XP網絡組建與系統(tǒng)管理(3)課件

1、XP網絡組建與系統(tǒng)管理(3)課件Windows 2000/XPWindows 2000/XP網絡組建網絡組建與系統(tǒng)管理與系統(tǒng)管理中南分校中南分校XP網絡組建與系統(tǒng)管理(3)課件第九章 用戶操作環(huán)境管理本章主要介紹：本章主要介紹： 用戶配置文件的基本概念 用戶配置文件的三種類型和配置方法 登錄腳本和主目錄的基本概念 組策略的定義 基于組策略的管理XP網絡組建與系統(tǒng)管理(3)課件用戶操作環(huán)境管理 用戶的工作環(huán)境用戶的工作環(huán)境包含桌面上所出現的項目與設置，例如例如: 屏幕的顏色、鼠標的設置、窗口的大小與位置、網絡驅動器與網絡打印機的連接以及應用程序的設置等。 在Windows 2000的網絡上，可以

2、通過以下的工以下的工具具來管理用戶的工作環(huán)境： 用戶配置文件、登錄腳本、主目錄、組策略、環(huán)境用戶配置文件、登錄腳本、主目錄、組策略、環(huán)境變量、磁盤配額變量、磁盤配額XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件 用戶配置文件概念用戶配置文件概念 用戶配置文件是包含著用戶所有自行設置的工作環(huán)境，存儲用戶桌面設置、應用程序設置以及用戶個人資料和與登錄相關的其他信息。 它會由它會由Windows 2000Windows 2000在用戶第一次登錄時創(chuàng)建。在用戶第一次登錄時創(chuàng)建。 例如：只要使用系統(tǒng)中建立的一個帳戶登陸系統(tǒng)一次，就會在系統(tǒng)根目錄的Documents and SettingsDocument

3、s and Settings文件夾的下面會生成一個以這個帳戶為文件夾名字的文件夾。XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件示意圖以以administratoradministrator為例，如圖所示：為例，如圖所示： XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件 ：內容 應用程序數據：應用程序數據：程序的專用數據。這部分內容是由程序供應商決定在用戶配置文件中存儲那些； CookieCookie：用戶信息和首選項 桌面桌面：桌面上面的各個項目，包括文件、快捷方式和文件夾 FavoritesFavorites（收藏夾）（收藏夾）：到Internet上經常訪問網頁的位置的快捷方式。 Local

4、SettingsLocal Settings：應用程序數據、歷史和臨時文件。XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件 ：內容 我的文檔：我的文檔：用戶文檔和子文件夾 My Recent DocumentsMy Recent Documents：指向最近使用過的文檔和訪問過的文件夾的快捷方式。 Sent ToSent To：指向文檔處理實用程序的快捷方式。 【開始】菜單：【開始】菜單：指向程序項的快捷方式。 TemplatesTemplates：用戶模板項目。 NetHoodNetHood：指向【網上鄰居】項的快捷方式。 PrintHoodPrintHood：指向打印機文件夾項的快捷方式。X

5、P網絡組建與系統(tǒng)管理(3)課件用戶配置文件 作為網絡的策劃者，在具體實施的時候既可以在不同的計算機上創(chuàng)建不同的用戶配置文件以求得到不同的工作環(huán)境，也可以全部都使用同樣的用戶配置文件以獲得相同的工作環(huán)境。 使用用戶配置文件有以下幾個特點：使用用戶配置文件有以下幾個特點： 1） 用戶在每次登錄到計算機時，有默認的或預先有默認的或預先設置的工作環(huán)境與界面設置的工作環(huán)境與界面。 XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件2） 多個用戶在使用同一臺計算機時，每個用戶都可以有他個人的工作環(huán)境設置，互不干擾互不干擾；3）用戶登錄到工作站時，其桌面設置與他注銷離開時的設置保持一致保持一致。4）用戶配置文件可

6、以存儲在服務器服務器上，當用戶登錄到運行Windows 2000的計算機上時，該用戶配置文件同樣同樣有效有效。 XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的結構 刪除：刪除：將選中的配置文件從本機中刪除。更改類型：更改類型：將用戶配置文件設置為“本地配置文件”或“漫游配置文件”兩種類型之一。復制到：復制到：將一個用戶的配置文件復制成另外一個用戶的配置文件。 XP網絡組建與系統(tǒng)管理(3)課件 請注意，在Windows XP/2003環(huán)境下，用戶配置文件的設置和Windows 2000并不相同。 演示如下：XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的類型 用戶配置文件的三種類型用戶配置文件的三

