組策略-高級篇

1、組策略-高級篇內容組策略繼承及沖突處理慢速鏈接的組策略組策略的其他設置設計和管理組策略 重、難點重點：組策略的繼承阻止繼承、禁止替代組策略的權限篩選難點：組策略對象的繼承的設計組策略的設計任務一 組策略繼承和沖突處理1、一般繼承與處理規(guī)那么組策略的配置具有繼承性:假設父容器的某個策略被配置,但其子容器的策略未被配置,那么子繼承父容器配置值.假設子容器的某個策略被配置,那么此配置值會覆蓋由父容器傳遞下來的配置值.組策略的配置具有累加性的： 例如:業(yè)務部OU內建立了GPO,同時在域、站點內也有GPO，那么所有配置值累加起來是最后有效值。組策略沖突的處理當Site，Domain，OU之間的組策略發(fā)生

2、沖突時，以處理順序在后的GPO優(yōu)先，系統(tǒng)處理GPO的優(yōu)先順序是：站點GPO、域GPO、OU的GPO如果所有的組策略對象不發(fā)生沖突，同時應用。當同一對象連接到多個GPO時，所有GPO配置將被累加起來。假設策略的設置發(fā)生沖突，以排在前面的GPO優(yōu)先。沖突的處理系統(tǒng)先處理“計算機配置,再處理 “用戶配置,假設有沖突,雖然“用戶配置處理順序在后，但是大局部情況下以“計算機配置優(yōu)先GPO內個策略未配置與啟用或禁用不會產生 沖突關系。2、例外的繼承性設置“阻止繼承設置“禁止替代設置篩選設置“阻止策略繼承阻止策略繼承：禁止從所有的高層繼承GPO無法選擇針對哪些GPO， 全部都禁止繼承針對的是某一層次不能阻擋

3、“禁止替代設置“禁止替代禁止替代：不管是否沖突，或者是否有“阻止繼承，始終生效針對的是具體某個組策略對象，而不是針對某個容器所有的GPO。高的“禁止替代會覆蓋低的“禁止替代。應該設置在較高層次 篩選組策略設置GPO的配置默認是被應用到這個容器內的所有用戶與計算機默認用戶等對象對該容器的GPO具有“讀取與“應用組策略權限，查看方法：GPO-屬性-平安也可使GPO對容器內特定的計算機/用戶/組不生效使特定用戶與計算機沒有“讀取和“應用組策略的根本權限，把這些用戶添加到平安，設為“拒絕即可注：只有在組策略中具有讀取和應用權限的對象才會應用組策略。設置篩選組策略3、特殊處理的設置慢速鏈接的GPO處理環(huán)

4、回處理模式禁用GPO慢速鏈接的GPO處理可以設置讓域內的計算機自動探測他們與域控制器之間的鏈接速度是否太慢,如果太慢,可以設置不要應用位于域控制器內的組策略.如下圖:慢速鏈接的GPO處理定義了即使慢速連接也要做軟件安裝策略處理環(huán)回處理模式系統(tǒng)會根據(jù)用戶或計算機帳戶在AD內的位置,來決定如何將GPO配置值應用到用戶或計算機.實例:計算機帳戶Server1-效勞器OU(“效勞器GPO組策略) 用戶帳戶Jackie-業(yè)務部OU(“業(yè)務部GPO組策略)當用戶Jackie在Server1登錄域時,用戶環(huán)境由 “業(yè)務部GPO中的“用戶配置決定,而計算機環(huán)境由 “效勞器GPO中的“計算機配置來決定.但是在“

5、業(yè)務部GPO中的“用戶配置內,設置了位于“業(yè)務部OU用戶登錄,自動安裝某個應用程序,所以用戶在任何一臺計算機上登錄系統(tǒng)都將為其安裝應用程序.現(xiàn)不想替此用戶在這臺重要效勞器Server1內安裝,用“環(huán)回處理模式.環(huán)回處理模式假設在“效勞器GPO內啟用此模式,那么不管用戶是位于何處,只要用戶是利用“效勞器OU的計算機登錄,環(huán)境就由“效勞器GPO的“用戶配置決定.環(huán)回處理模式“環(huán)回處理模式分為兩種模式：替代模式：直接改由“效勞器GPO的“用戶配置來配置環(huán)境。合并模式：先處理“業(yè)務部GPO的“用戶配置，再處理“效勞器GPO的，假設有沖突，那么“效勞器GPO內的優(yōu)先。禁用GPO可以將整個GPO禁用也可只

6、禁用GPO內的“計算機配置或“用戶配置任務二 組策略最正確實踐：規(guī)劃(1)盡量不要刪除或者修改兩個默認GPOs禁用GPO中沒有作用的節(jié)點計算機設置或用戶設置，以加快登錄速度。善用委派機制，減低系統(tǒng)管理員負擔。每個新的GPO應先進行測試GPO的命名具有描述性如“工程部門軟件部署策略使用GPMC備份“默認域策略和“默認域控制器策略組策略最正確實踐：規(guī)劃(2)在有AD的情況下，盡量不使用本地組策略限制域上的GPO數(shù)量，因為設置的GPO越多，登錄所花費的時間越長。盡可能不使用影響組策略默認繼承性的禁止替代阻止繼承應用GPO時，盡可能將GPO關聯(lián)到目標對象所在的容器上(比方OU)善用篩選機制，一方面可以

