第15章組策略ppt課件

1、第15章 組戰(zhàn)略 本章的義務(wù)了解什么是組戰(zhàn)略，有多個(gè)組戰(zhàn)略時(shí)，組戰(zhàn)略的運(yùn)用順序了解組戰(zhàn)略的創(chuàng)建方法根據(jù)企業(yè)需求，創(chuàng)建或修正不同級(jí)別的組戰(zhàn)略運(yùn)用組戰(zhàn)略為企業(yè)用戶或者計(jì)算機(jī)制定一致的環(huán)境運(yùn)用組戰(zhàn)略一致發(fā)布、晉級(jí)、修正軟件 15.1 組戰(zhàn)略引見(jiàn) 15.1.1 了解組戰(zhàn)略 Windows組戰(zhàn)略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)迫運(yùn)用一些配置的方法，組戰(zhàn)略定義了用戶的桌面環(huán)境等多種設(shè)置。安裝了活動(dòng)目錄后，運(yùn)用組戰(zhàn)略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套一致的規(guī)范，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置等，這樣計(jì)算機(jī)或者用戶可以有一樣的菜單、一樣的快捷方式等等各種配置。組戰(zhàn)略依然允許用戶在堅(jiān)持規(guī)范的系統(tǒng)配置的同時(shí)，也能定制本人的

2、配置。15.1.2各種組戰(zhàn)略 本地平安戰(zhàn)略與本地戰(zhàn)略 :本地平安戰(zhàn)略只是本地戰(zhàn)略的一部分 。查看本地戰(zhàn)略 查看本地戰(zhàn)略 查看本地戰(zhàn)略 默許域戰(zhàn)略默許域戰(zhàn)略 ：域戰(zhàn)略會(huì)運(yùn)用到整個(gè)域，域戰(zhàn)略存儲(chǔ)在域控制器上 默許域控制器戰(zhàn)略 默許域控制器戰(zhàn)略是運(yùn)用到域中的域控制器的 Default Domain Controllers Policy戰(zhàn)略，這個(gè)戰(zhàn)略就是默許域控制器戰(zhàn)略，是安裝Windows Server 2021時(shí)自動(dòng)創(chuàng)建的、僅運(yùn)用到域控制器上的戰(zhàn)略。 組織單元上的戰(zhàn)略 組戰(zhàn)略也經(jīng)常在組織單元上實(shí)施，假設(shè)我們?cè)谶@個(gè)組織單元上實(shí)施組戰(zhàn)略，那么這個(gè)戰(zhàn)略將對(duì)這個(gè)組織單元中的計(jì)算機(jī)和用戶起作用。 Activ

3、e Directory環(huán)境中的各組戰(zhàn)略的作用范圍 默許或創(chuàng)建的域戰(zhàn)略：作用于整個(gè)域中的計(jì)算機(jī)和用戶默許或創(chuàng)建的域控制器戰(zhàn)略：作用于整個(gè)域中的全部域控制器組織單元上的戰(zhàn)略：作用于整個(gè)組織單元的計(jì)算機(jī)和用戶本地戰(zhàn)略：一切的計(jì)算機(jī)和用戶15.1.3 戰(zhàn)略的運(yùn)用順序 首先是本地戰(zhàn)略，然后是域戰(zhàn)略，最后是組織單元或者域控制器上的戰(zhàn)略，假設(shè)組織單元下還有組織單元那么從上級(jí)到下級(jí)運(yùn)用各個(gè)組織單元上的戰(zhàn)略。組戰(zhàn)略是可以承繼的，組織單元或域控制器會(huì)承繼域的組戰(zhàn)略，下一級(jí)組織單元會(huì)承繼上一級(jí)組織單元上的戰(zhàn)略。15.1.4 組戰(zhàn)略規(guī)劃 假設(shè)是針對(duì)一切計(jì)算機(jī)或者用戶的戰(zhàn)略，應(yīng)該在域這一級(jí)的戰(zhàn)略上設(shè)置。假設(shè)是針對(duì)各部門(mén)

