第4章 組策略

1、組策略V 1.98By:zjike內(nèi)容內(nèi)容容器與組織單位組策略概論組策略實例組策略的處理規(guī)則利用組策略管理用戶環(huán)境組策略的委派管理容器與組織單位容器容器可以含其他對象，如：用戶、計算機也可以包含其他容器組織單位（組織單位（OU）OU容器組策略功能組策略概論組策略的功能組策略的功能能控制與管理網(wǎng)絡(luò)上與減輕網(wǎng)絡(luò)管理的負擔降低網(wǎng)絡(luò)管理成本組策略組策略組策略包含兩部分計算機配置計算機配置用戶配置用戶配置組策略組策略計算機的組策略設(shè)置: 指定操作系統(tǒng)的行為,桌面的行為, 安全性設(shè)置,計算機的啟動、關(guān)機腳本,計算機的應(yīng)用程序設(shè)置用戶的組策略設(shè)置: 指定操作系統(tǒng)的行為,桌面的行為, 安全性設(shè)置,用戶的登錄、

2、注銷腳本,分配和發(fā)布應(yīng)用程序,文件夾的重定向組策略的功能組策略的功能組策略是通過“組策略對象”（GPO）來設(shè)定的組策略對象可以鏈接到Site(終端) ,Domain(域) 和OU(組織單元)上 管理員可以將一個GPO和多個SDOU鏈接 也可以將多個GPO與一個Site、Domain、OU鏈接不能將GPO與計算機、用戶、AD默認的容器鏈接內(nèi)建GPO默認域策略默認域控制器策略GPO的內(nèi)容的內(nèi)容Group Policy Objectn存放在活動目錄數(shù)據(jù)庫中 n提供GPO屬性和版本信息 Group Policy Container (GPC)n存儲在DC活動目錄的 頁面文件 Sysvol 文件夾中n存

3、儲GPO的配置值和相關(guān)文件 Group Policy Template (GPT)組策略容器組策略模板組策略的應(yīng)用時機組策略的應(yīng)用時機計算機配置的啟用時間: 計算機開機時自動啟用 每隔一段時間自動啟用 域控制器：默認每隔5分鐘自動啟用 非域控制器：默認每隔90120分鐘自動啟用 無論策略配置是否有變動，系統(tǒng)仍會每隔16小時自動啟用一次 手動啟用： gpupdate /target:computer /force組策略的應(yīng)用時機組策略的應(yīng)用時機用戶配置的啟用時間: 用戶登錄時自動啟用 即使用戶 注銷、登錄，系統(tǒng)默認每隔90120分鐘自動啟用 無論策略配置值是否有變動，系統(tǒng)仍會16小時自動啟用一次

4、 手動啟用： gpupdate /target:user /force組策略實例實例演示實例演示1：普通用戶在普通用戶在DC上登錄上登錄在在的域控制器中創(chuàng)建一個名為的域控制器中創(chuàng)建一個名為Einsun的的OU在該在該OU中創(chuàng)建一個用戶叫中創(chuàng)建一個用戶叫Tom讓讓Tom能夠在能夠在DC上正常登錄上正常登錄實例演示實例演示2：配置開始菜單配置開始菜單在在的域控制器中創(chuàng)建一個名為的域控制器中創(chuàng)建一個名為Einsun的的OU在該在該OU中創(chuàng)建一個用戶叫中創(chuàng)建一個用戶叫TomTom在域中任何一臺在域中任何一臺PC登錄，都不能使用開始菜單里的登錄，都不能使用開始菜單里的“運行運行”菜菜單單組策略的處理規(guī)則

5、默認的域控制器策略默認的域控制器策略Default Domain Controller Policy: 此設(shè)定的值會被應(yīng)用到的所有用戶與計算機實例演示實例演示3：Domain Controllers OU在在Domain Controllers OU的的GPO中，禁止用戶使用菜單中的中，禁止用戶使用菜單中的“搜索搜索”功能功能OU名為名為“市場部市場部”的的Tom用戶登錄察看是否可以使用菜單中的用戶登錄察看是否可以使用菜單中的“搜搜索索”功能功能將將Tom用戶移動到用戶移動到Domain Controllers OU中，并登錄察看是否可以使中，并登錄察看是否可以使用菜單中的用菜單中的“搜索搜索