7、種類型本地配置文件本地配置文件 第一次登錄到計算機時，將創(chuàng)建本地用戶配置文件，并保存在計算機的本地硬盤保存在計算機的本地硬盤上。漫游用戶配置文件漫游用戶配置文件 漫游用戶配置文件由系統(tǒng)管理員創(chuàng)建，并保存在服保存在服務器上務器上。每次登錄到網絡上的任何一臺計算機時，都可以使用該配置文件。XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的類型強制用戶配置文件強制用戶配置文件 強制用戶配置文件也是漫游配置文件，只是它只是它是只讀的。是只讀的。用來為個人或整個用戶組指定特殊的設置。 只有系統(tǒng)管理員才能更改強制用戶配置文件。 每次登錄時，都使用固定的配置。當注銷用戶時，系統(tǒng)不保存用戶所做的任何改變。當用戶再

8、次登錄時，配置文件仍然和上次登錄時一樣。 XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的內容來源 在Windows 2000中，有兩套相互獨立的結構聯(lián)合構成了用戶的工作環(huán)境，它們分別是%SystemRoot%Documents and Settings目錄下的“All UsersAll Users”（所有用戶）目錄和“Default Default UserUser”（默認用戶）目錄。 當用戶第一次登錄計算機時，通過對以上兩種規(guī)范的結合，為該用戶創(chuàng)建一個配置文件。盡管不同用戶的配置文件會不相同，但所有用戶在首次登錄首次登錄時，其配置文件是相同的XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的內容

9、來源 All Users目錄 “All Users”目錄也可稱為“所有用戶所有用戶”配置文件，它包含了通用程序組和桌面快捷方式。 XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的內容來源 通用程序組通用程序組內的程序可供所有登錄這臺計算機的用戶使用，也就是無論哪個用戶登錄時，其屏幕上都會有此程序組。 通用程序組的作用作用是為工作站上的所有用戶提供通用的訪問特性。 前提前提：每個用戶必須具有使用這個應用程序的權限。 XP網絡組建與系統(tǒng)管理(3)課件用戶配置文件的內容 Default User目錄 為某一個用戶提供默認的訪問特性，因此，它要比“All Users”目錄包含更多的內容。XP網絡組建與系

10、統(tǒng)管理(3)課件設置漫游配置文件 建立一個空的漫游配置文件XP網絡組建與系統(tǒng)管理(3)課件設置漫游配置文件 在上述步驟完成后，當用戶登錄時，就會自動在該路徑建立一個空的漫游配置文件。當用戶注銷時，其所做的任何修改都會保存到此漫游配置文件中。以后，該用戶就以此配置文件作為工作配置。注意：注意： 1、如果用戶使用漫游配置文件，在用戶注銷時，用戶本地配置文件既保存在本地計算機上，又保存在用既保存在本地計算機上，又保存在用戶配置文件路徑中。戶配置文件路徑中。XP網絡組建與系統(tǒng)管理(3)課件設置漫游配置文件 2、使用了漫游用戶配置文件，無論用戶在何處登錄，只要服務器可用，就可以使用這個配置文件。只要服務

11、器可用，就可以使用這個配置文件。 3、如果服務器不可用，系統(tǒng)將使用漫游用戶配置文如果服務器不可用，系統(tǒng)將使用漫游用戶配置文件在本地計算機上的緩存副本。件在本地計算機上的緩存副本。如果用戶以前沒有在這臺計算機上登錄過，系統(tǒng)將創(chuàng)建新的本地用戶配置文件。 XP網絡組建與系統(tǒng)管理(3)課件 到用戶的工作到用戶的工作站上利用站上利用administrator登錄登錄建立一個預先設置好的漫游配置文件用用liping帳號登錄帳號登錄 注銷后以注銷后以zhanghua 帳戶登帳戶登錄，其工作環(huán)境與以錄，其工作環(huán)境與以liping 帳戶登錄的工作環(huán)境相同。帳戶登錄的工作環(huán)境相同。XP網絡組建與系統(tǒng)管理(3)課件

12、設置漫游配置文件創(chuàng)建強制用戶配置文件創(chuàng)建強制用戶配置文件 如果用戶是使用服務器上的強制配置文件登錄，在登錄后仍然可以修改其工作環(huán)境，不過，這些修改不會被保存到服務器上去，而只能保存在本地計算機上的本地配置文件中。 即:下次再使用服務器上的強制配置文件登錄時使用的仍然是原來未修改的強制配置文件的設置，只有使用本地機上的本地配置文件登錄，才能使用新的設置。 XP網絡組建與系統(tǒng)管理(3)課件設置漫游配置文件 創(chuàng)建強制配置文件方法： 將用戶配置文件復制到服務器上，然后將這個用戶配置文件中的NtUser的后綴.dat.dat改為.man.man，這個用戶配置文件就變成了強制配置文件。XP網絡組建與系統(tǒng)管

