XP網(wǎng)絡組建與系統(tǒng)管理(2).ppt

Windows 2000/XP網(wǎng)絡組建與系統(tǒng)管理,李燕,中南分校,第九章 用戶操作環(huán)境管理,本章主要介紹： 用戶配置文件的基本概念 用戶配置文件的三種類型和配置方法 登錄腳本和主目錄的基本概念 組策略的定義 基于組策略的管理,用戶操作環(huán)境管理,用戶的工作環(huán)境包含桌面上所出現(xiàn)的項目與設置，例如: 屏幕的顏色、鼠標的設置、窗口的大小與位置、網(wǎng)絡驅動器與網(wǎng)絡打印機的連接以及應用程序的設置等。 在Windows 2000的網(wǎng)絡上，可以通過以下的工具來管理用戶的工作環(huán)境： 用戶配置文件、登錄腳本、主目錄、組策略、環(huán)境變量、磁盤配額,用戶配置文件,用戶配置文件概念 用戶配置文件是包含著用戶所有自行設置的工作環(huán)境，存儲用戶桌面設置、應用程序設置以及用戶個人資料和與登錄相關的其他信息。 它會由Windows 2000在用戶第一次登錄時創(chuàng)建。 例如：只要使用系統(tǒng)中建立的一個帳戶登陸系統(tǒng)一次，就會在系統(tǒng)根目錄的Documents and Settings文件夾的下面會生成一個以這個帳戶為文件夾名字的文件夾。,用戶配置文件示意圖,以administrator為例，如圖所示：,用戶配置文件 ：內容,應用程序數(shù)據(jù)：程序的專用數(shù)據(jù)。這部分內容是由程序供應商決定在用戶配置文件中存儲那些； Cookie：用戶信息和首選項 桌面：桌面上面的各個項目，包括文件、快捷方式和文件夾 Favorites（收藏夾）：到Internet上經(jīng)常訪問網(wǎng)頁的位置的快捷方式。 Local Settings：應用程序數(shù)據(jù)、歷史和臨時文件。,用戶配置文件 ：內容,我的文檔：用戶文檔和子文件夾 My Recent Documents：指向最近使用過的文檔和訪問過的文件夾的快捷方式。 Sent To：指向文檔處理實用程序的快捷方式。 【開始】菜單：指向程序項的快捷方式。 Templates：用戶模板項目。 NetHood：指向【網(wǎng)上鄰居】項的快捷方式。 PrintHood：指向打印機文件夾項的快捷方式。,用戶配置文件,作為網(wǎng)絡的策劃者，在具體實施的時候既可以在不同的計算機上創(chuàng)建不同的用戶配置文件以求得到不同的工作環(huán)境，也可以全部都使用同樣的用戶配置文件以獲得相同的工作環(huán)境。 使用用戶配置文件有以下幾個特點： 1） 用戶在每次登錄到計算機時，有默認的或預先設置的工作環(huán)境與界面。,用戶配置文件,2） 多個用戶在使用同一臺計算機時，每個用戶都可以有他個人的工作環(huán)境設置，互不干擾； 3）用戶登錄到工作站時，其桌面設置與他注銷離開時的設置保持一致。 4）用戶配置文件可以存儲在服務器上，當用戶登錄到運行Windows 2000的計算機上時，該用戶配置文件同樣有效。,用戶配置文件的結構,刪除：將選中的配置文件從本機中刪除。 更改類型：將用戶配置文件設置為“本地配置文件”或“漫游配置文件”兩種類型之一。 復制到：將一個用戶的配置文件復制成另外一個用戶的配置文件。,請注意，在Windows XP/2003環(huán)境下，用戶配置文件的設置和Windows 2000并不相同。 演示如下：,用戶配置文件的類型,用戶配置文件的三種類型 本地配置文件 第一次登錄到計算機時，將創(chuàng)建本地用戶配置文件，并保存在計算機的本地硬盤上。 漫游用戶配置文件 漫游用戶配置文件由系統(tǒng)管理員創(chuàng)建，并保存在服務器上。每次登錄到網(wǎng)絡上的任何一臺計算機時，都可以使用該配置文件。