某地區(qū)活動擴展及戰(zhàn)略管理知識分析

1、第四章第四章 組策略組策略Windows 2003AD管理管理學習目標v在完成本章的學習后，您將能夠：v共同組策略集中管理網(wǎng)絡 課程安排v組策略結構v組策略創(chuàng)建管理v利用組策略管理用戶桌面v利用組策略發(fā)布軟件介紹組策略v通過使用組策略，可以:q可以進行集中化或分散式策略q確保用戶有適合完成他們工作的環(huán)境q降低控制用戶和計算機環(huán)境的總費用q推行公司策略組策略結構組策略結構v組策略設置的類型v組策略的目標v針對計算機和用戶的組策略設置v組策略目標和活動目錄容器組策略設置的類型組策略設置的類型組策略對象v 組策略對象q 包含組策略的設置q 組件被存儲在兩個不同的場所v 組策略容器q 被定位在活動目錄

2、中 q 提供域控制器所需的版本信息v 組策略模版q 域控制器上到GPT的的路徑是：systemrootSYSVOLsysvolq 運行Windows 2000的客戶機獲得或應用的組策略設置計算機和用戶的組策略設置v 計算機的組策略設置:q 計算機的組策略設置指定操作系統(tǒng)行為，桌面行為，安全性設置，計算機的啟動和關機命令，計算機賦予的應用程序選項以及應用程序設置q 計算機相關的組策略應用在操作系統(tǒng)初始化和周期性更新循環(huán)過程中v 用戶的組策略設置:q 用戶的組策略設置指定特定的操作系統(tǒng)行為，桌面行為，安全性設置，賦予的和公布的應用程序選項，應用程序設置，文件夾得重定向選項以及用戶登錄和退出登錄命令

3、q 用戶相關的組策略應用在用戶登錄計算機和周期性更新循環(huán)的過程中組策略對象和活動目錄容器v 在將GPO和站點，域或組織單元鏈接后。GPO的設置將應用在站點，域或組織單元的用戶和計算機上q 可以將 GPO 和多個站點，域以及組織單元鏈接q 也可以將多個 GPOs和單個站點，域以及組織單元鏈接v 管理員不能將 GPOs 和默認的活動目錄容器計算機，用戶和builtin相連處理組策略對象處理組策略對象v創(chuàng)建已連接的組策略目標v創(chuàng)建未連接的組策略目標v連接一已存在的組策略目標v指定管理組策略目標的域控制器創(chuàng)建已連接的組策略目標v為了把組策略應用到容器上, 首先要創(chuàng)建連接到容器的GPO:q使用“ Act

4、ive Directory Users and Computers”創(chuàng)建連接到域和OU的GPOq使用“ Active Directory Sites and Services”創(chuàng)建連接到站點的GPO創(chuàng)建未連接的組策略目標創(chuàng)建未連接的組策略目標連接一已存在的組策略目標連接一已存在的組策略目標指定管理組策略目標的域控制器指定管理組策略目標的域控制器v 當創(chuàng)建一新的GPO或編輯一已存在的GPO時，默認的，具有PDC操作主控的域控制器將執(zhí)行該操作v 制定管理 GPO 的域控制器的可選項包括:q 操作主控遵循PDC競爭原則q 使用活動目錄插件的形式q 使用任何可能得域控制器v 制定管理GPO的域控制器:

5、q 使用在組策略快照中的查看菜單下的 DC 選項命令q 在組策略設置中指定使用什么域控制器 如何在活動目錄中應用組策略設置如何在活動目錄中應用組策略設置v組策略是如何處理的v控制組策略的處理v組策略和慢速網(wǎng)絡連接v解決組策略間的沖突組策略生效時機組策略生效時機計算機啟動計算機設置應用計算機設置應用啟動腳本運行啟動腳本運行用戶登錄用戶登錄用戶設置生效用戶設置生效 登錄腳本應用登錄腳本應用控制組策略的處理控制組策略的處理v 同步和異步處理q 默認的組策略處理是同步的q 可以通過使用組策略設置將默認的行為改為異步v 在特定的時間間隔內(nèi)刷新組策略:q 域環(huán)境中的非域控制器計算機每隔90分鐘就會刷新策略

6、，有隨機的延遲。 q 域控制器每5 分鐘刷新一次v 未發(fā)生變更的組策略設置的處理q 可以配置每一個客戶端擴展用于處理所有可用的組策略設置 組策略和慢速網(wǎng)絡連接組策略和慢速網(wǎng)絡連接v組策略能夠接受慢速連接 v組策略使用一種運算法則來確定連接是否為慢速 v組策略給客戶端擴展設定標志指出是慢速連接 解決組策略間的沖突解決組策略間的沖突v 除非組策略設置沖突，否則所有的組策略設置都將被執(zhí)行v 如果發(fā)生沖突，默認的是執(zhí)行最新的設置q來自父容器的GPO設置和來自子容器的GPO設置沖突時，子容器的設置后執(zhí)行并發(fā)揮作用q當連接到同一容器上的不同的 GPO 的設置發(fā)生沖突時，在容器屬性對話框中 GPO列表中最高

