第15章組策略ppt課件

1、第15章 組戰(zhàn)略 本章的義務(wù)了解什么是組戰(zhàn)略，有多個組戰(zhàn)略時，組戰(zhàn)略的運用順序了解組戰(zhàn)略的創(chuàng)建方法根據(jù)企業(yè)需求，創(chuàng)建或修正不同級別的組戰(zhàn)略運用組戰(zhàn)略為企業(yè)用戶或者計算機制定一致的環(huán)境運用組戰(zhàn)略一致發(fā)布、晉級、修正軟件 15.1 組戰(zhàn)略引見 15.1.1 了解組戰(zhàn)略 Windows組戰(zhàn)略是一種在用戶或計算機集合上強迫運用一些配置的方法，組戰(zhàn)略定義了用戶的桌面環(huán)境等多種設(shè)置。安裝了活動目錄后，運用組戰(zhàn)略可以給同組的計算機或者用戶強加一套一致的規(guī)范，包括菜單啟動項、軟件設(shè)置等，這樣計算機或者用戶可以有一樣的菜單、一樣的快捷方式等等各種配置。組戰(zhàn)略依然允許用戶在堅持規(guī)范的系統(tǒng)配置的同時，也能定制本人的

2、配置。15.1.2各種組戰(zhàn)略 本地平安戰(zhàn)略與本地戰(zhàn)略 :本地平安戰(zhàn)略只是本地戰(zhàn)略的一部分 。查看本地戰(zhàn)略 查看本地戰(zhàn)略 查看本地戰(zhàn)略 默許域戰(zhàn)略默許域戰(zhàn)略 ：域戰(zhàn)略會運用到整個域，域戰(zhàn)略存儲在域控制器上 默許域控制器戰(zhàn)略 默許域控制器戰(zhàn)略是運用到域中的域控制器的 Default Domain Controllers Policy戰(zhàn)略，這個戰(zhàn)略就是默許域控制器戰(zhàn)略，是安裝Windows Server 2021時自動創(chuàng)建的、僅運用到域控制器上的戰(zhàn)略。 組織單元上的戰(zhàn)略 組戰(zhàn)略也經(jīng)常在組織單元上實施，假設(shè)我們在這個組織單元上實施組戰(zhàn)略，那么這個戰(zhàn)略將對這個組織單元中的計算機和用戶起作用。 Activ

3、e Directory環(huán)境中的各組戰(zhàn)略的作用范圍 默許或創(chuàng)建的域戰(zhàn)略：作用于整個域中的計算機和用戶默許或創(chuàng)建的域控制器戰(zhàn)略：作用于整個域中的全部域控制器組織單元上的戰(zhàn)略：作用于整個組織單元的計算機和用戶本地戰(zhàn)略：一切的計算機和用戶15.1.3 戰(zhàn)略的運用順序 首先是本地戰(zhàn)略，然后是域戰(zhàn)略，最后是組織單元或者域控制器上的戰(zhàn)略，假設(shè)組織單元下還有組織單元那么從上級到下級運用各個組織單元上的戰(zhàn)略。組戰(zhàn)略是可以承繼的，組織單元或域控制器會承繼域的組戰(zhàn)略，下一級組織單元會承繼上一級組織單元上的戰(zhàn)略。15.1.4 組戰(zhàn)略規(guī)劃 假設(shè)是針對一切計算機或者用戶的戰(zhàn)略，應(yīng)該在域這一級的戰(zhàn)略上設(shè)置。假設(shè)是針對各部門

4、的戰(zhàn)略，應(yīng)該在組織單元這一級的戰(zhàn)略上設(shè)置。 15.2 組戰(zhàn)略的管理 15.2.1 創(chuàng)建新的組戰(zhàn)略 每一計算機上的本地戰(zhàn)略都是只能有一個，因此只能編輯本地戰(zhàn)略而不能創(chuàng)建本地戰(zhàn)略；而域上或組織單元級別上可以有多個組戰(zhàn)略，我們可以在一個域上或組織單元上同時運用多個組戰(zhàn)略。選擇域或者要創(chuàng)建組戰(zhàn)略的組織單元，右擊鼠標(biāo)，選擇菜單中的“在這個域中創(chuàng)建GPO并在此處鏈接 15.2.1 創(chuàng)建新的組戰(zhàn)略一個是新創(chuàng)建的組戰(zhàn)略，該戰(zhàn)略優(yōu)先級為1，優(yōu)先級最高；另一個組戰(zhàn)略是從域承繼下來的，優(yōu)先級為2，優(yōu)先級較低。 15.2.1 創(chuàng)建新的組戰(zhàn)略15.2.2 編輯組戰(zhàn)略 組戰(zhàn)略的屬性 計算機配置是針對計算機做的配置，而不論