,用戶配置文件的類型,強制用戶配置文件 強制用戶配置文件也是漫游配置文件，只是它是只讀的。用來為個人或整個用戶組指定特殊的設置。 只有系統(tǒng)管理員才能更改強制用戶配置文件。 每次登錄時，都使用固定的配置。當注銷用戶時，系統(tǒng)不保存用戶所做的任何改變。當用戶再次登錄時，配置文件仍然和上次登錄時一樣。,用戶配置文件的內容來源,在Windows 2000中，有兩套相互獨立的結構聯(lián)合構成了用戶的工作環(huán)境，它們分別是%SystemRoot%Documents and Settings目錄下的“All Users”（所有用戶）目錄和“Default User”（默認用戶）目錄。 當用戶第一次登錄計算機時，通過對以上兩種規(guī)范的結合，為該用戶創(chuàng)建一個配置文件。盡管不同用戶的配置文件會不相同，但所有用戶在首次登錄時，其配置文件是相同的,用戶配置文件的內容來源,All Users目錄 “All Users”目錄也可稱為“所有用戶”配置文件，它包含了通用程序組和桌面快捷方式。,用戶配置文件的內容來源,通用程序組內的程序可供所有登錄這臺計算機的用戶使用，也就是無論哪個用戶登錄時，其屏幕上都會有此程序組。 通用程序組的作用是為工作站上的所有用戶提供通用的訪問特性。 前提：每個用戶必須具有使用這個應用程序的權限。,用戶配置文件的內容,Default User目錄 為某一個用戶提供默認的訪問特性，因此，它要比“All Users”目錄包含更多的內容。,設置漫游配置文件,建立一個空的漫游配置文件,設置漫游配置文件,在上述步驟完成后，當用戶登錄時，就會自動在該路徑建立一個空的漫游配置文件。當用戶注銷時，其所做的任何修改都會保存到此漫游配置文件中。以后，該用戶就以此配置文件作為工作配置。 注意： 1、如果用戶使用漫游配置文件，在用戶注銷時，用戶本地配置文件既保存在本地計算機上，又保存在用戶配置文件路徑中。,設置漫游配置文件,2、使用了漫游用戶配置文件，無論用戶在何處登錄，只要服務器可用，就可以使用這個配置文件。 3、如果服務器不可用，系統(tǒng)將使用漫游用戶配置文件在本地計算機上的緩存副本。如果用戶以前沒有在這臺計算機上登錄過，系統(tǒng)將創(chuàng)建新的本地用戶配置文件。,到用戶的工作站上利用administrator登錄,建立一個預先設置好的漫游配置文件,用liping帳號登錄,注銷后以zhanghua 帳戶登錄，其工作環(huán)境與以liping 帳戶登錄的工作環(huán)境相同。,設置漫游配置文件,創(chuàng)建強制用戶配置文件 如果用戶是使用服務器上的強制配置文件登錄，在登錄后仍然可以修改其工作環(huán)境，不過，這些修改不會被保存到服務器上去，而只能保存在本地計算機上的本地配置文件中。 即:下次再使用服務器上的強制配置文件登錄時使用的仍然是原來未修改的強制配置文件的設置，只有使用本地機上的本地配置文件登錄，才能使用新的設置。,設置漫游配置文件,創(chuàng)建強制配置文件方法： 將用戶配置文件復制到服務器上，然后將這個用戶配置文件中的NtUser的后綴.dat改為.man，這個用戶配置文件就變成了強制配置文件。,定制默認用戶配置文件,自定義單一計算機的默認用戶配置文件,登錄腳本,登錄腳本(Logon Script)就是當用戶登錄時計算機自動執(zhí)行的程序，它可以是擴展文件名為.BAT或.CMD的批處理文件，或是.EXE的可執(zhí)行文件。登錄腳本可以被看作網(wǎng)絡上的AUTOEXEC.BAT文件。 登錄腳本的作用 使用登錄腳本可以設置單個用戶的環(huán)境，也可以對多個用戶的環(huán)境進行統(tǒng)一化?？梢詫蝹€登錄腳本賦給所有用戶，或者給每個用戶配置不同的登錄腳本，也可以混合使用這兩種策略。,登錄腳本,使用登錄腳本可以完成以下任務： (1) 用戶登錄到工作站時使用登錄腳本可以自動運行MS-DOS的批處理文件、內部命令和可執(zhí)行文件。 (2) 實現(xiàn)主目錄（用戶保存私有文件的目錄）。 (3) 將在服務器上的用戶賬號中定義的參數(shù)拷貝到用戶計算機的MS-DOS環(huán)境變量中，這些變量可以由登錄腳本和可以使用這些變量的應用程序所使用。,登錄腳本,登錄腳本的執(zhí)行 用戶登錄時，系統(tǒng)從驗證用戶登錄請求的計算機的保存登錄腳本的目錄中下載該腳本并執(zhí)行之。 驗證用戶登錄請求的計算機通常是響應用戶登錄請求的第一個域控制器，要確保域內所有用戶賬號的登錄腳本都能正常工作，系統(tǒng)管理員必須保證所有登錄腳本與域內的每一個服務器保持同步。,登錄腳本的設置 用戶登錄時，如果用戶賬號中存在登錄腳本路徑，且存在此腳本文件，則系統(tǒng)運行該腳本，如果在“登錄腳本”文本框中只輸入文件名而無路徑，則默認的路徑為“%SystemRoot%SCRIPTS”,登錄腳本,主目錄,主目錄是用戶的私人目錄，用于保存用戶私人的文件，這是在My Documents之外建立的另一個存儲個人文檔的目錄。 主目錄的存儲位置 主目錄的存儲位置可以是在客戶計算機的硬盤中，也可以是在Windows2000 Server的硬盤中，還可以是在主域控制器的硬盤中。但是，這個目錄最好創(chuàng)建在服務器上，使得用戶的文件能夠在服務器上方便地進行備份。,主目錄,可以把所有的主目錄存儲在一個文件服務器上。 這樣做的好處： 1） 可以讓在網(wǎng)絡的任何客戶機上使用同一主目錄。 2） 文檔的備份和管理工作集中化。 3） 運行任何Microsoft操作系統(tǒng)的客戶計算機上都可以使用主目錄。,主目錄,創(chuàng)建主目錄 在服務器上創(chuàng)建一個目錄，并設置為共享。 設置共享目錄的許可權限，使用戶可以訪問此目錄。 單擊“開始”“程序”“管理工具”“Active directory用戶和計算機”，出現(xiàn)管理窗口。 雙擊要為之設置主目錄的用戶名，系統(tǒng)顯示出此用戶屬性的對話框。,5、單擊“確定”按鈕，設置完畢。 6、單擊“配置文件”卡，在主目錄的編輯框中選中“連接(C)”單選按鈕，并輸入服務器及主目錄路徑。,主目錄,主目錄,在 “我的文檔”中，每一個用戶都有一個專用的文件夾，這是在創(chuàng)建用戶時建立的。 用戶可以改變它的位置。,使用組策略管理用戶環(huán)境,什么是組策略？ 組策略是一種在用戶或計算機集合上強制使用一些配置的設置方法。 組策略設置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件。 例如: 用戶登錄后使用的程序，用戶桌面上出現(xiàn)的程序快捷方式，以及“開始”菜單中的內容等。使用組策略單元，可以為特定的用戶創(chuàng)建特定的桌面配置。,使用組策略管理用戶環(huán)境,組策略的內容 用戶配置：包含有影響用戶環(huán)境的相關設置。 計算機配置：包含有網(wǎng)絡中計算機的相關設定參數(shù)。,使用組策略管理用戶環(huán)境,注意： 組策略和用戶配置文件的區(qū)別： 用戶配置文件：用來進行用戶環(huán)境設置的，它允許用戶自己進行更改，如桌面設置、我的文檔和收藏夾等。 組策略：由系統(tǒng)管理員管理和維護的，系統(tǒng)管理員按照組策略管理工具來對用戶和計算機設置策略。,使用組策略管理用戶環(huán)境,Windows NT 4.0 與Windows 2000的策略比較 在Windows NT 4.0 中，微軟公司引入了系統(tǒng)策略編輯器工具。該工具允許網(wǎng)絡管理員設定存儲在Windows NT 注冊表中的用戶和計算機設置。 系統(tǒng)策略設置 其實就是注冊表的設置，用來定義桌面環(huán)境中不同組件的功能。在Windows 2000中，可以通過使用組策略管理工具為特定的用戶和計算機創(chuàng)建特定的桌面配置。