6、”功能功能組策略的繼承組策略的繼承ComputersUsersPayrollDomainDomain GPO組策略的配置是有父容器的GPO設(shè)置和子容器的GPO設(shè)置沖突，同一個容器上的不同GPO的設(shè)置發(fā)生沖突，優(yōu)先順序優(yōu)先順序SiteDomainOU當域、站點與OU之間的GPO發(fā)生沖突時，實例演示實例演示4：GPO應(yīng)用優(yōu)先順序?qū)嶒瀾?yīng)用優(yōu)先順序?qū)嶒炘谠贒C的的GPO中，禁止用戶使用中，禁止用戶使用“關(guān)機關(guān)機”菜單菜單OU名為名為“市場部市場部”的的Tom用戶登錄察看是否可以使用用戶登錄察看是否可以使用“關(guān)機關(guān)機”菜單菜單在在OU名為名為“市場部市場部”的的GPO中，允許用戶使用中，允許用戶使用“關(guān)

7、機關(guān)機”菜單菜單Tom用戶登錄察看是否可以使用用戶登錄察看是否可以使用“關(guān)機關(guān)機”菜單菜單特殊情況特殊情況計算機配置計算機配置用戶配置用戶配置阻止策略繼承阻止策略繼承實例演示實例演示5：阻止策略繼承阻止策略繼承在在DC的的GPO中，禁止用戶訪問中，禁止用戶訪問C盤盤OU名為名為“市場部市場部”內(nèi)的內(nèi)的Tom用戶登錄察看是否可以訪問用戶登錄察看是否可以訪問C盤盤在在OU名為名為“市場部市場部”的的GPO中，選擇中，選擇“阻止策略繼承阻止策略繼承”Tom用戶再次登錄察看是否可以訪問用戶再次登錄察看是否可以訪問C盤盤強制策略繼承強制策略繼承實例演示實例演示6：強制策略繼承強制策略繼承在在DC的的GP

8、O中，禁止用戶訪問中，禁止用戶訪問C盤盤在在OU名為名為“市場部市場部”的的GPO中，選擇中，選擇“阻止策略繼承阻止策略繼承”在在DC的的GPO中，選擇中，選擇“禁止替代禁止替代”選項選項Tom用戶再次登錄察看是否可以訪問用戶再次登錄察看是否可以訪問C盤盤禁用禁用GPO禁用禁用GPO實例演示實例演示7：思考思考在名為在名為“市場部市場部”的的OU中，用戶中，用戶Tom和和Jim的策的策略配置是否一定會是相同的？略配置是否一定會是相同的？過濾組策略配置過濾組策略配置環(huán)回處理模式環(huán)回處理模式環(huán)回處理模式環(huán)回處理模式環(huán)回處理模式環(huán)回處理模式利用組策略來管理用戶環(huán)境利用組策略來管理用戶環(huán)境利用組策略來

9、管理用戶環(huán)境賬戶策略用戶權(quán)限分配策略安全選項策略登錄、注銷、啟動、關(guān)機腳本文件夾重定向賬戶策略賬戶策略對域用戶來說，整個域只可以有一個賬戶策略賬戶策略 密碼策略 賬戶鎖定策略用戶權(quán)限分配策略用戶權(quán)限分配策略用戶權(quán)限分配策略用戶權(quán)限分配策略安全選項策略安全選項策略登錄、注銷、啟動、關(guān)機腳本登錄、注銷、啟動、關(guān)機腳本文件夾重定向文件夾重定向文件夾重定向文件夾重定向我的文檔我的文檔我的文檔域控制器TOMTOMTOM？文件夾重定向文件夾重定向我的文檔我的文檔我的文檔域控制器TOMTOMTOMTOM的文檔組策略的委派管理委派管理委派管理委派管理委派管理域控制器TOMJIMMichaelAdmin，我部門

