,设置,验证强制生效效果,强制生效,域,销售部,salemanager,Sales,不受,GPO,影响,受,GPO,影响,筛选组策略设置,GPO,设置,筛选可以阻止一个,GPO,应用于容器内的特定计算机和用户,验证筛选效果,设置读取和应用组策略的权限,允许,拒绝,阶段总结,下层容器默认继承来自上层容器的,GPO,子容器可以阻止继承上级的组策略,如果不冲突，则最终的有效策略是所有组策略设置的总和,如果冲突，则后应用的组策略覆盖先应用的组策略,组策略按以下顺序被应用：,LSDOU,上级容器的,GPO,强制生效,利用GPO实现软件设置,分发软件,修复软件,删除软件,升级软件,分发软件,分发软件的步骤,1,）获取,Windows,安装程序包文件；该软件包包含一个,.msi,文件以及必要的相关安装文件,2,）将软件安装文件放到一个软件分发点,3,）创建或修改,GPO,指派与发布的区别,指派， 程序在,【,开始,】,菜单中,发布， 程序显示在,【,控制面板,】|【,添加,/,删除程序,】,中,分发,Windows2003管理工具包,软件,修复软件,如果用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复,如果原来软件分发点上的安装文件发生丢失或损坏,在服务器上修复该软件的源文件,重新部署一次,删除软件,【立即从用户和计算机卸载软件】：下一次用户登录或计算机启动时，软件会被强制删除,【允许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不允许重新安装,升级软件,举例,Office2000,升级到,Office2003,Visio2000,升级到,visio2002,强制升级,会强制用户将当前软件升级到新的版本,可选升级,允许用户同时使用一个应用程序的两个版本,阶段总结,软件设置分为：分发、修复、删除、升级,分发软件,:,指派与发布的区别,删除软件的两种方法是什么,升级软件的两种方法是什么,阶段练习,背景,BENET,公司需要为域中的每个用户安装“,Windows Server 2003,管理工具包”,如何使用组策略实现此功能,目标：,组策略的软件设置,修改GPO,指派软件与发布软件,本章总结,组策略概念,应用规则,软件设置,组策略作用,组策略结构,组策略简单应用,继承与阻止继承,累加,应用顺序,组策略,计算机配置,/,用户配置,强制生效,筛选,分发软件,修复软件,删除软件,升级软件,GPO,SDOU,GPC,GPT,计算机配置,对容器中的计算机起作用,用户配置,对容器中的用户起作用,LSDOU,上级容器的,GPO,强制生效,筛选可以实现阻止一个,GPO,应用于容器内部的特定计算机和用户,1.,获取,Windows,安装程序包文件,2.,将软件安装文件放到一个软件分发点,3.,创建或修改,GPO,实验,任务1 组策略简单应用,任务2 利用GPO分发Windows 2003管理工具包,任务1 组策略简单应用,背景,BENET,公司为了统一公司的桌面设置，所有域用户不能随意修改背景,如何利用组策略实现此功能,完成标准,编辑默认域策略,管理员账户登录成员计算机不能修改桌面背景,任务2 利用GPO分发管理工具包,背景,BENET,公司需要为域中的每个用户安装“,Windows Server 2003,管理工具包”,如何使用组策略实现此功能,完成标准,编辑,GPO,，实现指派方式的软件分发,在成员计算机上的,【,开始,】,菜单的,【,管理工具,】,中增加了许多服务管理工具,