組策略概述-PowerPoint演示文稿

1、第第11章章 組策略組策略 11.1 組策略概述組策略概述 11.2 管理模板策略的設(shè)置管理模板策略的設(shè)置 11.3 Windows 設(shè)置策略的管理設(shè)置策略的管理 11.4 通過軟件設(shè)置策略部署應(yīng)用程序通過軟件設(shè)置策略部署應(yīng)用程序本章學習目標本章學習目標 組策略概述組策略概述 管理模板策略的設(shè)置管理模板策略的設(shè)置 Windows 設(shè)置策略的管理設(shè)置策略的管理 通過軟件設(shè)置策略部署應(yīng)用程序通過軟件設(shè)置策略部署應(yīng)用程序返回本章首頁返回本章首頁11.1 組策略概述組策略概述 11.1.1 組策略對象組策略對象 11.1.2 組策略的應(yīng)用順序與規(guī)則組策略的應(yīng)用順序與規(guī)則返回本章首頁返回本章首頁組策略包

2、括：計算機配置、用戶配置組策略包括：計算機配置、用戶配置其組策略包含以下內(nèi)容：其組策略包含以下內(nèi)容： 1）管理模板：包括）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌組件、網(wǎng)絡(luò)、桌以及任務(wù)欄和開始菜單等相關(guān)的策略。以及任務(wù)欄和開始菜單等相關(guān)的策略。 2）Windows設(shè)置：包括腳本、安全設(shè)置（戶設(shè)置：包括腳本、安全設(shè)置（戶策略和本地策略）等相關(guān)的策略。策略和本地策略）等相關(guān)的策略。 3）軟件設(shè)置：包括軟件安裝策略，可以進應(yīng)）軟件設(shè)置：包括軟件安裝策略，可以進應(yīng)用程序的指派與發(fā)布。用程序的指派與發(fā)布。11.1.1 組策略對象組策略對象圖11-1 “組策略”選項卡1更改組策略更改組策略（1）選擇）選

3、擇“開始開始”“程序程序”“管理工管理工具具”“Active Directory用戶和計算機用戶和計算機”選項，選項，選擇選擇“屬性屬性”“組策略組策略”命令。命令。（2）選定）選定“Default Domain Controllers Policy”，然后單擊然后單擊“編輯編輯”按鈕。按鈕。（3）打開如圖）打開如圖11-2所示的所示的“組策略組策略”窗口后，然窗口后，然后雙擊窗口右側(cè)的后雙擊窗口右側(cè)的“在本地登錄在本地登錄”。（4）出現(xiàn)如圖）出現(xiàn)如圖11-3所示的對話框時，單擊所示的對話框時，單擊“添添加加”按鈕，選擇按鈕，選擇Domain Users組以便讓所有的域組以便讓所有的域用戶都具

4、備用戶都具備“在本地登錄在本地登錄”的權(quán)利。完成后單擊的權(quán)利。完成后單擊“確定確定”按鈕關(guān)閉此對話框。按鈕關(guān)閉此對話框。（5）返回）返回“組策略組策略”窗口時，請關(guān)閉此窗口。窗口時，請關(guān)閉此窗口。（6）返回）返回“Domain Controllers屬性屬性”對話框，對話框，單擊單擊“確定確定”。 圖11-2 組策略窗口圖11-3 有“在本地登錄”權(quán)限的用戶和組 2驗證更改組策略的有效性驗證更改組策略的有效性（1）在服務(wù)器端，以）在服務(wù)器端，以administrator賬戶登錄。賬戶登錄。（2）依次選擇）依次選擇“開始開始”“程序程序”“管理工管理工具具”“Active Directory用戶