,使用組策略管理用戶環(huán)境,Windows NT 4.0系統(tǒng)策略的局限性 策略文件為二進制文件，篇幅大，限制了可使用策略的范圍。 當策略已在服務器上刪除后，仍然會有一些信息殘留在系統(tǒng)策略中，想要除去這些信息通常很困難。 系統(tǒng)策略僅可更新注冊表。 系統(tǒng)策略僅可在一個文件內發(fā)布，使得管理員不能為特殊的用戶群體建立專用策略。,組策略概述,組策略是為用戶提供一種本地機和網(wǎng)絡的運行環(huán)境，是用于定義用戶享有使用各種權限的一種集合。,組策略概述,組策略通常是系統(tǒng)管理員為加強整個域或網(wǎng)絡共同的策略而設置的，它會影響到用戶賬戶、組、計算機和組織單元。 組策略根據(jù)所影響的配置可分為以下幾種策略類別： (1) 磁盤配額策略 (2) 加密文件系統(tǒng)恢復策略 (3) 安全策略,組策略概述,(4) 用戶和計算機策略(注冊表更新) (5) 文件夾重定向策略 (6) 登錄/注銷腳本 (7) 軟件安裝 此外，組策略設置還定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件。掌握好組策略對于網(wǎng)絡管理和維護意義重大。 下面僅舉兩例來實證一下。,實例一,使用組策略禁止客戶機上的應用程序,實例二,和未使用過組策略的客戶機上進行比較。,使用組策略禁止客戶機改變TCP/IP設置,用戶和計算機組策略的功能描述,組策略的存儲 用戶和計算機組策略由在登錄時發(fā)布至域的客戶端注冊表更新組成。這些更新存儲在名為REGISTRY.POL的文件中。 每個策略包含兩個REGISTRY.POL文件，一個用于存放用戶配置設置，另一個用于存放計算機配置設置。,用戶和計算機組策略的功能描述,組策略對象的內容 應用程序配置組策略： 分配和發(fā)布用戶能夠訪問的應用程序。,用戶和計算機組策略的功能描述, 文件配置組策略：組策略管理員把文件放置在客戶機的特殊文件夾中，如“開始”菜單或桌面上。 腳本組策略：在特定時間執(zhí)行腳本或批處理文件的設置，如桌面外觀、應用程序設置。 安全組策略：設置用戶對文件夾和文件的使用及控制用戶權限，即建立本地計算機、域及網(wǎng)絡安全設置。,組策略對象,組策略是配置的集合，這些設置包含在組策略對象(GPO，Group Policy Object)內。 組策略對象在兩個位置存儲組策略信息：組策略容器(GPC，Group Policy Container)和組策略模板(GPT，Group Policy Templete)。 其中： 組策略容器存儲AD中，并提供版本信息。 組策略模板存儲在域控制器的SYSVOL文件夾中。,組策略對象,組策略對象（GPO）簡介 組策略對象（GPO）是設置組策略的基礎。 在設置組策略之前，必須創(chuàng)建一個或多個組策略對象，然后通過組策略編輯器（Group Policy Editor）設置所創(chuàng)建的組策略對象。 在Windows 2000中，用戶首先創(chuàng)建一個GPO，然后對這個GPO進行配置。由于每個GPO包含的都是設置的集合，用戶可以為每一個GPO指定不同的配置，使此GPO只影響所指定的計算機和用戶。,組策略容器和組策略模板,組策略容器（GPC，Group Policy Container） GPC是包含組策略對象屬性和版本信息的活動目錄對象。由于GPC在活動目錄中，所以計算機能夠訪問它來查找組策略模板，域控制器能夠訪問它來獲取版本信息。 一個域控制器使用版本信息來識別它是否有最新版本的組策略對象。如果域控制器沒有最新版本，就會從擁有最新版本組策略的域控制器上進行復制。,組策略容器和組策略模板,每一個GPC都是由一個復雜的字符串命名的，它使用與其他的GPC不同的全局唯一標記（GUID）。