7、位置的GPO 的設置后執(zhí)行并發(fā)揮作用 v 當用戶設置和計算機設置發(fā)生沖突時，忽略用戶設置而執(zhí)行計算機設置課堂討論：如何執(zhí)行組策略設置課堂討論：如何執(zhí)行組策略設置nGPO1 確?！癋avorites”出現(xiàn)在“start”菜單中的組策略設置 nGPO2 and GPO3 要求輸入一個至少含有11個字符的密碼的組策略設置和從開始菜單中移去windows更新圖標的組策略設置nGPO4 從開始菜單中移去“Favorites”圖標并添加 “Windows Update” 圖標在 OU中用戶對象的最終組策略設置是什么? OUSiteDomainGPO1GPO2GPO3GPO4課堂討論：如何執(zhí)行組策略設置課堂

8、討論：如何執(zhí)行組策略設置在 OU中用戶對象的最終組策略設置是什么?n用戶密碼至少11 個子符長nWindows更新圖標在“start”菜單中出現(xiàn)n“Favorites”不出現(xiàn)在“start”菜單中OUSiteDomainGPO1GPO2GPO3GPO4修改組策略的應用選項修改組策略的應用選項v允許阻止繼承v允許不重寫v篩選組策略設置v課堂討論：改變組策略的繼承性組策略的繼承性v Windows 2003按照一定的順序應用GPO設置v 子容器繼承父容器的GPO 設置允許阻止繼承v阻止繼承:q阻止子容器從所有父容器處繼承任一個GPOq無法選擇阻止哪個GPOq不能阻止不重寫選項使用“禁止替代”選項v

9、禁止替代選項：q可以優(yōu)先于拒絕繼承和下層的策略沖突而生效q應當在活動目錄服務數(shù)型結構的上層q應用到它鏈接的范圍內(nèi)的q用來強化公司的管理策略篩選組策略設置v篩選組策略設置:q明確拒絕申請對組策略的許可q忽略一驗證過的申請組策略許可課堂討論：課堂討論：改變組策略的繼承性改變組策略的繼承性確定網(wǎng)絡中具備以下條件：n在域中的所有計算上安裝防病毒程序n除了工資部門的用戶外所有域中的計算機必須安裝微軟的辦公套件n除了工資部門的管理員的計算機外工資部門的所有計算機都必須安裝系列商務說明應用程序如何配置 GPO來滿足上述條件?PayrollSalesCTraining課堂討論：改變組策略的繼承性課堂討論：改變

10、組策略的繼承性如何配置 GPO來滿足上述條件?n創(chuàng)建一連接到域的安裝防病毒程序的GPO，將該連接設置為不重寫n創(chuàng)建可連接另一個域的GPO來安裝辦公套件n在工資部門，允許阻止繼承n創(chuàng)建和連接到工資部門的GPO在客戶機上來安裝說明應用程序n修改GPO的DACL使得工資管理員使用的計算機說明拒絕申請組策略許可PayrollSalesNTraining委派組策略的管理控制委派組策略的管理控制v 允許一用戶管理一站點，域或OU的組策略連接，通過如下方式:q賦予用戶站點，域或OU的GPOPtions屬性的讀寫權限q使用委派控制向?qū)?v 允許用戶或小組創(chuàng)建GPO，通過如下方式:q 將用戶或小組添加到組策略創(chuàng)

11、建擁有者小組v 允許用戶編輯GPO，通過以下方式:q賦予用戶該 GPO的讀寫權限q將用戶標注為域管理員，企業(yè)管理員或 GPO 創(chuàng)建擁有者小組q通過使用 GPO 屬性對話框中的安全性表來保證用戶訪問GPO監(jiān)控組策略通過以下方法可以監(jiān)控組策略:v啟用事件日志的診斷記錄q使組策略在事件薄中產(chǎn)生具體事件v啟用詳細記錄q詳細記錄將記錄所有的變更和應用到本地計算機和登錄計算機的用戶設置q詳細記錄將添加詳細記錄的注冊關鍵詞最佳實踐最佳實踐限制使用阻止，不重寫，篩選 GPO限制 限制影響任一計算機或用戶的 GPO 數(shù)目在單個 GPO中與設置相關的組把對 GPO 的管理控制權委派給其他一個或兩個用戶避免把 GP