5、和計算用戶和計算”選項，從選項，從中選擇中選擇“新建新建”“用戶用戶”命令添加一個一般的命令添加一個一般的用戶賬戶。用戶賬戶。（3）完成后，注銷）完成后，注銷administrator，然后等待此然后等待此組策略生效。組策略生效。（4）重新登錄時，請用剛建立的域用戶登錄，）重新登錄時，請用剛建立的域用戶登錄，此時應(yīng)該可以正常登錄成功。此時應(yīng)該可以正常登錄成功。返回本節(jié)返回本節(jié)11.1.2 組策略的應(yīng)用順序與規(guī)則組策略的應(yīng)用順序與規(guī)則（1）如果是在高層容器內(nèi)建立了組策略，則低）如果是在高層容器內(nèi)建立了組策略，則低層容器會繼承在高層容器內(nèi)所建立的組策略。層容器會繼承在高層容器內(nèi)所建立的組策略。（2

6、）如果在低層的容器內(nèi)建立了組策略，則此）如果在低層的容器內(nèi)建立了組策略，則此組策略內(nèi)的設(shè)置默認會替代由其高層的父容器所組策略內(nèi)的設(shè)置默認會替代由其高層的父容器所傳遞下來的組略。傳遞下來的組略。 （3）如果在父容器的某個策略被設(shè)為）如果在父容器的某個策略被設(shè)為“未被配未被配置置”，則子容器并不會繼承這個策略。，則子容器并不會繼承這個策略。 （4）如果在父容器的組策略內(nèi)的某個設(shè)為）如果在父容器的組策略內(nèi)的某個設(shè)為“啟用啟用”或或“禁用禁用”，則子容器會繼承這個設(shè)置。，則子容器會繼承這個設(shè)置。（5）直接以子容器的組策略為其設(shè)置。）直接以子容器的組策略為其設(shè)置。（6）在父容器的組策略內(nèi)，通過）在父容器

7、的組策略內(nèi)，通過“禁止替代禁止替代” 子容器必須繼承由父容器傳遞的組策略設(shè)置。子容器必須繼承由父容器傳遞的組策略設(shè)置。返回本節(jié)返回本節(jié)11.2 管理模板策略的設(shè)置管理模板策略的設(shè)置 11.2.1 設(shè)置管理模板策略設(shè)置管理模板策略 11.2.2 設(shè)置組策略的替代功能設(shè)置組策略的替代功能返回本章首頁返回本章首頁圖11-4 組策略示例返回本節(jié)返回本節(jié)11.2.1 設(shè)置管理模板策略設(shè)置管理模板策略（1）在）在“Active Directory中，選擇中，選擇“屬屬性性”“組策略組策略”“新建新建”命令，添加一個命令，添加一個GPO，命名為命名為“xuexiao Policy”。（2）在如圖在如圖11-

8、5所示的對話框中，單擊所示的對話框中，單擊“編編輯輯”。（3）在如圖）在如圖11-6所示的所示的“組策略組策略”窗口中，選窗口中，選擇擇“用戶配置用戶配置”“管理模板管理模板”“任務(wù)欄和任務(wù)欄和開始開始菜單菜單”選項。選項。（4）在如圖）在如圖11-6所示選擇所示選擇“用戶配置用戶配置”“管管理模板理模板”“桌面桌面”。（5）完成后，關(guān)閉）完成后，關(guān)閉“組策略組策略”窗口。窗口。（6）單擊）單擊“關(guān)閉關(guān)閉”按鈕，結(jié)束組策略設(shè)置。按鈕，結(jié)束組策略設(shè)置。圖11-5 添加新的組策略圖11-6 設(shè)置組策略 圖11-7 設(shè)置策略的是否啟用返回本節(jié)返回本節(jié)11.2.2 設(shè)置組策略的替代功能設(shè)置組策略的替代

9、功能（1）在）在“Active Directory用戶和計算用戶和計算” 選擇選擇“屬性屬性”“組策略組策略”“新建新建”選項，添加一選項，添加一個個GPO，命名為命名為“9901 Poliicy”，單擊單擊“編輯編輯”按鈕。按鈕。（2）在）在 “組策略組策略” 中選擇中選擇“用戶配置用戶配置”“管管理模板理模板”“任務(wù)欄和任務(wù)欄和開始開始菜單菜單”，選擇，選擇“禁用禁用”，單擊，單擊“確定確定” 。（3）在）在 “組策略組策略”中選擇中選擇“用戶配置用戶配置”“管管理模板理模板”“桌面桌面”。選擇。選擇“禁用禁用”，單擊，單擊“確確定定”。關(guān)閉。關(guān)閉“組策略組策略”窗口。單擊窗口。單擊“關(guān)閉