4、的戰(zhàn)略，應(yīng)該在組織單元這一級(jí)的戰(zhàn)略上設(shè)置。 15.2 組戰(zhàn)略的管理 15.2.1 創(chuàng)建新的組戰(zhàn)略 每一計(jì)算機(jī)上的本地戰(zhàn)略都是只能有一個(gè)，因此只能編輯本地戰(zhàn)略而不能創(chuàng)建本地戰(zhàn)略；而域上或組織單元級(jí)別上可以有多個(gè)組戰(zhàn)略，我們可以在一個(gè)域上或組織單元上同時(shí)運(yùn)用多個(gè)組戰(zhàn)略。選擇域或者要?jiǎng)?chuàng)建組戰(zhàn)略的組織單元，右擊鼠標(biāo)，選擇菜單中的“在這個(gè)域中創(chuàng)建GPO并在此處鏈接 15.2.1 創(chuàng)建新的組戰(zhàn)略一個(gè)是新創(chuàng)建的組戰(zhàn)略，該戰(zhàn)略優(yōu)先級(jí)為1，優(yōu)先級(jí)最高；另一個(gè)組戰(zhàn)略是從域承繼下來(lái)的，優(yōu)先級(jí)為2，優(yōu)先級(jí)較低。 15.2.1 創(chuàng)建新的組戰(zhàn)略15.2.2 編輯組戰(zhàn)略 組戰(zhàn)略的屬性 計(jì)算機(jī)配置是針對(duì)計(jì)算機(jī)做的配置，而不論

5、是哪個(gè)用戶在該計(jì)算機(jī)上登錄都會(huì)生效的；“用戶配置是針對(duì)用戶做的配置，而不論用戶是在哪臺(tái)計(jì)算機(jī)上登錄都會(huì)生效的。 組戰(zhàn)略的屬性 單擊“立刻查找按鈕可以查找該戰(zhàn)略被運(yùn)用在域中的何處，這對(duì)于維護(hù)組戰(zhàn)略來(lái)說(shuō)是非常重要的。 組戰(zhàn)略的屬性 可以控制哪些用戶對(duì)該組戰(zhàn)略的控制權(quán)限，例如創(chuàng)建子對(duì)象，單擊“高級(jí)按鈕可以控制對(duì)組戰(zhàn)略的審核 設(shè)置戰(zhàn)略項(xiàng) 設(shè)置戰(zhàn)略項(xiàng)戰(zhàn)略項(xiàng)的三種選擇 刷新戰(zhàn)略 在域控制器上配置了組戰(zhàn)略后，普通的計(jì)算機(jī)90 分鐘刷新組戰(zhàn)略，新的組戰(zhàn)略才生效；對(duì)于域控制器，5 分鐘刷新?？梢允止みM(jìn)展刷新，語(yǔ)法為：gpupdate /Target:Computer | User /Force 戰(zhàn)略的結(jié)果集 組

6、戰(zhàn)略是如此復(fù)雜，以致于我們?cè)谠O(shè)置組戰(zhàn)略時(shí)能夠無(wú)法準(zhǔn)確知道最后的結(jié)果會(huì)是怎樣，好在微軟提供查看組戰(zhàn)略結(jié)果集的工具 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 15.2.3 管理組戰(zhàn)略 在Active Directory環(huán)境中，我們引見(jiàn)過(guò)組戰(zhàn)略的運(yùn)用順序是：本地戰(zhàn)略、域戰(zhàn)略、組織單元戰(zhàn)略、子組織單元戰(zhàn)略；在同一級(jí)的組織單元上也可以有多個(gè)組戰(zhàn)略存在。我們可以管理這些組戰(zhàn)略之間的關(guān)系。改動(dòng)組戰(zhàn)略的陳列順序 改動(dòng)組戰(zhàn)略的陳列順序 :排在列表上面的組戰(zhàn)略具有較高的優(yōu)先級(jí)，也就是說(shuō)上面的組戰(zhàn)略會(huì)替代下面的組戰(zhàn)略。選中相應(yīng)的戰(zhàn)略，單擊“和“可以改動(dòng)這些組戰(zhàn)略的陳列順序，從而改動(dòng)組戰(zhàn)略的優(yōu)先級(jí)。 改

