第4章 利用組策略管理用戶工作環(huán)境

第四章利用組策略管理用戶工作環(huán)境概述介紹組策略組策略結(jié)構(gòu)處理組策略對象組策略設(shè)置是如何應(yīng)用在活動目錄修改組策略的繼承性組策略的委派管理控制監(jiān)控和解決組策略沖突最佳方案介紹組策略通過使用組策略,可以:1.設(shè)置集中的和分散的管理

2.確保用戶有適合完成他們工作的環(huán)境

3.降低控制用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用,因此要減少用戶需要的技術(shù)支持的級別和由于用戶的錯誤操作帶來的損失

4.推行公司策略,包括商業(yè)準(zhǔn)則,目標(biāo)和保密需要SiteDomainOUWindows2003AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy組策略結(jié)構(gòu)組策略設(shè)置的類型組策略的目標(biāo)針對計(jì)算機(jī)和用戶的組策略設(shè)置組策略目標(biāo)和活動目錄容器組策略設(shè)置的類型TypesofGroupPolicySettingsAdministrativeTemplates基于注冊的設(shè)定應(yīng)用設(shè)置和桌面環(huán)境的設(shè)置Security配置本地的計(jì)算機(jī)、域以及網(wǎng)絡(luò)安全性設(shè)置的設(shè)置SoftwareInstallation軟件安裝、升級、卸載的集中化管理的設(shè)置Scripts運(yùn)行特定的命令時的設(shè)置值，如關(guān)機(jī)、退出登錄InternetExplorerMaintenance管理和定制計(jì)算機(jī)的IE設(shè)置FolderRedirection在網(wǎng)絡(luò)服務(wù)器上存儲用戶個性化文件夾的設(shè)置(重定向)組策略對象ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObject組策略模板在共享的sysvol文件夾中使加入域的計(jì)算機(jī)獲得和應(yīng)用提供的組策略設(shè)置GroupPolicyTemplate組策略容器在活動目錄中包含GPO屬性和版本信息的活動目錄對象GroupPolicyContainer計(jì)算機(jī)和用戶的組策略設(shè)置計(jì)算機(jī)的組策略設(shè)置

1.指的是操作系統(tǒng)行為、桌面行為、安全性設(shè)置等等…2.計(jì)算機(jī)相關(guān)的組策略應(yīng)用在操作系統(tǒng)初始化和周期性更新循環(huán)過程中。

3.通常計(jì)算機(jī)組策略在和用戶組策略沖突時有優(yōu)先權(quán)。用戶的組策略設(shè)置

1.用戶的組策略設(shè)置指定特定的操作系統(tǒng)行為….2.用戶相關(guān)的組策略應(yīng)用在用戶登錄計(jì)算機(jī)和周期性更新循環(huán)過程中。UsersComputers組策略設(shè)置與首選項(xiàng)設(shè)置組策略首選項(xiàng)的特點(diǎn)：只有域內(nèi)的組策略可以設(shè)置首選項(xiàng)首選項(xiàng)設(shè)置非強(qiáng)制，用戶可以更改首選項(xiàng)可以針對單一設(shè)置項(xiàng)目進(jìn)行過濾首選項(xiàng)優(yōu)先級低于策略設(shè)置客戶端需安裝客戶端擴(kuò)展集（CSE）組策略的處理時限在計(jì)算機(jī)啟動的時候，將決定哪個計(jì)算機(jī)的GPO設(shè)置被應(yīng)用在用戶登錄的時候，將決定哪個用戶的GPO設(shè)置被應(yīng)用ComputerstartsUserlogsonComputersettings

appliedStartupscriptsrunUsersettingsappliedLogonscriptsrun控制組策略的處理同步和異步處理

1.默認(rèn)的組策略處理是同步處理

2.可以通過使用組策略設(shè)置將默認(rèn)的行為改為異步傳輸默認(rèn)的時間間隔

1.Pro、Ser服務(wù)器成員每90分鐘刷新一次

2.域控制器每5分鐘刷新一次未發(fā)生變更的組策略設(shè)置的處理,只處理有變更的GPO設(shè)