10、關(guān)閉”結(jié)束結(jié)束組策略設(shè)置。組策略設(shè)置。返回本節(jié)返回本節(jié)11.3 Windows 設(shè)置策略的管理設(shè)置策略的管理 11.3.1 賬戶策略的設(shè)置賬戶策略的設(shè)置 11.3.2 本地策略的設(shè)置本地策略的設(shè)置 11.3.3 登錄登錄/注銷、啟動注銷、啟動/關(guān)閉腳本關(guān)閉腳本返回本章首頁返回本章首頁圖11-8 賬戶策略的設(shè)置11.3.1 賬戶策略的設(shè)置賬戶策略的設(shè)置1密碼策略的設(shè)置密碼策略的設(shè)置（1） 密碼最長存留期密碼最長存留期 （2）密碼最短存留期）密碼最短存留期（3） 密碼長度最小值密碼長度最小值（4）強制密碼歷史）強制密碼歷史2賬戶鎖定策略的設(shè)置賬戶鎖定策略的設(shè)置 賬戶鎖定閾值賬戶鎖定閾值 賬戶鎖定時

11、間賬戶鎖定時間 復(fù)位賬戶鎖定計數(shù)器復(fù)位賬戶鎖定計數(shù)器 圖11-11 設(shè)置賬戶鎖定策略圖11-9 設(shè)置密碼策略圖11-10 “密碼最長存留期”的設(shè)置返回本節(jié)返回本節(jié)11.3.2 本地策略的設(shè)置本地策略的設(shè)置 審核目錄服務(wù)訪問審核目錄服務(wù)訪問 審核登錄事件審核登錄事件 審核對象訪問審核對象訪問 審核策略更改審核策略更改 審核特權(quán)使用審核特權(quán)使用 審核賬戶登錄事件審核賬戶登錄事件 審核賬戶管理審核賬戶管理 審核賬戶管理審核賬戶管理 審核過程追蹤審核過程追蹤1審核策略的設(shè)置審核策略的設(shè)置2用戶權(quán)利指派策略的設(shè)置用戶權(quán)利指派策略的設(shè)置（1）在本地登錄；（）在本地登錄；（2）域中添加工作站；（）域中添加工

12、作站；（3）關(guān)閉系統(tǒng)；（關(guān)閉系統(tǒng)；（4）從網(wǎng)絡(luò)訪問此計算機；（）從網(wǎng)絡(luò)訪問此計算機；（5）從）從遠端系統(tǒng)強制關(guān)機；（遠端系統(tǒng)強制關(guān)機；（6）備份文件和目錄；（）備份文件和目錄；（7）還原文件和目錄；（還原文件和目錄；（8）管理審核和安全日志；）管理審核和安全日志；（9）更改系統(tǒng)時間；（）更改系統(tǒng)時間；（10）裝載和卸載設(shè)備驅(qū)）裝載和卸載設(shè)備驅(qū)動程序；（動程序；（11）取得文件或其他對象的所有權(quán)）取得文件或其他對象的所有權(quán) 3安全選項策略的設(shè)置安全選項策略的設(shè)置 登錄屏幕上不要顯示上次登錄的用戶名登錄屏幕上不要顯示上次登錄的用戶名 允許在未登錄前關(guān)機允許在未登錄前關(guān)機 在密碼到期前提示用戶更改密