13、理(3)課件定制默認用戶配置文件自定義單一單一計算機計算機的默認用戶配置文件XP網絡組建與系統(tǒng)管理(3)課件登錄腳本 登錄腳本登錄腳本(Logon Script)(Logon Script)就是當用戶登錄時計算機自動執(zhí)行的程序，它可以是擴展文件名為.BAT或.CMD的批處理文件，或是.EXE的可執(zhí)行文件。登錄腳本可以被看作網絡上的網絡上的AUTOEXEC.BATAUTOEXEC.BAT文件文件。 登錄腳本的作用登錄腳本的作用 使用登錄腳本可以設置單個用戶的環(huán)境，也可以對多個用戶的環(huán)境進行統(tǒng)一化多個用戶的環(huán)境進行統(tǒng)一化。可以將單個登錄腳本賦給所有用戶，或者給每個用戶配置不同的登錄腳本，也可以混合

14、使用這兩種策略。XP網絡組建與系統(tǒng)管理(3)課件登錄腳本使用登錄腳本可以完成以下任務任務：(1) 用戶登錄到工作站時使用登錄腳本可以自動運行可以自動運行MS-MS-DOSDOS的批處理文件、內部命令和可執(zhí)行文件。的批處理文件、內部命令和可執(zhí)行文件。(2) 實現主目錄實現主目錄（用戶保存私有文件的目錄）。(3) 將在服務器上的用戶賬號中定義的參數拷貝到用戶將在服務器上的用戶賬號中定義的參數拷貝到用戶計算機的計算機的MS-DOSMS-DOS環(huán)境變量中，環(huán)境變量中，這些變量可以由登錄腳本和可以使用這些變量的應用程序所使用。XP網絡組建與系統(tǒng)管理(3)課件登錄腳本登錄腳本的執(zhí)行登錄腳本的執(zhí)行 用戶登錄

15、時，系統(tǒng)從驗證用戶登錄請求的計算機的保存登錄腳本的目錄中下載該腳本并執(zhí)行之。 驗證用戶登錄請求的計算機通常是響應用戶登錄響應用戶登錄請求的第一個域控制器請求的第一個域控制器，要確保域內所有用戶賬號的登錄腳本都能正常工作，系統(tǒng)管理員必須保證所有登錄腳本與域內的每一個服務器保持同步。XP網絡組建與系統(tǒng)管理(3)課件 登錄腳本的設置登錄腳本的設置 用戶登錄時，如果用戶賬號中存在登錄腳本路徑，且存在此腳本文件，則系統(tǒng)運行該腳本，如果在“登錄腳本”文本框中只輸入文件名而無路徑，則默認的路徑為“%SystemRoot%SCRIPTS”登錄腳本XP網絡組建與系統(tǒng)管理(3)課件主目錄 主目錄是用戶的私人目錄，

16、用于保存用戶私人的文件，這是在My Documents之外建立的另一個存儲個人文檔的目錄。 主目錄的存儲位置主目錄的存儲位置 主目錄的存儲位置可以是在客戶計算機的硬盤中，也可以是在Windows2000 Server的硬盤中，還可以是在主域控制器的硬盤中。但是，這個目錄最好創(chuàng)建在服務器上，使得用戶的文件能夠在服務器上方便地進行備份。XP網絡組建與系統(tǒng)管理(3)課件主目錄可以把所有的主目錄存儲在一個文件服務器上。這樣做的好處：1） 可以讓在網絡的任何客戶機上使用同一主目錄。2） 文檔的備份和管理工作集中化。3） 運行任何Microsoft操作系統(tǒng)的客戶計算機上都可以使用主目錄。XP網絡組建與系統(tǒng)

17、管理(3)課件主目錄創(chuàng)建主目錄創(chuàng)建主目錄在服務器上創(chuàng)建一個目錄，并設置為共享。設置共享目錄的許可權限，使用戶可以訪問此目錄。單擊“開始”“程序”“管理工具”“Active directory用戶和計算機”，出現管理窗口。1. 雙擊要為之設置主目錄的用戶名，系統(tǒng)顯示出此用戶屬性的對話框。XP網絡組建與系統(tǒng)管理(3)課件5、單擊“確定”按鈕，設置完畢。6、單擊“配置文件”卡，在主目錄的編輯框中選中“連接(C)”單選按鈕，并輸入服務器及主目錄路徑。主目錄XP網絡組建與系統(tǒng)管理(3)課件主目錄 在 “我的文檔”中，每一個用戶都有一個專用的文件夾，這是在創(chuàng)建用戶時建立的。 用戶可以改變它的位置。XP網絡

18、組建與系統(tǒng)管理(3)課件使用組策略管理用戶環(huán)境 什么是組策略？什么是組策略？ 組策略組策略是一種在用戶或計算機集合上強制使用一些配置的設置方法。 組策略設置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件。 例如例如: : 用戶登錄后使用的程序，用戶桌面上出現的程序快捷方式，以及“開始”菜單中的內容等。使用組策略單元，可以為特定的用戶創(chuàng)建特定的桌面配置。XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理用戶環(huán)境 組策略的內容組策略的內容用戶配置：包含有影響用戶環(huán)境的相關設置。計算機配置：包含有網絡中計算機的相關設定參數。XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理用戶環(huán)境注意：注意： 組策略和用

