组策略-基础篇

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,组策略（基础篇）,1,学习目标,懂得组策略如何简化管理windows2003网络；,了解在windows2003网络中组策略的结构；,了解组策略各项的功能；,掌握组策略对象的创建；,掌握组策略对象的生效规则。,2,内容,介绍组策略概念,组策略的内容结构,在活动目录中设置组策略,组策略的生效规则,3,重、难点分析,重点：,组策略的功能,组策略的结构,组策略对象的创建,组策略的生效,难点：,组策略对象的存储结构,组策略对象的创建,组策略的生效,4,组策略(Group Policy)是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境,也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理负担.,任务一 组策略概述,5,使用组策略可以做到：,站点/域级别的集中管理，OU级别分散的管理,控制用户的系统软件环境,通过控制用户和计算机环境，降低管理成本,任务一 组策略介绍,2003就能连接使用这些设置,管理员使用组策略配置设置后,站点,域,OU,组策略,用户,计算机,6,组策略的功能展示,帐户策略的设定:,例如设定用户密码的长度、密码使用期限、帐户锁定策略等。,本地策略的设置：,例如审核策略的设置、用户权限的指派、安全性的设置。,脚本（scripts）的设置：,例如登录/注销、启动/关机脚本的设置。,用户工作环境的设置：,例如隐藏用户桌面上所有图标，删除“开始”菜单中的“运行”/“搜索”/“关机”等功能，添加“注销”功能等。,软件的安装与删除:,用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。,限制软件的运行:,通过各种不同软件限制的规则，来限制域用户只能运行某些软件。,文件夹重定向:,例如改变“我的文档”、“开始菜单”等文件夹的存储位置。,其他系统设置,7,用户组策略设置:用户登录时，系统根据此内容来配置用户的工作环境。,桌面环境设置,软件设置,Windows 设置,安全设置,计算机策略设置:启动计算机时，系统就会根据此内容来配置计算机的环境。,桌面环境设置,软件设置,Windows 设置,安全设置,组策略的组成,8,组策略的配置选项,计算机配置：,当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。,用户配置：,当用户登录时，系统就会根据“用户配置”来配置用户的工作环境。,注：除了可以针对站点、域、OU来设定组策略之外，还可以针对每一台计算机配置“本地计算机策略”，这个策略只会应用到本地计算机以及在此计算机登录的所有用户。,9,组策略基本规则,组策略只能够管理计算机与用户，不可以管理打印机、共享文件夹等其它对象。,组策略不能应用到组，只可以应用到站点、域控制器或者组织单位（Site、Domain、OU）等容器上。,组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应该使用本地安全策略来管理。,10,组策略是通过“组策略对象（Group Policy Object,GPO）”来设定的，只要将GPO链接到指定的站点、域或OU等容器上，该GPO内的设定值就会影响到该站点、域或OU内的所有用户和计算机。,内建的GPO：,系统已经有两个内建的GPO，分别是：,Default Domain Ploicy,此GPO已经被链接到域，因此它的设定值会被应用到整个域内的所有用户和计算机。,Default Domain Controller Ploicy,此GPO已经被链接到Domain Controller OU，因此它的设定值会被应用到域控制器组织单位内的所有用户和计算机，即默认只有域控制器。,任务二 组策略对象（,Group Policy Object,）,11,GPO,包含组策略设置,内容存储在两个场所,存储在活动目录数据库内,记载此,GPO,的属性与版本等数据,查看,GPC,：,AD,用户和计算机,-,查看,-,高级,-,选择域,-,展开,System,容器,-Policies,位于,DC%systemroot%SYSVOLSysvol,域名称,Policies,文件夹内,以,GUID,为文件夹名,存储,GPO,的配置值与相关文件的文件夹,组策略容器GPC,组策略模板GPT,组策略所有配置信息,GPO内容被分为GPC和GPT两部分：,GPO的内容,12,创建连接的组策略对象,创建连接的GPO,连接的GPO的名字,13,默认：,连接到域/OU域/企业管理员组,连接到站点企业管理员组,Group Policy Creator Owners组可创建和修改GPO，但不能建立连接。,新建的GPO没有任何设置,创建连接的组策略对象,14,当修改了站点、域或OU的GPO配置值后，并不是立刻就有效，而是必须等它们被应用到用户或计算机后才有效。,计算机配置的启用时间,计算机开机时自动启用,即使不重新开机，系统仍然会每隔一段时间自动启用：,域控制器 默认每隔,5,分钟自动启用,非域控制器 默认每隔,90120,分钟自动启用,不论策略配置值是否有变动，系统仍然会每隔,16,小时自动启用一次,手动启用：,gpupdate,/,darget:computer,/force,可从事件查看器内查看“,SceCli,”,事件来检查是否已经启用成功。,任务三 组策略的生效应用,15,用户配置的启用时间,用户登录时自动启用。,即使用户不注销、登录，系统默认每隔90120分钟自动启用。而且会每隔16小时自动启用一次。,手动启用：gpupdate /darget:user /force,16,组策略实例,在继续组策略高级功能之前，为了加深印象，下面关于计算机和用户的两个实例：,实例1：计算机配置,由于系统默认只有某些组内（administrators）的用户才有权限在扮演域控制器的计算机上登陆，因此一般用户登陆时会提示“此系统的本地策略不允许您交互登陆”,让所有的域用户都能登陆，修改“Default Domain Controller Ploicy ”中的“允许本地登陆”的权限。,17,组策略实例,实例2：用户配置,利用“用户配置”让某OU容器内的用户登陆后在“开始”菜单内没有“运行”选项。,选择此OU属性组策略新建用户配置管理模板任务栏和开始菜单从开始菜单中删除运行菜单,18,总结,组策略的介绍,组策略的结构,组策略对象的内容,组策略的生效时间,19,