13、碼在密碼到期前提示用戶更改密碼 禁用按禁用按Ctrl+Alt+Del進行登錄的設(shè)置進行登錄的設(shè)置 用戶試圖登錄時消息文字與用戶試圖登錄時用戶試圖登錄時消息文字與用戶試圖登錄時消息標題消息標題 返回本節(jié)返回本節(jié)11.3.3 登錄登錄/注銷、啟動注銷、啟動/關(guān)閉腳本關(guān)閉腳本1登錄登錄/注銷腳本的設(shè)置注銷腳本的設(shè)置（1）準備好登錄與注銷腳本。）準備好登錄與注銷腳本。（2）在）在“Active Directory用戶和計算機用戶和計算機” 中選中選擇擇 “組策略組策略”命令，選定命令，選定GPO，雙擊雙擊 “登錄登錄”圖標。圖標。（3）單擊）單擊“顯示文件顯示文件”按鈕。按鈕。（4）先切換到）先切換到

14、“Windows資源管理器資源管理器”并選定并選定登錄腳本，選擇登錄腳本，選擇“復(fù)制復(fù)制” 、“粘貼粘貼”命令。命令。（5）返回到圖）返回到圖11-14所示的對話框后，單擊所示的對話框后，單擊“添添加加”。（6）出現(xiàn)圖）出現(xiàn)圖11-16所示的對話框時，單擊所示的對話框時，單擊“瀏覽瀏覽”按鈕，按鈕，7）返回到圖）返回到圖11-14所示的對話框時，單擊所示的對話框時，單擊“確定確定”按鈕。按鈕。（8）回到圖）回到圖11-13所示的窗口，單擊畫面右方的所示的窗口，單擊畫面右方的“注銷注銷”圖標，然后重復(fù)步驟（圖標，然后重復(fù)步驟（2）（6），以），以便設(shè)置注銷腳本。便設(shè)置注銷腳本。圖11-13 設(shè)置

15、登錄和注銷腳本圖11-14 “登錄屬性”對話框圖11-15 復(fù)制登錄腳本圖11-16 指定登錄腳本2啟動啟動/關(guān)閉腳本的設(shè)置關(guān)閉腳本的設(shè)置（1）創(chuàng)建一個名稱為）創(chuàng)建一個名稱為startup.bat的啟動腳本。的啟動腳本。（2）在）在“Active Directory用戶和計算機用戶和計算機”對話對話框中，選擇框中，選擇“屬性屬性”“組策略組策略”命令，選定命令，選定GPO后，出現(xiàn)圖后，出現(xiàn)圖11-17所示的窗口，雙擊所示的窗口，雙擊 “啟動啟動”圖標。圖標。（3）單擊）單擊“顯示文件顯示文件”按鈕。按鈕。（4）切換到）切換到“Windows資源管理器資源管理器”中，選擇中，選擇“復(fù)制復(fù)制” 粘

16、貼粘貼”命令，將登錄腳本復(fù)制到該窗命令，將登錄腳本復(fù)制到該窗口中后關(guān)閉窗口?？谥泻箨P(guān)閉窗口。（5）單擊）單擊“添加添加”按鈕。按鈕。（6）出現(xiàn)類似圖）出現(xiàn)類似圖11-16所示的對話框，單擊所示的對話框，單擊“瀏瀏覽覽”按鈕，從按鈕，從startup文件夾內(nèi)選定登錄腳本。如文件夾內(nèi)選定登錄腳本。如果你的腳本需要輸入?yún)?shù)，則在果你的腳本需要輸入?yún)?shù)，則在“腳本參數(shù)腳本參數(shù)”文文本框中輸入?yún)?shù)，完成后單擊本框中輸入?yún)?shù)，完成后單擊“確定確定”按鈕。按鈕。（7）單擊）單擊“確定確定”按鈕。按鈕。（8）回到圖）回到圖11-17所示的窗口后，單擊畫面右方所示的窗口后，單擊畫面右方的的“關(guān)機關(guān)機”圖標，然后