19、戶配置文件的區(qū)別： 用戶配置文件：用戶配置文件：用來進行用戶環(huán)境設置的，它允許用戶自己進行更改，如桌面設置、我的文檔和收藏夾等。 組策略：組策略：由系統(tǒng)管理員管理和維護的，系統(tǒng)管理員按照組策略管理工具來對用戶和計算機設置策略。XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理用戶環(huán)境 Windows NT 4.0 Windows NT 4.0 與與Windows 2000Windows 2000的策略比較的策略比較 在Windows NT 4.0 中，微軟公司引入了系統(tǒng)策系統(tǒng)策略編輯器工具略編輯器工具。該工具允許網絡管理員設定存儲在Windows NT 注冊表中的用戶和計算機設置。 系統(tǒng)策略設置系

20、統(tǒng)策略設置 其實就是注冊表的設置，用來定義桌面環(huán)境中不同組件的功能。在Windows 2000中，可以通過使用組策略管理工具為特定的用戶和計算機創(chuàng)建特定的桌面配置。XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理用戶環(huán)境 Windows NT 4.0Windows NT 4.0系統(tǒng)策略的局限性系統(tǒng)策略的局限性 策略文件為二進制文件，篇幅大，限制了可使用策略的范圍。 當策略已在服務器上刪除后，仍然會有一些信息殘留在系統(tǒng)策略中，想要除去這些信息通常很困難。 系統(tǒng)策略僅可更新注冊表。 系統(tǒng)策略僅可在一個文件內發(fā)布，使得管理員不能為特殊的用戶群體建立專用策略。XP網絡組建與系統(tǒng)管理(3)課件組策略概述

21、組策略是為用戶提供一種本地機和網絡的運行環(huán)境，是用于定義用用戶享有使用各戶享有使用各種權限種權限的一種集合集合。XP網絡組建與系統(tǒng)管理(3)課件組策略概述 組策略通常是系統(tǒng)管理員為加強整個域或網絡共同的策略而設置的，它會影響到用戶賬戶、組、計算機和組織單元。 組策略根據所影響的配置可分為以下幾種策略類別策略類別： (1) 磁盤配額策略 (2) 加密文件系統(tǒng)恢復策略 (3) 安全策略XP網絡組建與系統(tǒng)管理(3)課件組策略概述 (4) 用戶和計算機策略(注冊表更新) (5) 文件夾重定向策略 (6) 登錄/注銷腳本 (7) 軟件安裝 此外，組策略設置還定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組

22、件。掌握好組策略對于網絡管理和維護意義重大。 下面僅舉兩例來實證一下。 XP網絡組建與系統(tǒng)管理(3)課件實例一使用組策略禁止客戶機上的應用程序XP網絡組建與系統(tǒng)管理(3)課件實例二 和未使用過組策略的客和未使用過組策略的客戶機上進行比較。戶機上進行比較。使用組策略禁止客戶機改變TCP/IP設置XP網絡組建與系統(tǒng)管理(3)課件用戶和計算機組策略的功能描述 組策略的存儲組策略的存儲 用戶和計算機組策略由在登錄時發(fā)布至域的客戶端注冊表更新組成。這些更新存儲在名為REGISTRY.POL的文件中。 每個策略包含兩個REGISTRY.POL文件，一個用于存放用戶用戶配置設置，另一個用于存放計算機計算機配

23、置設置。XP網絡組建與系統(tǒng)管理(3)課件用戶和計算機組策略的功能描述 組策略對象組策略對象的內容的內容 應用程序配置組策略： 分配和發(fā)布用戶能夠訪問的應用程序。XP網絡組建與系統(tǒng)管理(3)課件用戶和計算機組策略的功能描述 文件配置組策略：組策略管理員把文件放置在客戶機的特殊文件夾中，如“開始”菜單或桌面上。 腳本組策略：在特定時間執(zhí)行腳本或批處理文件的設置，如桌面外觀、應用程序設置。 安全組策略：設置用戶對文件夾和文件的使用及控制用戶權限，即建立本地計算機、域及網絡安全設置。XP網絡組建與系統(tǒng)管理(3)課件組策略對象 組策略是配置的集合，這些設置包含在組策略對象(GPO，Group Polic