7、動(dòng)戰(zhàn)略的承繼關(guān)系 默許時(shí)，組織單元會(huì)承繼域上的組戰(zhàn)略，子組織單元會(huì)承繼父組織單元的組戰(zhàn)略，然而我們可以改動(dòng)這一行為。在圖選中“阻止承繼菜單，那么該組織單元就不會(huì)承繼域上的組戰(zhàn)略 。強(qiáng)迫戰(zhàn)略的承繼關(guān)系 可以強(qiáng)迫戰(zhàn)略的承繼 ，那么組織單元上采取阻止措施也不能阻止該組戰(zhàn)略被承繼了 。組戰(zhàn)略的設(shè)置舉例 組策略名稱禁止替代“文件”菜單：禁止“另存為”“文件”菜單：禁止“新建”“文件”菜單：禁止“打開(kāi)”隱藏“收藏”菜單Default Domain Policy啟用啟用未設(shè)置未設(shè)置行政部組策略停用未設(shè)置啟用啟用行政部組策略2未設(shè)置停用停用未設(shè)置結(jié)果啟用啟用停用啟用15.3 運(yùn)用組戰(zhàn)略定制用戶環(huán)境、平安設(shè)置

8、15.3.1 設(shè)置IE閱讀器的主頁(yè) 15.3.2 設(shè)置密碼戰(zhàn)略 15.3.3 帳戶鎖定戰(zhàn)略 15.3.4 Windows防火墻設(shè)置 15.3.5 時(shí)間提供程序 15.3.6 制止安裝可挪動(dòng)設(shè)備 15.4 運(yùn)用組戰(zhàn)略發(fā)布軟件 15.4.1 軟件部署簡(jiǎn)介 將軟件分配給用戶 ：當(dāng)將一個(gè)軟件經(jīng)過(guò)組戰(zhàn)略分配給域內(nèi)的用戶后，那么用戶在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，這個(gè)軟件都會(huì)被“通告給該用戶，但這個(gè)軟件并沒(méi)有真正的被安裝，而只是安裝了與這個(gè)軟件有關(guān)的部分信息。只需在以下兩種情況下，這個(gè)軟件才會(huì)被自動(dòng)安裝：開(kāi)場(chǎng)運(yùn)轉(zhuǎn)此軟件： 例如用戶登錄后執(zhí)行操作：“開(kāi)場(chǎng)“一切程序單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式

9、后，就會(huì)自動(dòng)安裝此軟件。利用“文件啟動(dòng)功能： 例如假設(shè)這個(gè)被“通告的程序?yàn)镸icrosoft Excel，當(dāng)用戶登錄后，他的計(jì)算時(shí)機(jī)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，此時(shí)用戶只需雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會(huì)自動(dòng)安裝Microsoft Excel。將軟件分配給計(jì)算機(jī) 當(dāng)將一個(gè)軟件經(jīng)過(guò)組戰(zhàn)略分配給域內(nèi)的計(jì)算機(jī)后，在這些計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)軟件就會(huì)自動(dòng)安裝在這些計(jì)算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到Documents and SettingsAll Users文件夾內(nèi)。任何用戶登錄后，都可以運(yùn)用此軟件。將軟件發(fā)布給用戶 當(dāng)將一個(gè)軟件經(jīng)過(guò)組戰(zhàn)略發(fā)布

10、給域內(nèi)的用戶后，該軟件不會(huì)自動(dòng)安裝到用戶的計(jì)算機(jī)內(nèi)，用戶需求經(jīng)過(guò)以下兩種方式來(lái)安裝這個(gè)軟件：執(zhí)行操作：“開(kāi)場(chǎng) “控制面板 “添加或刪除程序“添加程序。利用“文件啟動(dòng)功能：舉例說(shuō)，假設(shè)這個(gè)被發(fā)布的軟件為,Microsoft Excel，雖然在Active Directory內(nèi)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，可是用戶登錄時(shí)，他的計(jì)算機(jī)不會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，也就是對(duì)此計(jì)算機(jī)來(lái)說(shuō)，擴(kuò)展名為.xls的文件是一個(gè)“未知文件，不過(guò)只需用戶雙擊擴(kuò)展名為.xls的文件，他的計(jì)算機(jī)就會(huì)經(jīng)過(guò)Active Director