,組策略容器和組策略模板,組策略模板（GPT） GPT存在于域控制器的共享系統(tǒng)卷標文件夾里，是一個文件夾的層次結構。 當創(chuàng)建一個GPO的時候，Windows 2000相應地創(chuàng)建GPT文件夾的層次結構。GPT包含有所有的組策略信息。 GPT文件夾的名稱是創(chuàng)建的GPO的GUID，它和GPC中用來標識GPO的GUID是一樣的。,組策略容器和組策略模板,組策略容器和組策略模板,策略的層次 策略能被連接到影響同一客戶端的各種容器當中。當一個客戶端從不同的容器來源下載策略設置時，它將把每個策略類型（用戶和計算機）的設置合并。 當用戶或計算機從一個以上的來源下載策略時，系統(tǒng)將按照層次來排序，并有序地加以應用。,組策略容器和組策略模板,下面是基于策略的注冊表更新的來源和它們的層次： 傳統(tǒng)NT系統(tǒng)策略 在Windows 2000網(wǎng)絡中，允許存在Windows NT的域控制器。為了向下兼容，Windows 2000客戶端會檢查域控制器的NETLOGON共享中是否存在NTCONFIG.POL文件。這些系統(tǒng)策略會對本地注冊表造成持久的影響。因此，必要時可以僅用這個檢查操作。,組策略容器和組策略模板,本地 本地Windows 2000計算機擁有一組本地的用戶和計算機策略。 站點 站點是根據(jù)WAN結構和網(wǎng)絡分布的地理位置而設置的，與網(wǎng)絡的邏輯結構無關，因此組策略與站點的關聯(lián)可能會比較復雜，因為他有超越邊界的潛在可能。站點策略最好是用來發(fā)布只有本地網(wǎng)絡才擁有的網(wǎng)絡配置。,組策略容器和組策略模板,域 域策略被應用于域中的每一個用戶和計算機，而不考慮站點位置，一個企業(yè)中的各個部門是使用域策略還是使用OU策略要看企業(yè)的管理是采用集中管理還是分散管理。,組策略容器和組策略模板,OU 與OU相關聯(lián)的組策略擁有最高的優(yōu)先權。這給了本地管理者更多的控制本地桌面的權力。 默認情況下，這些策略一致時，后應用的策略將覆蓋以前應用的策略。但是，如果這些設置不一致，前后的策略都將作為有效策略。,管理模板,組策略管理模板是基于注冊表的用來管理用戶環(huán)境的設置。 管理模板設置分成七種類型，都是有關用戶和計算機的設置。 其中，“計算機配置”主要集中于Windows 2000的管理，而“用戶配置”主要集中于控制用戶如何才能影響桌面環(huán)境。 Windows組件：可以應用于計算機和用戶對象。,管理模板,包括用戶可以訪問的Windows 2000及其工具和組件、控制用戶對MMC的訪問。 系統(tǒng)：可以應用于計算機和用戶對象。包含登錄和注銷過程，利用系統(tǒng)設置還可以管理組策略、更新時區(qū)和啟用磁盤配額。 網(wǎng)絡：可以應用于計算機和用戶對象。包含網(wǎng)絡連接和撥號連接的屬性，可以控制網(wǎng)絡訪問能力。 打印機：可以應用于計算機對象。對打印機設置，可以自動公布在活動目錄中。,管理模板,工具欄和開始菜單：可以應用于用戶對象。包含用戶可以從“開始”菜單中訪問的組件。 桌面：可以應用于用戶對象。通過 隱藏某些桌面圖標并控制用戶對“我的文檔”文件夾的使用，可以控制用戶對網(wǎng)絡的訪問。 控制面板：可以應用于用戶對象。包含控制面板上的一些應用程序。,管理模板,管理模板,使用組策略,活動目錄中的組策略繼承 創(chuàng)建GPO后，用戶要把它與選定的活動目錄容器(站點、域或OU)關聯(lián)。 GPO中的設置影響容器及所有子容器中的計算機和用戶賬號。 用戶可以把多個活動目錄容器與同一個GPO關聯(lián)，或者把多個GPO與同一個活動目錄容器相關聯(lián)。,使用組策略, 繼承順序 組策略默認的繼承順序是站點、域，然后才是OU。