24、y Object)內。 組策略對象在兩個位置存儲組策略信息：組策略容器(GPC，Group Policy Container)和組策略模板(GPT，Group Policy Templete)。 其中： 組策略容器存儲ADAD中，并提供版本信息。 組策略模板存儲在域控制器的域控制器的SYSVOLSYSVOL文件夾文件夾中。XP網絡組建與系統(tǒng)管理(3)課件組策略對象 組策略對象（組策略對象（GPOGPO）簡介）簡介 組策略對象（GPO）是設置組策略的基礎。 在設置組策略之前，必須創(chuàng)建一個或多個組策略對在設置組策略之前，必須創(chuàng)建一個或多個組策略對象，然后通過組策略編輯器（象，然后通過組策略編輯器（

25、Group Policy EditorGroup Policy Editor）設置所創(chuàng)建的組策略對象。設置所創(chuàng)建的組策略對象。 在Windows 2000中，用戶首先創(chuàng)建一個GPO，然后對這個GPO進行配置。由于每個GPOGPO包含的都是設置的包含的都是設置的集合集合，用戶可以為每一個GPO指定不同的配置，使此GPO只影響所指定的計算機和用戶。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板 組策略容器（GPC，Group Policy Container） GPC是包含組策略對象屬性和版本信息的活動目錄對象。由于GPC在活動目錄中，所以計算機能夠訪問它來查找組策略模板，域控制器能夠訪問

26、它來獲取版本信息。 一個域控制器使用版本信息來識別它是否有最新版本的組策略對象。如果域控制器沒有最新版本，就會從擁有最新版本組策略的域控制器上進行復制。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板 每一個GPC都是由一個復雜的字符串命名的，它使用與其他的GPC不同的全局唯一標記（GUID）。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板 組策略模板（組策略模板（GPTGPT） GPT存在于域控制器的共享系統(tǒng)卷標文件夾里，是一個文件夾的層次結構。 當創(chuàng)建一個GPO的時候，Windows 2000相應地創(chuàng)建GPT文件夾的層次結構。GPT包含有所有的組策略信息。 GPT文件夾的名稱

27、是創(chuàng)建的GPO的GUID，它和GPC中用來標識GPO的GUID是一樣的。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板 策略的層次策略的層次 策略能被連接到影響同一客戶端的各種容器當中。當一個客戶端從不同的容器來源下載策略設置時，它將把每個策略類型（用戶和計算機）的設置合并。 當用戶或計算機從一個以上的來源下載策略時，當用戶或計算機從一個以上的來源下載策略時，系統(tǒng)將按照層次來排序，并有序地加以應用。系統(tǒng)將按照層次來排序，并有序地加以應用。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板下面是基于策略的注冊表更新的來源和它們的層

28、次：傳統(tǒng)傳統(tǒng)NTNT系統(tǒng)策略系統(tǒng)策略 在Windows 2000網絡中，允許存在Windows NT的域控制器。為了向下兼容，Windows 2000客戶端會檢查域控制器的NETLOGON共享中是否存在NTCONFIG.POL文件。這些系統(tǒng)策略會對本地注冊表造成持久的影響。因此，必要時可以僅用這個檢查操作。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板本地本地 本地Windows 2000計算機擁有一組本地的用戶和計算機策略。站點站點 站點是根據WAN結構和網絡分布的地理位置而設置的，與網絡的邏輯結構無關，因此組策略與站點的關聯(lián)可能會比較復雜，因為他有超越邊界的潛在可能。站點策站點策略

29、最好是用來發(fā)布只有本地網絡才擁有的網絡配置。略最好是用來發(fā)布只有本地網絡才擁有的網絡配置。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板 域域 域策略被應用于域中的每一個用戶和計算機，而不考慮站點位置，一個企業(yè)中的各個部門是使用域策略還是使用OU策略要看企業(yè)的管理是采用集中管理還是分散管理。XP網絡組建與系統(tǒng)管理(3)課件組策略容器和組策略模板OUOU 與與OUOU相關聯(lián)的組策略擁有相關聯(lián)的組策略擁有最高的優(yōu)先權最高的優(yōu)先權。這給了本地管理者更多的控制本地桌面的權力。 默認情況下，這些策略一致時，后應用的策略將覆默認情況下，這些策略一致時，后應用的策略將覆蓋以前應用的策略。但是，如果這

30、些設置不一致，前后蓋以前應用的策略。但是，如果這些設置不一致，前后的策略都將作為有效策略。的策略都將作為有效策略。XP網絡組建與系統(tǒng)管理(3)課件管理模板 組策略管理模板是基于注冊表的用來管理用戶環(huán)境的設置。 管理模板設置分成七種類型，都是有關用戶和計算機的設置。 其中，“計算機配置”主要集中于Windows 2000的管理，而“用戶配置”主要集中于控制用戶如何才能影響桌面環(huán)境。 Windows組件：可以應用于計算機和用戶對象。XP網絡組建與系統(tǒng)管理(3)課件管理模板 包括用戶可以訪問的Windows 2000及其工具和組件、控制用戶對MMC的訪問。系統(tǒng)：可以應用于計算機和用戶對象。包含登錄和