12、O連接到包含多個域的站點上 在執(zhí)行 GPO之前要進行計劃和測試管理用戶環(huán)境簡介v管理用戶環(huán)境控制用戶有哪些權利v使用組策略設置來控制用戶環(huán)境v通過在容器上應用組策略來立即為新用戶或計算機指定用戶環(huán)境v集中配置和管理用戶環(huán)境q加強標準配置 q確保用戶有他們自己的桌面和個人數(shù)據(jù)q組裝用戶桌面 q確保用戶環(huán)境安全 什么是管理模版v 管理模版設置修改控制用戶環(huán)境的注冊設置v 設置在注冊子目錄樹下修改注冊設置q計算機設置計算機設置HKEY_LOCAL_MACHINE q用戶設置用戶設置HKEY_CURRENT_USER v 如果 GPO不再使用，將刪除組策略v Windows 2003 將同時實現(xiàn)組策略

13、和本地預設注冊設置，除非兩者之間存在著沖突計算機如何實現(xiàn)管理模版設置當客戶計算機啟動的時候，他重新獲得GPO列表并應用，使用戶登錄客戶計算機連接到驗證DC的 SYSVOL文件夾上，然后確定Registry.pol 文件的位置客戶計算機把 Registry.pol 文件中的注冊設置和設置值寫到適當?shù)淖幽夸洏湎?HKLM and HKCU) 在注冊設置實施后，將出現(xiàn)登錄對話框或顯示桌面 管理模版設置類型設置類型設置類型Windows組件組件用戶何以訪問的 Windows 2003 及其工具和組件部分，包括控制用戶對 MMC的訪問系統(tǒng)系統(tǒng)登錄，退出過程。利用系統(tǒng)設置，可以管理組策略，更新區(qū)間，啟用磁

14、盤限額和實現(xiàn)回環(huán)處理等網(wǎng)絡網(wǎng)絡網(wǎng)絡連接和撥號連接的屬性打印機打印機打印機設置，可以是打印機自動公布在活動目錄中，并使基于網(wǎng)絡的的打印無效開始菜單開始菜單和工具欄和工具欄用戶可以從開始菜單中訪問的功能部件?？梢园验_始菜單設置為只讀方式，這樣可以防止用戶修改。桌面桌面活動桌面。通過隱藏某些桌面圖標并控制用戶對文件夾的使用，可以控制用戶對網(wǎng)絡的訪問控制面板控制面板控制面板上的一些應用程序。包括限制對添加/刪除程序，顯示和打印機的使用禁閉桌面的設置l隱藏桌面上所有的圖標l在退出時不保存設置l隱藏我的電腦下具體指定的驅(qū)動器 l從開始菜單中刪除“run”菜單 l禁止用戶運行控制面板中的顯示功能l使與“ W

15、indows Update”的連接無效并刪除這種連接l使工具欄和開始菜單設置的修改無效l使關閉命令無效或刪除改命令 利用組策略設置禁閉桌面環(huán)境利用組策略設置禁閉桌面環(huán)境禁閉用戶訪問網(wǎng)絡資源的設置l隱藏桌面上“ My Network Places”圖標l刪除 “Map Network Drive” 和 “Disconnect Network Drive” l工具菜單: 禁用internet選項利用組策略禁閉用戶訪問網(wǎng)絡資源的設置利用組策略禁閉用戶訪問網(wǎng)絡資源的設置禁閉用戶訪問管理工具和應用程序的設置l從開始菜單中刪除“Search”菜單l從開始菜單中刪除“Run” 菜單 l禁用任務管理器 l只運

16、行允許的 Windows應用程序l從開始菜單中刪除“Documents” 菜單l禁用對工具欄和開始菜單設置的修改l隱藏開始菜單中普通程序組 利用組策略禁閉用戶訪問管理工具和應用程序的設置利用組策略禁閉用戶訪問管理工具和應用程序的設置組策略中的回環(huán)處理模式設置l可以把用戶管理模版設置應用到計算機上l對于指定具體任務的計算機是非常有用的l可以被設置為替換模式或合并模式在組策略中分配腳本v組策略腳本設置允許你 :q組策略腳本設置可以集中配置腳本，在計算機啟動，關閉，用戶登錄，退出時自動運行q管理和配置用戶環(huán)境當用戶啟動計算機，進行登錄時當用戶啟動計算機，進行登錄時:a. Startup script