17、重復(fù)步驟（圖標，然后重復(fù)步驟（2）（6），），以便設(shè)置以便設(shè)置“關(guān)機腳本關(guān)機腳本”。圖11-17 設(shè)置啟動和關(guān)機腳本返回本節(jié)返回本節(jié)11.4 通過軟件設(shè)置策略部署應(yīng)用程序通過軟件設(shè)置策略部署應(yīng)用程序 11.4.1 給用戶發(fā)布或指派應(yīng)用程序給用戶發(fā)布或指派應(yīng)用程序 11.4.2 給計算機指派應(yīng)用程序給計算機指派應(yīng)用程序 11.4.3 更改部分應(yīng)用程序的設(shè)置更改部分應(yīng)用程序的設(shè)置返回本章首頁返回本章首頁通過軟件設(shè)置策略，可以為用戶與計算機來部署通過軟件設(shè)置策略，可以為用戶與計算機來部署應(yīng)用程序。應(yīng)用程序。 1、將應(yīng)用程序發(fā)布或指派給用戶。、將應(yīng)用程序發(fā)布或指派給用戶。2、將應(yīng)用程序指派給計算機。、

18、將應(yīng)用程序指派給計算機。3、自動修復(fù)應(yīng)用程序。、自動修復(fù)應(yīng)用程序。4、刪除用戶的應(yīng)用程序。、刪除用戶的應(yīng)用程序。 11.4.1 給用戶發(fā)布或指派應(yīng)用程序給用戶發(fā)布或指派應(yīng)用程序1給用戶發(fā)布或指派應(yīng)用程序給用戶發(fā)布或指派應(yīng)用程序2安裝被發(fā)布或指派應(yīng)用程序安裝被發(fā)布或指派應(yīng)用程序（1）利用）利用administrator賬戶登錄到域控制器。賬戶登錄到域控制器。（2）在域控制器上建立一個文件夾，設(shè)為共享）在域控制器上建立一個文件夾，設(shè)為共享文件夾。文件夾。（3）將）將Windows 2000CD文件夾內(nèi)的所有文件復(fù)文件夾內(nèi)的所有文件復(fù)制到共享文件夾內(nèi)。制到共享文件夾內(nèi)。（4）依次選擇）依次選擇“開始

19、開始”“程序程序”“管理工管理工具具”“Active Directory用戶和計算用戶和計算”選項，打選項，打開對話框，選擇開對話框，選擇“屬性屬性”“組策略組策略”命令，選命令，選定定GPO，軟件安裝軟件安裝”選項，打開如圖選項，打開如圖11-18所示所示的窗口。的窗口。1給用戶發(fā)布或指派應(yīng)用程序給用戶發(fā)布或指派應(yīng)用程序（5）將）將 “軟件安裝軟件安裝”中彈出的選擇中彈出的選擇“屬性屬性”命命令。出現(xiàn)如圖令。出現(xiàn)如圖11-19所示的對話框，在所示的對話框，在“默認程默認程序包位置序包位置” 用用UNC路徑。路徑。（6）將鼠標指向）將鼠標指向“軟件安裝軟件安裝” 中選擇中選擇“新新建建”“程序

20、包程序包”命令。出現(xiàn)如圖命令。出現(xiàn)如圖11-20所示的所示的窗口，單擊窗口，單擊“打開打開”按鈕。按鈕。（7）出現(xiàn)圖）出現(xiàn)圖11-21所示的對話框時，在所示的對話框時，在“選擇部選擇部署方法署方法”選擇區(qū)中選擇，然后單擊選擇區(qū)中選擇，然后單擊“確定確定”按鈕。按鈕。（8）出現(xiàn)圖）出現(xiàn)圖11-22所示的窗口，圖中右方的所示的窗口，圖中右方的“WinINSTALL LE”己被發(fā)行成功。己被發(fā)行成功。圖11-18 軟件安裝圖11-19 “軟件安裝屬性”窗口 圖11-20 選擇程序包圖11-21 選擇部署方式圖圖11-22 “WinINSTALL LE”發(fā)行成功發(fā)行成功2安裝被發(fā)布或指派應(yīng)用程序安裝被發(fā)布或指派應(yīng)用程序（1）注銷，然后利用域內(nèi)的用戶賬戶來登錄。）注銷，然后利用域內(nèi)的用戶賬戶來登錄。 （2)依次單擊依次單擊“開始開始”“設(shè)置設(shè)置”“控