31、注銷過程，利用系統(tǒng)設置還可以管理組策略、更新時區(qū)和啟用磁盤配額。網絡：可以應用于計算機和用戶對象。包含網絡連接和撥號連接的屬性，可以控制網絡訪問能力。 打印機：可以應用于計算機對象。對打印機設置，可以自動公布在活動目錄中。XP網絡組建與系統(tǒng)管理(3)課件管理模板工具欄和開始菜單：可以應用于用戶對象。包含用戶可以從“開始”菜單中訪問的組件。桌面：可以應用于用戶對象。通過 隱藏某些桌面圖標并控制用戶對“我的文檔”文件夾的使用，可以控制用戶對網絡的訪問?？刂泼姘澹嚎梢詰糜谟脩魧ο?。包含控制面板上的一些應用程序。 XP網絡組建與系統(tǒng)管理(3)課件管理模板XP網絡組建與系統(tǒng)管理(3)課件管理模板XP網

32、絡組建與系統(tǒng)管理(3)課件使用組策略 活動目錄中的組策略繼承 創(chuàng)建GPO后，用戶要把它與選定的活動目錄容器(站點、域或OU)關聯(lián)。 GPO中的設置影響容器及所有子容器中的計算機和用戶賬號。 用戶可以把多個活動目錄容器與同一個GPO關聯(lián)，或者把多個GPO與同一個活動目錄容器相關聯(lián)。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 繼承順序 組策略默認的繼承順序是站點、域，然后才是組策略默認的繼承順序是站點、域，然后才是OUOU。依照這個順序，OU的GPO是最終的Windows 2000要作用于計算機或用戶的組策略設置。 這個默認順序允許最靠近底層計算機或用戶的活動目錄容器中的組策略設置覆蓋在活動目錄中

33、高層的容器中與之沖突的組策略。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 通常子OU中的對象會自動繼承父OU的組策略設置。然而，一個組策略設置可能同時在父OU和子OU中進行了配置。在這種情況下，組策略設置的相容性決定了最后配置的結果。 1、父OU和子OU同時配置了組策略設置，并且設置設置相容相容時，時，兩個兩個OUOU的設置都起作用。的設置都起作用。 2、父OU和子OU同時配置了組策略設置，并且設置設置不相容時不相容時，則子子OUOU就不繼承父OU中的這個設置，即保保留自己的組策略設置。留自己的組策略設置。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 修改繼承 如果默認的繼承順序不能滿足需求，用

34、戶可以修改指定的GPO的繼承規(guī)則。Windows 2000提供了兩種改變默認順序的選項： 禁止覆蓋(No Override) 使用此該選項禁止子容器覆蓋（重載）在高層設置的GPO。當多個GPO被設置為“禁止重載”時，在活動目錄層次上最高等級的有“禁止重載”選項的GPO優(yōu)先。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 阻止策略繼承(Block Inheritance) 特定OU的本地管理員可以阻止從目錄中站點、域或者父OU中繼承策略，也可以降低其優(yōu)先級。使用這個選項，禁止一個子容器從父容器繼承策略。 當一個OU要求唯一的組策略設置時，此選項是有用的?！白柚共呗岳^承”選項適用于所有父容器的GPO。

35、 在沖突的情況下，在沖突的情況下，“禁止重載禁止重載”選項要優(yōu)先于選項要優(yōu)先于“阻阻止策略繼承止策略繼承”選項。選項。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 組策略和站點 鏈接到一個站點的GPO影響該站點中的所有計算機，而不管該計算機屬于哪個域。 但是，GPO只存儲在一個域中。因為一個站點可能包含多個域，所有該站點中的計算機必須與包含該GPO的域的域控制器打交道。 因此當用戶創(chuàng)建一個站點的GPO時需要考慮網絡流量問題。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 組策略的處理順序 用戶必須清楚組策略設置處理的順序，以便不會錯誤地重載某個設置。 Windows 2000應用組策略中的“計算機設

36、置”啟動計算機、運行啟動腳本；應用組策略中的“用戶設置”控制用戶登錄、運行登錄腳本。 客戶機上的組策略每90分鐘、域控制器上的每5分鐘刷新一次。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 組策略設置按如下順序進行處理： 啟動計算機 “計算機設置”的各組策略設置生效。缺省情況下是同步的。 在缺省情況下，各啟動腳本同步運行。這意味著每個腳本在下一項開始前必須完成，否則超時。 在顯示用戶登錄的屏幕之前，對影響計算機賬號的所有GPO進行處理。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 用戶登錄 對“用戶設置”的組策略設置進行處理。 運行登錄腳本。默認情況下，登錄腳本異步運行。若有與用戶賬號有關的腳本，