5、是哪個用戶在該計算機上登錄都會生效的；“用戶配置是針對用戶做的配置，而不論用戶是在哪臺計算機上登錄都會生效的。 組戰(zhàn)略的屬性 單擊“立刻查找按鈕可以查找該戰(zhàn)略被運用在域中的何處，這對于維護組戰(zhàn)略來說是非常重要的。 組戰(zhàn)略的屬性 可以控制哪些用戶對該組戰(zhàn)略的控制權(quán)限，例如創(chuàng)建子對象，單擊“高級按鈕可以控制對組戰(zhàn)略的審核 設(shè)置戰(zhàn)略項 設(shè)置戰(zhàn)略項戰(zhàn)略項的三種選擇 刷新戰(zhàn)略 在域控制器上配置了組戰(zhàn)略后，普通的計算機90 分鐘刷新組戰(zhàn)略，新的組戰(zhàn)略才生效；對于域控制器，5 分鐘刷新?？梢允止みM展刷新，語法為：gpupdate /Target:Computer | User /Force 戰(zhàn)略的結(jié)果集 組

6、戰(zhàn)略是如此復(fù)雜，以致于我們在設(shè)置組戰(zhàn)略時能夠無法準(zhǔn)確知道最后的結(jié)果會是怎樣，好在微軟提供查看組戰(zhàn)略結(jié)果集的工具 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 戰(zhàn)略的結(jié)果集 15.2.3 管理組戰(zhàn)略 在Active Directory環(huán)境中，我們引見過組戰(zhàn)略的運用順序是：本地戰(zhàn)略、域戰(zhàn)略、組織單元戰(zhàn)略、子組織單元戰(zhàn)略；在同一級的組織單元上也可以有多個組戰(zhàn)略存在。我們可以管理這些組戰(zhàn)略之間的關(guān)系。改動組戰(zhàn)略的陳列順序 改動組戰(zhàn)略的陳列順序 :排在列表上面的組戰(zhàn)略具有較高的優(yōu)先級，也就是說上面的組戰(zhàn)略會替代下面的組戰(zhàn)略。選中相應(yīng)的戰(zhàn)略，單擊“和“可以改動這些組戰(zhàn)略的陳列順序，從而改動組戰(zhàn)略的優(yōu)先級。 改

7、動戰(zhàn)略的承繼關(guān)系 默許時，組織單元會承繼域上的組戰(zhàn)略，子組織單元會承繼父組織單元的組戰(zhàn)略，然而我們可以改動這一行為。在圖選中“阻止承繼菜單，那么該組織單元就不會承繼域上的組戰(zhàn)略 。強迫戰(zhàn)略的承繼關(guān)系 可以強迫戰(zhàn)略的承繼 ，那么組織單元上采取阻止措施也不能阻止該組戰(zhàn)略被承繼了 。組戰(zhàn)略的設(shè)置舉例 組策略名稱禁止替代“文件”菜單：禁止“另存為”“文件”菜單：禁止“新建”“文件”菜單：禁止“打開”隱藏“收藏”菜單Default Domain Policy啟用啟用未設(shè)置未設(shè)置行政部組策略停用未設(shè)置啟用啟用行政部組策略2未設(shè)置停用停用未設(shè)置結(jié)果啟用啟用停用啟用15.3 運用組戰(zhàn)略定制用戶環(huán)境、平安設(shè)置

8、15.3.1 設(shè)置IE閱讀器的主頁 15.3.2 設(shè)置密碼戰(zhàn)略 15.3.3 帳戶鎖定戰(zhàn)略 15.3.4 Windows防火墻設(shè)置 15.3.5 時間提供程序 15.3.6 制止安裝可挪動設(shè)備 15.4 運用組戰(zhàn)略發(fā)布軟件 15.4.1 軟件部署簡介 將軟件分配給用戶 ：當(dāng)將一個軟件經(jīng)過組戰(zhàn)略分配給域內(nèi)的用戶后，那么用戶在域內(nèi)的任何一臺計算機登錄時，這個軟件都會被“通告給該用戶，但這個軟件并沒有真正的被安裝，而只是安裝了與這個軟件有關(guān)的部分信息。只需在以下兩種情況下，這個軟件才會被自動安裝：開場運轉(zhuǎn)此軟件： 例如用戶登錄后執(zhí)行操作：“開場“一切程序單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式