10、來了，我部門來了一位新員工，請給他一位新員工，請給他加一個賬號加一個賬號Admin，我部門的，我部門的“云龍云龍”離職了，請把離職了，請把他的賬號刪除他的賬號刪除Admin，我部門的，我部門的“成剛成剛”休長假回來了，休長假回來了，請恢復他的賬號請恢復他的賬號AdminAdmin，!#$%&*.Admin，!#$%&*.Admin，!#$%&*.Admin，!#$%&*.Admin，!#$%&*.Admin，!#$%&*.思考：如果你剛接手管理某個公如果你剛接手管理某個公司的域環(huán)境，你怎么熟悉司的域環(huán)境，你怎么熟悉他的策略配置情況？他的策略配置情

11、況？附：GPMC（組策略管理控制臺） 2008-11 ZJIKE PPT實實 驗驗實驗實驗1：隱藏隱藏C盤盤管理員為了防止管理員為了防止“市場部市場部”的員工損壞的員工損壞C盤系統(tǒng)文件，想讓市場部的員盤系統(tǒng)文件，想讓市場部的員工無論哪一臺計算機上登錄時都看不到工無論哪一臺計算機上登錄時都看不到C盤，并且也不能用其它方式訪盤，并且也不能用其它方式訪問到問到C盤里的內(nèi)容盤里的內(nèi)容你該怎么來實現(xiàn)？你該怎么來實現(xiàn)？經(jīng)驗值增加：經(jīng)驗值增加：3點點實驗實驗2：隱藏隱藏“設(shè)置設(shè)置”選項卡選項卡最近發(fā)現(xiàn)有些員工不小心修改了顯卡分辨率，導致屏幕顯示太小或太模最近發(fā)現(xiàn)有些員工不小心修改了顯卡分辨率，導致屏幕顯示太

12、小或太模糊，常常讓你去幫助他們恢復。糊，常常讓你去幫助他們恢復。如何才能防止用戶隨意更改顯示設(shè)置呢？如何才能防止用戶隨意更改顯示設(shè)置呢？完成這個要求完成這個要求經(jīng)驗值增加：經(jīng)驗值增加：3點點實驗實驗3：更改更改IE選項選項將用戶將用戶Tom的的IE瀏覽器工具欄更改為只有瀏覽器工具欄更改為只有“后退后退”、“前進前進”和和“刷新刷新”三個按鈕三個按鈕將用戶將用戶Tom的的IE瀏覽器瀏覽器“收藏夾收藏夾”功能關(guān)閉功能關(guān)閉經(jīng)驗值增加：經(jīng)驗值增加：3點點實驗實驗4：隱藏右鍵菜單隱藏右鍵菜單利用組策略，讓利用組策略，讓Tom用戶不使用鼠標右鍵菜單用戶不使用鼠標右鍵菜單桌面右鍵菜單、任務(wù)欄右鍵菜單都不能打

13、開桌面右鍵菜單、任務(wù)欄右鍵菜單都不能打開經(jīng)驗值增加：經(jīng)驗值增加：4點點實驗實驗5：更改桌面墻紙更改桌面墻紙利用組策略將利用組策略將Tom用戶的桌面墻紙更改為用戶的桌面墻紙更改為“魔獸爭霸魔獸爭霸”圖片圖片利用組策略將利用組策略將Jim用戶的桌面墻紙更改為用戶的桌面墻紙更改為“張學友張學友”圖片圖片經(jīng)驗值增加：經(jīng)驗值增加：5點點實驗實驗6：更改賬戶策略更改賬戶策略利用利用GPO配置名為配置名為Einsun的的OU，使該，使該OU內(nèi)用戶的密碼最小長度為內(nèi)用戶的密碼最小長度為10，并且取消密碼復雜性要求并且取消密碼復雜性要求經(jīng)驗值增加：經(jīng)驗值增加：4點點實驗實驗7：登錄、注銷腳本登錄、注銷腳本利用利

14、用GPO配置名為配置名為Einsun的的OU，使該，使該OU內(nèi)的用戶在登錄和注銷時，內(nèi)的用戶在登錄和注銷時，運行不同的腳本文件運行不同的腳本文件經(jīng)驗值增加：經(jīng)驗值增加：4點點實驗實驗8：實現(xiàn)實現(xiàn)“我的文檔我的文檔”重定向重定向利用利用GPO配置名為配置名為Einsun的的OU，使該，使該OU內(nèi)的內(nèi)的TOM用戶實現(xiàn)在不同計用戶實現(xiàn)在不同計算機登錄時，其算機登錄時，其“我的文檔我的文檔”內(nèi)的文件都是一樣的內(nèi)的文件都是一樣的經(jīng)驗值增加：經(jīng)驗值增加：5點點實驗實驗9：委派管理委派管理利用利用GPO配置名為配置名為Einsun的的OU，使該，使該OU內(nèi)的內(nèi)的TOM用戶（隸屬于默認用戶（隸屬于默認的的“D