37、則它們最后運行。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 創(chuàng)建組策略對象XP網絡組建與系統(tǒng)管理(3)課件使用組策略 管理GPO權限創(chuàng)建GPO時，設置了如下的默認權限： Authenticated Users組享有“讀”和“應用組策略”的權限。 系統(tǒng)賬號、Domain Admin和Enterprise Admins組享有“讀”、“寫(Write)”、“創(chuàng)建所有子對象”和“刪除所有子對象”的權限。XP網絡組建與系統(tǒng)管理(3)課件使用組策略XP網絡組建與系統(tǒng)管理(3)課件使用組策略 過濾組策略對象的作用域 GPO中的組策略設置只影響那些擁有“應用組策略”和“讀”權限的計算機和用戶。XP網絡組建與系

38、統(tǒng)管理(3)課件使用組策略 委派控制權限 Domain Admins組成員可以使用權限來標識哪個管理員組可以修改GPO中的策略。為了實現這個目標，網絡管理員創(chuàng)建管理員組，然后對這些組中選定的GPO進行“讀”和“寫”授權。這就允許Domain Admins組成員委派GPO的控制。具有對一個GPO的 “讀”和“寫”權限的管理員可以控制該GPO的所有方面的操作。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 修改繼承選項 設置“禁止重載”以防止其他GPO重載該GPO所設置的組策略。XP網絡組建與系統(tǒng)管理(3)課件使用組策略 改變多個GPO的處理順序。 “組策略”選項卡上列出了鏈接到該站點、域或OU上的所

39、有GPO。 這些GPO的處理按照卡上所列出的從下向上的順序進行。 若在同一站點、域或OU的不同GPO中有沖突的組策略設置，在列表上高處位置的GPO中包含的組策略設置重載其他低位置處的GPO中包含的組策略設置。XP網絡組建與系統(tǒng)管理(3)課件 要改變這個順序，選中列表中的GPO，然后單擊“向上”和“向下”在列表中移動GPO。使用組策略XP網絡組建與系統(tǒng)管理(3)課件使用組策略 此處以假設的名為“技術部”的OU為例，在圖中的“組策略”選項卡上，選中 “阻止策略繼承”，以防止父容器的GPO被應用到指定的子容器中。 禁用組策略對象XP網絡組建與系統(tǒng)管理(3)課件使用組策略 刪除組策略對象XP網絡組建與

40、系統(tǒng)管理(3)課件使用組策略編輯器 組策略編輯器概述 用戶可以以兩種方式打開組策略編輯器： 在某個站點、域或OU的“屬性”對話框中的“組策略”選項卡上，在組策略中選擇想要查看的GPO，然后單擊“編輯編輯”按鈕。 添加組策略管理單元和所有需要的擴展到MMC控制臺，然后選擇想要進行配置的GPO。XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器修改“管理模板”設置XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器登錄腳本的管理和修改腳本設置什么是組策略腳本？ 網絡管理員可以利用組策略中的腳本功能來運行批處理文件、可執(zhí)行程序和支持腳本的Windows腳本主機。如果網絡管理員需要實現某些管理功能，但是現存

41、的組策略設置選項不能實現時，那么管理員可以建立一個腳本來完成這些任務，然后通過組策略自動運行腳本。 XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器 組策略腳本設置可以集中存儲腳本文件，在計算機啟動、關閉、用戶登錄和退出的時候自動運行?？梢灾付ㄔ赪indows 2000上運行任何腳本，包括批處理文件、可執(zhí)行程序和支持腳本的Windows腳本主機。 例如: 可以用網絡連接、打印機連接、應用程序的快捷方式和公司文檔組建用戶環(huán)境，還可以用腳本在用戶退出和關閉計算機的時候清除桌面等等。XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器Windows 2000按以下順序運行腳本： 當為一個用戶或計算機指定

42、多個登錄/注銷或者啟動/關閉腳本時，腳本按照“屬性”對話框所列的順序從上到下運行。 當計算機關閉時，Windows 2000首先處理注銷腳本，然后處理關閉腳本。 默認情況下，處理腳本的超時取值為10分鐘。XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器設置腳本的組策略設置步驟：XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器配置文件夾重定向什么是文件夾重定向？ “重定向重定向”是指把這些文件夾從用戶的硬盤上重定向到服務器的硬盤中。 重定向文件夾使用戶可以定位并訪問他們的數據，不管他們從什么計算機上登錄。存儲在服務器中的數據看起來好象在用戶本地計算機上。 可以重定向的文件夾是“我的文檔”、應用程