置組策略對象和活動目錄容器GPO的設(shè)置將對站點(diǎn)、域或組織單位的用戶和計(jì)算機(jī)產(chǎn)生影響

1.管理員可將GPO和多個站點(diǎn)、域以及組織單位連接

2.也可將多個GPO和單個站點(diǎn)、域以及組織單位連接管理員不能將GPO和默認(rèn)的活動目錄容器－計(jì)算機(jī)、用戶和Binltin相連，因?yàn)樗麄儾皇荗USiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO處理組策略對象創(chuàng)建已連接的組策略目標(biāo)創(chuàng)建未連接的組策略目標(biāo)連接－已存在的組策略目標(biāo)創(chuàng)建已連接的組策略目標(biāo)創(chuàng)建未連接的組策略目標(biāo)連接－已存在的組策略目標(biāo)DEMO策略設(shè)置實(shí)戰(zhàn)演練：計(jì)算機(jī)配置策略設(shè)置實(shí)戰(zhàn)演練：用戶配置首選項(xiàng)設(shè)置實(shí)戰(zhàn)演練1首選項(xiàng)設(shè)置實(shí)戰(zhàn)演練2組策略的應(yīng)用規(guī)則一般的繼承與處理規(guī)則特殊的處理規(guī)則特殊的處理設(shè)置指定管理組策略目標(biāo)的域控制器更改組策略的應(yīng)用間隔時間一般的繼承與處理規(guī)則

有高到底，層層應(yīng)用，低級的覆蓋高級的SiteDomainOU

子容器從母容器繼承GPO設(shè)置值ComputersUsersPayrollDomainDomainGPO解決組策略之間的沖突策略是積累的，如果策略之間沒有沖突將全部應(yīng)用如果策略之間存在沖突，將采用最新的設(shè)置計(jì)算機(jī)的設(shè)置，高于用戶的設(shè)置沖突發(fā)生時，執(zhí)行哪個的原則：來自母容器的GPO設(shè)置和來自子容器的GPO設(shè)置沖突。子容器的設(shè)置后執(zhí)行并發(fā)揮作用。連接到同一容器上的不同的GPO的設(shè)置發(fā)生沖突時。在容器屬性對話框中GPO列表中最高位置的GPO的設(shè)置后執(zhí)行并發(fā)揮作用。課堂討論：如何執(zhí)行組策略的設(shè)置GPO1確認(rèn)收藏夾出現(xiàn)在開始菜單中GPO2andGPO3要求11位字符的密碼并將Updateicon移除開始菜單GPO4從開始菜單移除收藏夾并讓updateicon出現(xiàn)WhataretheresultantGroupPolicysettingsfortheOU?OUSiteDomainGPO1GPO2GPO3GPO4課堂討論：如何執(zhí)行組策略的設(shè)置（2）WhataretheresultantGroupPolicysettingsfortheOU?Apasswordmustbeatleast11characterslongTheWindowsUpdateiconappearsontheStartmenuFavoritesdoesnotappearontheStartmenuOUSiteDomainGPO1GPO2GPO3GPO4特殊的繼承設(shè)置阻止繼承策略強(qiáng)制繼承策略篩選組策略設(shè)置課堂討論：改變組策略的繼承性阻止繼承阻止繼承