15、omain Users”組）具有在該組）具有在該OU內(nèi)創(chuàng)建、刪除用戶的能力內(nèi)創(chuàng)建、刪除用戶的能力并要求說明，如何再取消并要求說明，如何再取消TOM的創(chuàng)建、刪除用戶的能力的創(chuàng)建、刪除用戶的能力經(jīng)驗值增加：經(jīng)驗值增加：5點點附加實驗附加實驗1：隨著公司部門的增加，需要更高效的管理活動目錄組策略，請將組策略隨著公司部門的增加，需要更高效的管理活動目錄組策略，請將組策略管理工具升級到高版本（管理工具升級到高版本（GPMC）經(jīng)驗值增加：經(jīng)驗值增加：1點點附加實驗附加實驗2：公司有公司有100多臺計算機作為客戶機，操作系統(tǒng)有多臺計算機作為客戶機，操作系統(tǒng)有XP和和2003為了更有效的利用每臺客戶機的系統(tǒng)資

16、源，管理員需要對每一臺客戶機為了更有效的利用每臺客戶機的系統(tǒng)資源，管理員需要對每一臺客戶機進行后臺服務(wù)優(yōu)化工作（即：禁用不必要的服務(wù)）進行后臺服務(wù)優(yōu)化工作（即：禁用不必要的服務(wù)）請通過組策略對所有客戶機禁用以下幾個服務(wù)：請通過組策略對所有客戶機禁用以下幾個服務(wù)：Error Reporting ServiceHelp and SupportShell Hardware Detection經(jīng)驗值增加：經(jīng)驗值增加：1點點附加實驗附加實驗3：為了方便員工訪問常用網(wǎng)頁，請利用組策略將以下網(wǎng)址添加到所有用戶為了方便員工訪問常用網(wǎng)頁，請利用組策略將以下網(wǎng)址添加到所有用戶的的IE收藏夾中收藏夾中百度百度騰訊騰

17、訊谷歌谷歌并將并將設(shè)置為設(shè)置為IE主頁網(wǎng)址，且用戶不能修改主頁網(wǎng)址，且用戶不能修改經(jīng)驗值增加：經(jīng)驗值增加：1點點附加實驗附加實驗4：為了讓員工不浪費硬盤空間，現(xiàn)管理員要讓所有員工登錄后所有磁盤的為了讓員工不浪費硬盤空間，現(xiàn)管理員要讓所有員工登錄后所有磁盤的可使用空間為可使用空間為100MB經(jīng)驗值增加：經(jīng)驗值增加：1點點附加實驗附加實驗5：D盤為公司員工公共文件儲存區(qū)，請通過策略讓所有員工在登錄計算機盤為公司員工公共文件儲存區(qū)，請通過策略讓所有員工在登錄計算機后可以直接在后可以直接在D盤下存放文件（即：不需要先創(chuàng)建文件夾）盤下存放文件（即：不需要先創(chuàng)建文件夾）經(jīng)驗值增加：經(jīng)驗值增加：1點點課后作業(yè)課后作業(yè)作業(yè)作業(yè)2請你談一談?wù)埬阏勔徽刉indows域環(huán)境中組的分類有哪些？與域環(huán)境中組的分類有哪些？與Windows工作組環(huán)境中的組有什么不同的地方？域環(huán)境中的工作組環(huán)境中的組有什么不同的地方？域環(huán)境中的各個組各自有什么特點各個組各自有什么特點?組策略中包含哪兩部分？系統(tǒng)內(nèi)建有兩條組策略對象（組策略中包含哪兩部分？系統(tǒng)內(nèi)建有兩條組策略對象（GPO）分別是哪幾條？刷新組策略配置信息的