9、后，就會自動安裝此軟件。利用“文件啟動功能： 例如假設(shè)這個被“通告的程序為Microsoft Excel，當(dāng)用戶登錄后，他的計算時機自動將擴展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，此時用戶只需雙擊擴展名為.xls的文件，系統(tǒng)就會自動安裝Microsoft Excel。將軟件分配給計算機 當(dāng)將一個軟件經(jīng)過組戰(zhàn)略分配給域內(nèi)的計算機后，在這些計算機啟動時，這個軟件就會自動安裝在這些計算機里，而且是安裝到公用程序組內(nèi)，也就是安裝到Documents and SettingsAll Users文件夾內(nèi)。任何用戶登錄后，都可以運用此軟件。將軟件發(fā)布給用戶 當(dāng)將一個軟件經(jīng)過組戰(zhàn)略發(fā)布

10、給域內(nèi)的用戶后，該軟件不會自動安裝到用戶的計算機內(nèi)，用戶需求經(jīng)過以下兩種方式來安裝這個軟件：執(zhí)行操作：“開場 “控制面板 “添加或刪除程序“添加程序。利用“文件啟動功能：舉例說，假設(shè)這個被發(fā)布的軟件為,Microsoft Excel，雖然在Active Directory內(nèi)會自動將擴展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，可是用戶登錄時，他的計算機不會自動將擴展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一同，也就是對此計算機來說，擴展名為.xls的文件是一個“未知文件，不過只需用戶雙擊擴展名為.xls的文件，他的計算機就會經(jīng)過Active Director

11、y得知擴展名為.xls的文件是與Microsoft Excel關(guān)聯(lián)在一同，因此會自動安裝Microsoft Excel。 自動修復(fù)軟件 一個被發(fā)布或分配的軟件，在安裝完成后，假設(shè)此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會自動探測到此不正常景象，并且會自動修復(fù)、重新安裝此軟件。刪除軟件 一個被發(fā)布或分配的軟件，在用戶將其安裝完成后，假設(shè)不想再讓用戶運用此軟件，只需將該程序從組戰(zhàn)略內(nèi)發(fā)布或分配的軟件清單刪除，并設(shè)置下次用戶登錄或計算機啟動時刪除，系統(tǒng)會自動刪除這個軟件。 15.4.2 發(fā)布或分配軟件 發(fā)布或分配軟件前的預(yù)備任務(wù) ：步驟1：在效力器上創(chuàng)建共享文件夾把文件夾共享出來，

12、確保組戰(zhàn)略會影響到的各用戶對目錄至少具有讀的權(quán)限。步驟2：在一客戶端測試能否可以正常訪問共享文件夾。步驟3：預(yù)備適宜的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需求建立子文件夾。組戰(zhàn)略對被部署的軟件有一定的要求，通常是MSI文件，假設(shè)是EXE文件，請按照后面小節(jié)引見的方法打包。發(fā)布或分配軟件 發(fā)布或分配軟件發(fā)布或分配軟件發(fā)布或分配軟件在客戶端，以“研發(fā)部組織單元下的用戶登錄到域，從“開場“程序菜單中，應(yīng)該可以看到“Microsoft ActiveSync菜單，如圖。該軟件并未實踐安裝，單擊該菜單項可以開場安裝。應(yīng)該把域用戶參與到本地的管理員組中，否那么安裝軟件會失敗。 部署EXE軟件 有兩

13、種方法部署EXE文件，第一種是運用ZAP文件來包裝EXE文件第二種是運用MSI文件包裝EXE文件。前者容易實現(xiàn)，但是只能發(fā)布軟件，而不能分配軟件，不提供晉級軟件功能。該方法實現(xiàn)起來困難，需求運用第三方軟件 。運用ZAP文件來包裝EXE文件步驟1：把被發(fā)布的文件“IE8-WindowsXP-x86-CHS.exe拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP為后綴的文件，內(nèi)容為：ApplicationFriendlyname=TESTSetupcommand=192.168.0.1SoftWare-R&DIE8.0-XPIE8-WindowsXP-x86-CHS.exe步驟3：發(fā)布ZAP文件。在組戰(zhàn)略的編輯窗口中，依次展開“用戶配置“戰(zhàn)略“軟件設(shè)置“軟件安裝，右擊“軟件安裝新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本運用程序數(shù)據(jù)包*.ZAP，把ZAP文件進展發(fā)布。步驟4：在客戶端上，從“控制面板“添加或刪除程序“添加新程序窗口，可以看到新發(fā)布的程序，雙擊它就可以進展安裝了。 15.4.3 晉級軟件 運用組戰(zhàn)略對軟件進展晉級有兩種方法：一種是軟件本身可以識別版本，例如Microsoft Office 2007可以檢測計算機上安裝的Microsoft Office 2003，對于這種軟件只需把新版的軟件部署即可，用戶