43、序數據、“桌面”和“開始”菜單等。XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器使用文件夾重定向的好處。 桌面和“開始”菜單的重定向能夠幫助管理員將整個用戶群體指向同一個位置從而建立一個通用的用戶界面。 減少用戶連接斷開網絡的時間。 把用戶數據保存到網絡上(而不是本地計算機)，從而數據就可由信息技術部門管理和保護。XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器 操作步驟：XP網絡組建與系統(tǒng)管理(3)課件使用組策略編輯器 修改軟件策略XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理組策略XP網絡組建與系統(tǒng)管理(3)課件實施組策略指南 實現組策略的方法依賴于單位與網絡的結構，以下提供一些關于實現

44、組策略的原則： 對阻止策略繼承、禁止重載選項以及域間鏈接的GPO的使用進行限制。 限制影響用戶或計算機的GPO的數目，計算機啟動和用戶登錄的時間受到需要進行處理的GPO的數目的很大影響。XP網絡組建與系統(tǒng)管理(3)課件實施組策略指南 禁用無用的GPO的部分。 在單個GPO中作相關組的設置。 創(chuàng)建GPO時，要考慮性能及委派。在GPO中，合并設置從而減少用戶登錄時必須進行處理的GPO數目可以提高性能。XP網絡組建與系統(tǒng)管理(3)課件使用組策略管理軟件 對于許多組織來說，大多數計算機技術資源都耗費在網絡管理員在辦公室中到處安裝軟件上。AD環(huán)境允許通過組策略從一個中心位置部署軟件。與其他組策略一樣，可

45、以通過組策略對象將軟件配置策略指定到站點、域和OU中。 因此，用戶可以配置組策略交互，以滿足自己的喜好和網絡的需要。XP網絡組建與系統(tǒng)管理(3)課件Windows 2000軟件管理技術簡介 Windows 2000包含一個新的被稱為軟件安裝與維護的技術，它利用新的Windows Installer和組策略，使管理員花最小的精力部署和管理軟件。 Windows Installer 的特點為：包文件格式代替Setup.exe、新的自修復軟件功能。 包文件是一種安裝文件，它是特別為隨Windows Installer特性一起使用而創(chuàng)建的。包文件具有.msi擴展名。XP網絡組建與系統(tǒng)管理(3)課件Wi

46、ndows 2000軟件管理技術簡介 Windows安裝程序包，包含有安裝或卸載一個應用程序的Windows安裝程序所需要的所有信息。 一個軟件包包含一個Windows安裝程序（或msi文件），和安裝或卸載軟件時所需要的任何外部文件。一個msi包文件也可以包含有關軟件以及本身的概要信息，還包含產品文件或產品文件所在安裝位置的參考信息。XP網絡組建與系統(tǒng)管理(3)課件Windows 2000軟件管理技術簡介Windows Installer Windows Installer的優(yōu)點包括： 自定義安裝。 應用程序快速自修復。如果一個關鍵的文件被刪除或遭到破壞，應用程序將自動返回到安裝源處獲取文件新

47、的拷貝，而不需要用戶干預。 干凈刪除(Clean Removal)?？梢圆涣羧魏挝募虮苊鉄o意破壞別的應用程序而卸載應用程序。例如：避免刪除另外一個程序所需要的共享文件夾。XP網絡組建與系統(tǒng)管理(3)課件 Windows 2000軟件安裝與維護技術 Windows 2000軟件安裝與維護技術允許用戶利用組策略和活動目錄服務布署和管理軟件。 當組織得到一個Windows Installer包文件后，管理員可以創(chuàng)建與該包文件關聯(lián)的組策略對象(GPO)。 這些GPO可以完成如下工作：Windows 2000軟件管理技術簡介XP網絡組建與系統(tǒng)管理(3)課件 在用戶計算機上安裝應用程序。當用戶登錄時或計

48、算機打開時或用戶需要時安裝工作自動完成。 升級應用程序以前的版本或者自動地應用軟件包或服務補丁。 刪除應用程序。Windows 2000軟件管理技術簡介XP網絡組建與系統(tǒng)管理(3)課件Windows 2000軟件管理技術簡介 使用軟件安裝與維護技術的最大好處是用戶可以不用訪問單位里每個用戶的計算機就可以管理和布署軟件。由于有Windows Installer包文件，管理員可以使用組策略管理和布署大多數的軟件。 注意： 軟件安裝與維護技術是使用組策略進行工作的。因此，這些布署和管理特征只對運行Windows 2000的客戶計算機有用。若用戶擁有的客戶計算機是運行其他操作系統(tǒng)，需要進行替換或者使用

49、其它布署方案。XP網絡組建與系統(tǒng)管理(3)課件QeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMbJ7G4C

50、1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u%rZoW

51、kThQeMbJ8G4D1z-w*t!qYnVjSK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A

52、-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#pXlU

53、iQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3

54、C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVj

55、RgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZoWkThPeMbJ7G4D

56、1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&slTiQeNbK8G5D2A-x*t$qZnVkSh

57、PdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlUiQfNbK8H5D2A

58、+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%nVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F