1.阻止所有的GPO繼承到子容器

2.應(yīng)用配置為不重寫的連接阻止繼承將無效

3.阻止組策略設(shè)置將允許活動目錄有唯一的組策略設(shè)置GPOsSalesProductionDomainNoGPOsettings

apply強(qiáng)制繼承策略1.將不顧其它的GPO的設(shè)置而發(fā)揮作用

2.在活動目錄的較高層次連接GPO以保證能對多個OU起作用

3.必須保證強(qiáng)制重要的GPOSalesProductionDomainDomainGPO

settingsapplyConflicting

GPOSettingsNoOverride

GPOSettings篩選組策略設(shè)置篩選組策略設(shè)置

1.明確的拒絕申請對于包含OU管理員在內(nèi)的安全組的組策略許可

2.刪除驗(yàn)證的用戶DomainSalesMengphKimyoGroupDenyApplyGroupPolicyAllowReadandApplyGroupPolicy課堂討論：改變組策略的繼承性SettingsThatAreNeeded在域中的所有計(jì)算機(jī)上必須安裝防病毒程序除工資部門的用戶外所有域里的計(jì)算機(jī)必須安裝微軟的office套件除工資部門的管理員計(jì)算機(jī)外，工資部門的所有計(jì)算機(jī)都必須安裝系列商用財(cái)務(wù)應(yīng)用程序如何設(shè)置你的GPOs?PayrollSalesCTraining課堂討論：改變組策略的繼承性（2）HowdoyousetupyourGPOs?AGPOlinkedtothedomainwiththeanti-virusapplicationsettingsconfiguredandthelinkconfiguredwithNoOverrideAGPOlinkedtothedomainthatinstallstheOfficesuiteEnableBlockInheritanceforthePayrollOUAGPOlinkedtothePayrollOUtoinstalltheaccountingapplicationModifytheDACLoftheGPOlinkedtothePayrollOUtodenytheApplyGroupPolicypermissionforthecomputeraccountsusedbythePayrollOUadministratorsPayrollSalesNTrainingWindows管理規(guī)范（ＷＭＩ）過濾器Windows管理規(guī)范過濾使管理員可以基于配置，角色或其他標(biāo)準(zhǔn)決定是否在指定計(jì)算機(jī)或用戶上應(yīng)用一個組策略對象特殊的處理設(shè)置強(qiáng)制處理GPO慢速鏈接的GPO處理環(huán)回處理模式禁用GPO 強(qiáng)制組策略的處理如何在客戶端強(qiáng)制刷新組策略語法:GPUpdate[/Target:{Computer|User}][/Force]/Target:{Computer|User}指定只有用戶或計(jì)算機(jī)策設(shè)置已被刷新。在默認(rèn)情況下，用戶和計(jì)算機(jī)策略設(shè)置都被刷新。/Force重新運(yùn)用所有策略設(shè)置。在默認(rèn)情況下，只有已經(jīng)改變了的策略設(shè)置被應(yīng)用。組策略和慢速網(wǎng)絡(luò)連接組策略能接收慢速連接組策略使用一種運(yùn)算法則來確定連接是否為慢速連接默認(rèn)設(shè)置如果<=500k,為慢速連接默認(rèn)的慢速連接處理 客戶端擴(kuò)展慢速連接基于注冊的設(shè)置打開(不能關(guān)閉)IE界面設(shè)置關(guān)閉軟件安裝設(shè)置關(guān)閉文件夾重定向設(shè)置關(guān)閉命令設(shè)置關(guān)閉EFS覆蓋設(shè)置關(guān)閉磁盤配額設(shè)置關(guān)閉安全性和加密文件系統(tǒng)覆蓋設(shè)置關(guān)閉IP安全性設(shè)置打開(不能關(guān)閉)指定管理組策略目標(biāo)的域控制器當(dāng)創(chuàng)建一個新的GPO或編輯一個已存在的GPO時，默認(rèn)的操作在承擔(dān)PDC主控的域控制器上執(zhí)行選擇域控制器的選項(xiàng)

1.操作主控遵循PDC的競爭原則。

2.使用活動目錄插件形式。

3.使用任何可能的域控制器。指定域控制器方式

1.使用在組策略快照中的查看菜單下的DC選項(xiàng)

2.在組策略設(shè)置中指定使用什么域控制器更改組策略的應(yīng)用間隔時間管理組策略拷貝GPO備份GPO還原GPO導(dǎo)入GPO組策略結(jié)果集解決組策略問題組策略對象不能訪問或打開Err