11、y得知擴(kuò)展名為.xls的文件是與Microsoft Excel關(guān)聯(lián)在一同，因此會(huì)自動(dòng)安裝Microsoft Excel。 自動(dòng)修復(fù)軟件 一個(gè)被發(fā)布或分配的軟件，在安裝完成后，假設(shè)此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會(huì)自動(dòng)探測(cè)到此不正常景象，并且會(huì)自動(dòng)修復(fù)、重新安裝此軟件。刪除軟件 一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，假設(shè)不想再讓用戶運(yùn)用此軟件，只需將該程序從組戰(zhàn)略內(nèi)發(fā)布或分配的軟件清單刪除，并設(shè)置下次用戶登錄或計(jì)算機(jī)啟動(dòng)時(shí)刪除，系統(tǒng)會(huì)自動(dòng)刪除這個(gè)軟件。 15.4.2 發(fā)布或分配軟件 發(fā)布或分配軟件前的預(yù)備任務(wù) ：步驟1：在效力器上創(chuàng)建共享文件夾把文件夾共享出來(lái)，

12、確保組戰(zhàn)略會(huì)影響到的各用戶對(duì)目錄至少具有讀的權(quán)限。步驟2：在一客戶端測(cè)試能否可以正常訪問(wèn)共享文件夾。步驟3：預(yù)備適宜的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需求建立子文件夾。組戰(zhàn)略對(duì)被部署的軟件有一定的要求，通常是MSI文件，假設(shè)是EXE文件，請(qǐng)按照后面小節(jié)引見(jiàn)的方法打包。發(fā)布或分配軟件 發(fā)布或分配軟件發(fā)布或分配軟件發(fā)布或分配軟件在客戶端，以“研發(fā)部組織單元下的用戶登錄到域，從“開(kāi)場(chǎng)“程序菜單中，應(yīng)該可以看到“Microsoft ActiveSync菜單，如圖。該軟件并未實(shí)踐安裝，單擊該菜單項(xiàng)可以開(kāi)場(chǎng)安裝。應(yīng)該把域用戶參與到本地的管理員組中，否那么安裝軟件會(huì)失敗。 部署EXE軟件 有兩

13、種方法部署EXE文件，第一種是運(yùn)用ZAP文件來(lái)包裝EXE文件第二種是運(yùn)用MSI文件包裝EXE文件。前者容易實(shí)現(xiàn)，但是只能發(fā)布軟件，而不能分配軟件，不提供晉級(jí)軟件功能。該方法實(shí)現(xiàn)起來(lái)困難，需求運(yùn)用第三方軟件 。運(yùn)用ZAP文件來(lái)包裝EXE文件步驟1：把被發(fā)布的文件“IE8-WindowsXP-x86-CHS.exe拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP為后綴的文件，內(nèi)容為：ApplicationFriendlyname=TESTSetupcommand=192.168.0.1SoftWare-R&DIE8.0-XPIE8-WindowsXP-x86-CHS.exe步驟3：發(fā)布ZAP文件。在組戰(zhàn)略的編輯窗口中，依次展開(kāi)“用戶配置“戰(zhàn)略“軟件設(shè)置“軟件安裝，右擊“軟件安裝新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本運(yùn)用程序數(shù)據(jù)包*.ZAP，把ZAP文件進(jìn)展發(fā)布。步驟4：在客戶端上，從“控制面板“添加或刪除程序“添加新程序窗口，可以看到新發(fā)布的程序，雙擊它就可以進(jìn)展安裝了。 15.4.3 晉級(jí)軟件 運(yùn)用組戰(zhàn)略對(duì)軟件進(jìn)展晉級(jí)有兩種方法：一種是軟件本身可以識(shí)別版本，例如Microsoft Office 2007可以檢測(cè)計(jì)算機(jī)上安裝的Microsoft Office 2003，對(duì)于這種軟件只需把新版的軟件部署即可，用戶