17、s runb. Logon scripts run當用戶退出，關閉計算機時當用戶退出，關閉計算機時:a. Logoff scripts runb. Shutdown scripts runWindows 2003 按從上到下的順序處理腳本按從上到下的順序處理腳本用組策略實現(xiàn)腳本設置的過程利用組策略重定向文件夾v不管用戶從什么客戶機上登錄，都可以訪問文件夾中的數(shù)據(jù)v文件夾中的數(shù)據(jù)集中存儲，因此文件夾中的文件將更便于管理和備份v減少網(wǎng)絡通信，網(wǎng)絡通信只在用戶訪問文件時才出現(xiàn)v文件不在客戶計算機上保存選擇需要重定向的文件夾 用戶個人的數(shù)據(jù)開始菜單中的文件夾和快捷方式桌面上所有的文件，文件夾和快捷方式

18、由應用程序存儲的具體用戶的數(shù)據(jù)用戶可以從任何計算機上訪問數(shù)據(jù)，這些數(shù)據(jù)可以集中地管理和備份用戶“start”菜單是標準化的用戶具有相同的桌面，不管用戶從什么計算機上登錄應用程序使用相同的具體用戶的數(shù)據(jù)，不管用戶從什么計算機上登錄把文件夾重定向到服務器位置介紹軟件布置的管理刪除刪除刪除軟件維護維護軟件的安裝或重新部署布置布置安裝軟件預備預備獲取windows安裝程序包文件Windows 安裝程序Windows 安裝程序服務安裝程序服務nWindows安裝程序服務是一個使軟件安裝和配置過程完全自動化的客戶端服務nWindows安裝程序服務也可以修改或修補已經(jīng)安裝的應用程序Windows 安裝程序包

19、安裝程序包nWindows安裝程序包包含安裝或卸載一個應用程序的windows安裝程序服務所需的所有信息n一個軟件包包含一個Windows安裝程序，或.msi文件和安裝或卸載軟件所需的任何外部文件n一個.msi包文件也包含有關軟件及其本身的概要信息n包含產(chǎn)品文件或產(chǎn)品文件所在安裝位值的參考n有彈性的應用程序n干凈的刪除布置軟件v軟件布置v創(chuàng)建一個軟件分布點v分配軟件v發(fā)布軟件v使用組策略布置軟件包v設置軟件安裝默認值軟件布置創(chuàng)建或修改 GPO獲取一個 Windows 安裝程序包文件將軟件包文件和任何相關的安裝文件放到一個軟件分布點上配置 GPO以布置應用程序創(chuàng)建一個軟件分布點創(chuàng)建一個軟件分布點

20、創(chuàng)建一個軟件分布點創(chuàng)建一個共享文件夾在共享文件夾中創(chuàng)建相應的應用程序文件夾把 Windows 安裝程序包和可執(zhí)行應用程序拷貝到相應的文件夾中為共享文件夾設置相應的權限當創(chuàng)建軟件分布點時，請采用以下方針當創(chuàng)建軟件分布點時，請采用以下方針在存放 .msi 包的軟件分布點創(chuàng)建以應用程序命名的文件夾，并將.msi包文件及所有所需文件放入該文件夾使用隱藏的共享文件夾使用 Dfs 來為所有發(fā)布的應用程序提供一單一共享點Read Permissions分配軟件Start用戶在下一次激活應用程序時，應用程序?qū)⒆詣颖话惭b計算機在下一次啟動時，軟件被自動安裝軟件分布點軟件分布點發(fā)布軟件?當用戶雙擊一個未知類型文件

21、時應用程序?qū)⒈蛔詣影惭b用戶可以打開控制面板中的“Add/Remove Programs”來顯示可用的應用程序組。然后選擇所需的應用程序進行安裝軟件分布點軟件分布點使用組策略布置軟件包創(chuàng)建或修改一個GPO并把它連接到相應的容器內(nèi)來分配和發(fā)布軟件選擇要發(fā)布的軟件包選擇發(fā)布方法: 發(fā)布, 分配, 或者配置軟件包屬性布置類型布置選項安裝選項設置軟件安裝默認值使用軟件修改North AmericaGPOParisGPOBonnGPOSingle Instanceon Server創(chuàng)建軟件類別Add/Remove ProgramsAdd Programs from CD-ROM or FloppyTo a

22、dd a new program from a floppy disk or CD-ROM drive, click CD or Floppy.Add Programs from the InternetTo add new features, programs, and system updates from Microsoft Windows Update, click Internet.Add Programs from your Corporate Network: Category:Microsoft Office 2000 Premium Edition Click here for more information.To add this program to your computer, click Add.CD or FloppyInternetCloseAllAllAccounting SoftwareDesktop PublishingExpense ReportsInternet UtilitiesWord ProcessingAllChange orRemoveProgramsAdd NewProgramsConfigureWindowsGraphics PhotoDraw Microsoft Office Access Excel PowerPo