依照這個順序，OU的GPO是最終的Windows 2000要作用于計算機或用戶的組策略設置。 這個默認順序允許最靠近底層計算機或用戶的活動目錄容器中的組策略設置覆蓋在活動目錄中高層的容器中與之沖突的組策略。,使用組策略,通常子OU中的對象會自動繼承父OU的組策略設置。然而，一個組策略設置可能同時在父OU和子OU中進行了配置。在這種情況下，組策略設置的相容性決定了最后配置的結果。 1、父OU和子OU同時配置了組策略設置，并且設置相容時，兩個OU的設置都起作用。 2、父OU和子OU同時配置了組策略設置，并且設置不相容時，則子OU就不繼承父OU中的這個設置，即保留自己的組策略設置。,使用組策略, 修改繼承 如果默認的繼承順序不能滿足需求，用戶可以修改指定的GPO的繼承規(guī)則。Windows 2000提供了兩種改變默認順序的選項： 禁止覆蓋(No Override) 使用此該選項禁止子容器覆蓋（重載）在高層設置的GPO。當多個GPO被設置為“禁止重載”時，在活動目錄層次上最高等級的有“禁止重載”選項的GPO優(yōu)先。,使用組策略,阻止策略繼承(Block Inheritance) 特定OU的本地管理員可以阻止從目錄中站點、域或者父OU中繼承策略，也可以降低其優(yōu)先級。使用這個選項，禁止一個子容器從父容器繼承策略。 當一個OU要求唯一的組策略設置時，此選項是有用的?！白柚共呗岳^承”選項適用于所有父容器的GPO。 在沖突的情況下，“禁止重載”選項要優(yōu)先于“阻止策略繼承”選項。,使用組策略, 組策略和站點 鏈接到一個站點的GPO影響該站點中的所有計算機，而不管該計算機屬于哪個域。 但是，GPO只存儲在一個域中。因為一個站點可能包含多個域，所有該站點中的計算機必須與包含該GPO的域的域控制器打交道。 因此當用戶創(chuàng)建一個站點的GPO時需要考慮網(wǎng)絡流量問題。,使用組策略,組策略的處理順序 用戶必須清楚組策略設置處理的順序，以便不會錯誤地重載某個設置。 Windows 2000應用組策略中的“計算機設置”啟動計算機、運行啟動腳本；應用組策略中的“用戶設置”控制用戶登錄、運行登錄腳本。 客戶機上的組策略每90分鐘、域控制器上的每5分鐘刷新一次。,使用組策略,組策略設置按如下順序進行處理： 啟動計算機 “計算機設置”的各組策略設置生效。缺省情況下是同步的。 在缺省情況下，各啟動腳本同步運行。這意味著每個腳本在下一項開始前必須完成，否則超時。 在顯示用戶登錄的屏幕之前，對影響計算機賬號的所有GPO進行處理。,使用組策略, 用戶登錄 對“用戶設置”的組策略設置進行處理。 運行登錄腳本。默認情況下，登錄腳本異步運行。若有與用戶賬號有關的腳本，則它們最后運行。,使用組策略,創(chuàng)建組策略對象,使用組策略,管理GPO權限 創(chuàng)建GPO時，設置了如下的默認權限： Authenticated Users組享有“讀”和“應用組策略”的權限。 系統(tǒng)賬號、Domain Admin和Enterprise Admins組享有“讀”、“寫(Write)”、“創(chuàng)建所有子對象”和“刪除所有子對象”的權限。,使用組策略,使用組策略, 過濾組策略對象的作用域 GPO中的組策略設置只影響那些擁有“應用組策略”和“讀”權限的計算機和用戶。,使用組策略, 委派控制權限 Domain Admins組成員可以使用權限來標識哪個管理員組可以修改GPO中的策略。為了實現(xiàn)這個目標，網(wǎng)絡管理員創(chuàng)建管理員組，然后對這些組中選定的GPO進行“讀”和“寫”授權。這就允許Domain Admins組成員委派GPO的控制。具有對一個GPO的 “讀”和“寫”權限的管理員可以控制該GPO的所有方面的操作。,使用組策略,修改繼承選項 設置“禁止重載”以防止其他GPO重載該GPO所設置的組策略。,使用組策略, 改變多個GPO的處理順序。 “組策略”選項卡上列出了鏈接到該站點、域或OU上的所有GPO。 這些GPO的處理按照卡上所列出的從下向上的順序進行。 若在同一站點、域或OU的不同GPO中有沖突的組策略設置，在列表上高處位置的GPO中包含的組策略設置重載其他低位置處的GPO中包含的組策略設置。,要改變這個順序，選中列表中的GPO，然后單擊“向上”和“向下”在列表中移動GPO。,使用組策略,使用組策略, 此處以假設的名為“技術部”的OU為例，在圖中的“組策略”選項卡上，選中 “阻止策略繼承”，以防止父容器的GPO被應用到指定的子容器中。 禁用組策略對象,使用組策略,刪除組策略對象,使用組策略編輯器,組策略編輯器概述 用戶可以以兩種方式打開組策略編輯器： 在某個站點、域或OU的“屬性”對話框中的“組策略”選項卡上，在組策略中選擇想要查看的GPO，然后單擊“編輯”按鈕。 添加組策略管理單元和所有需要的擴展到MMC控制臺，然后選擇想要進行配置的GPO。,使用組策略編輯器,修改“管理模板”設置,使用組策略編輯器,登錄腳本的管理和修改腳本設置 什么是組策略腳本？ 網(wǎng)絡管理員可以利用組策略中的腳本功能來運行批處理文件、可執(zhí)行程序和支持腳本的Windows腳本主機。如果網(wǎng)絡管理員需要實現(xiàn)某些管理功能，但是現(xiàn)存的組策略設置選項不能實現(xiàn)時，那么管理員可以建立一個腳本來完成這些任務，然后通過組策略自動運行腳本。,使用組策略編輯器,組策略腳本設置可以集中存儲腳本文件，在計算機啟動、關閉、用戶登錄和退出的時候自動運行?？梢灾付ㄔ赪indows 2000上運行任何腳本，包括批處理文件、可執(zhí)行程序和支持腳本的Windows腳本主機。 例如: 可以用網(wǎng)絡連接、打印機連接、應用程序的快捷方式和公司文檔組建用戶環(huán)境，還可以用腳本在用戶退出和關閉計算機的時候清除桌面等等。,使用組策略編輯器,Windows 2000按以下順序運行腳本： 當為一個用戶或計算機指定多個登錄/注銷或者啟動/關閉腳本時，腳本按照“屬性”對話框所列的順序從上到下運行。 當計算機關閉時，Windows 2000首先處理注銷腳本，然后處理關閉腳本。 默認情況下，處理腳本的超時取值為10分鐘。,使用組策略編輯器,設置腳本的組策略設置步驟：,使用組策略編輯器,配置文件夾重定向 什么是文件夾重定向？ “重定向”是指把這些文件夾從用戶的硬盤上重定向到服務器的硬盤中。 重定向文件夾使用戶可以定位并訪問他們的數(shù)據(jù)，不管他們從什么計算機上登錄。存儲在服務器中的數(shù)據(jù)看起來好象在用戶本地計算機上。 可以重定向的文件夾是“我的文檔”、應用程序數(shù)據(jù)、“桌面”和“開始”菜單等。,使用組策略編輯器,使用文件夾重定向的好處。 桌面和“開始”菜單的重定向能夠幫助管理員將整個用戶群體指向同一個位置從而建立一個通用的用戶界面。 減少用戶連接斷開網(wǎng)絡的時間。 把用戶數(shù)據(jù)保存到網(wǎng)絡上(而不是本地計算機)，從而數(shù)據(jù)就可由信息技術部門管理和保護。,使用組策略編輯器,操作步驟：,使用組策略編輯器,修改軟件策略,使用組策略管理組策略,實施組策略指南,實現(xiàn)組策略的方法依賴于單位與網(wǎng)絡的結構，以下提供一些關于實現(xiàn)組策略的原則： 對阻止策略繼承、禁止重載選項以及域間鏈接的GPO的使用進行限制。 限制影響用戶或計算機的GPO的數(shù)目，計算機啟動和用戶登錄的時間受到需要進行處理的GPO的數(shù)目的很大影響。,實施組策略指南, 禁用無用的GPO的部分。 在單個GPO中作相關組的設置。 創(chuàng)建GPO時，要考慮性能及委派。在GPO中，合并設置從而減少用戶登錄時必須進行處理的GPO數(shù)目可以提高性能。,使用組策略管理軟件,對于許多組織來說，大多數(shù)計算機技術資源都耗費在網(wǎng)絡管理