7、使特定的組不應用組策略，另一方面可以加快這些組成員的登錄速度。組策略實踐練習：管理用戶環(huán)境：管理模板策略賬戶策略用戶權限分配策略平安選項策略登錄/注銷、啟動/關機腳本文件夾重定向組策略實踐(1)-管理模板策略當用戶端的計算機在處理“管理模板策略時，會將這些策略配置值存儲到用戶計算機的“登錄內，但是并不會將此計算機的默認的登錄值覆蓋。刪除按Ctrl+Alt+Del組合鍵后所出現(xiàn)的對話框選項：用戶配置-管理模板-系統(tǒng)-Ctrl+Alt+Del選項隱藏在控制面板內指定的圖標：用戶配置管理模板控制面板雙擊“隱藏指定的控制面板程序，輸入圖標的名稱隱藏桌面上所有圖標：用戶配置管理模板桌面隱藏和禁用桌面上的

8、所有工程刪除“開始菜單中的“關機圖標：用戶配置-管理模板-任務欄和【開始】菜單-雙擊“刪除和阻止訪問關機命令阻止訪問命令提示符：用戶配置-管理模板-系統(tǒng)-阻止訪問命令提示符組策略實踐(2)-賬戶策略賬戶策略包含密碼策略、賬戶鎖定策略：密碼策略密碼必須符合密碼復雜性要求： 至少要6個字符 至少要包含AZ、az、09、非字母數(shù)字如！、￥、#、%等4組字符中的3組。密碼最長使用期限：最長使用期限可為0999天，登錄時，假設密碼使用期限已到，那么系統(tǒng)會自動要求用戶更改密碼。假設設為0，表示沒有使用期限，可以一直使用。密碼最短使用期限：最短使用期限可為0998天，在期限未到前，不得改變密碼，假設為0，可

9、隨時更改。強制密碼歷史：可以設置是否要記錄用戶曾經(jīng)使用過的舊密碼，以便用來決定用戶在改變其密碼時，是否可以使用舊密碼124 表示要保存密碼歷史數(shù)據(jù)0 表示不保存密碼歷史數(shù)據(jù)密碼長度最小值用戶鎖定策略賬戶鎖定閥值：可設置在用戶登錄屢次失敗后，將賬戶鎖定。賬戶鎖定時間：設置要將賬戶鎖定多久的時間，時間過后自動解除鎖定。復位賬戶鎖定計數(shù)器：用來記錄用戶登錄失敗的次數(shù)，假設登錄成功，那么鎖定計數(shù)器的值就歸零。組策略實踐(3)-用戶權限分配策略賦予用戶或組運行特殊工作的權限：計算機配置-windows設置-本地策略-用戶權限分配雙擊該權限單擊“添加用戶和組允許在本地登錄 允許用戶直接在本臺計算機上按Ct

10、rl+Alt+Del組合鍵登錄拒絕本地登錄 拒絕用戶直接在本臺計算機上按Ctrl+Alt+Del組合鍵登錄，優(yōu)先上條策略關閉系統(tǒng) 允許用戶將此計算機關機更改系統(tǒng)時間 允許用戶改變計算機內部的系統(tǒng)日期、時間。組策略實踐(4)-平安選項策略計算機配置-windows設置-本地策略-平安選項：交互式登錄：不需按Ctrl+Alt+Del：在計算機啟動時，直接出現(xiàn)“登錄Windows的對話框。交互式登錄：不顯示上次的用戶名：每次用戶按Ctrl+Alt+Del后所出現(xiàn)的“登錄Windows對話框中顯示的用戶名不顯示。交互式登錄：在密碼到期前提示用戶更改密碼：用來設置在用戶的密碼過期前幾天，提示用戶必須更改

11、密碼。交互式登錄：用戶試圖登錄消息文字、標題：每次當計算機啟動時，按Ctrl+Alt+Del后，顯示一些用戶希望看到的一些消息，一個顯示對話框的標題，另外一個顯示內容。組策略實踐(5)-腳本可以設置讓域用戶在登錄時，系統(tǒng)就自動運行“登錄腳本；開機啟動時，自動運行“啟動腳本等實例：利用文件名為logon.vbs的文件 wscript.echo “Welcome,this is a LOGON script test文件名為logoff.vbs的文件 wscript.echo “Goodbye,this is a LOGOFF script test用戶配置Windows設置腳本登錄/注銷-雙擊右邊的“登錄，把腳本文件復制到此處添加到組策略最正確實踐(6)-文件夾重定向 可以利用組策略來將某些特殊文件夾的存儲位置，重定向轉向到網(wǎng)絡上的其他位置，這些特殊的文件夾包含：Application data :此