組策略概述-PowerPoint演示文稿

組策略概述-PowerPoint演示文稿本章學(xué)習(xí)目標(biāo)

組策略概述

管理模板策略的設(shè)置

Windows設(shè)置策略的管理

通過軟件設(shè)置策略部署應(yīng)用程序返回本章首頁11.1組策略概述11.1.1組策略對(duì)象11.1.2組策略的應(yīng)用順序與規(guī)則返回本章首頁組策略包括：計(jì)算機(jī)配置、用戶配置其組策略包含以下內(nèi)容：1）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌以及任務(wù)欄和開始菜單等相關(guān)的策略。2）Windows設(shè)置：包括腳本、安全設(shè)置（戶策略和本地策略）等相關(guān)的策略。3）軟件設(shè)置：包括軟件安裝策略，可以進(jìn)應(yīng)用程序的指派與發(fā)布。11.1.1組策略對(duì)象圖11-1“組策略”選項(xiàng)卡1．更改組策略（1）選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”選項(xiàng)，選擇“屬性”→“組策略”命令。（2）選定“DefaultDomainControllersPolicy”，然后單擊“編輯”按鈕。（3）打開如圖11-2所示的“組策略”窗口后，然后雙擊窗口右側(cè)的“在本地登錄”。（4）出現(xiàn)如圖11-3所示的對(duì)話框時(shí)，單擊“添加”按鈕，選擇DomainUsers組以便讓所有的域用戶都具備“在本地登錄”的權(quán)利。完成后單擊“確定”按鈕關(guān)閉此對(duì)話框。（5）返回“組策略”窗口時(shí)，請(qǐng)關(guān)閉此窗口。（6）返回“DomainControllers屬性”對(duì)話框，單擊“確定”。圖11-2組策略窗口圖11-3有“在本地登錄”權(quán)限的用戶和組2．驗(yàn)證更改組策略的有效性（1）在服務(wù)器端，以administrator賬戶登錄。（2）依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算”選項(xiàng)，從中選擇“新建”→“用戶”命令添加一個(gè)一般的用戶賬戶。（3）完成后，注銷administrator，然后等待此組策略生效。（4）重新登錄時(shí)，請(qǐng)用剛建立的域用戶登錄，此時(shí)應(yīng)該可以正常登錄成功。返回本節(jié)11.1.2組策略的應(yīng)用順序與規(guī)則（1）如果是在高層容器內(nèi)建立了組策略，則低層容器會(huì)繼承在高層容器內(nèi)所建立的組策略。（2）如果在低層的容器內(nèi)建立了組策略，則此組策略內(nèi)的設(shè)置默認(rèn)會(huì)替代由其高層的父容器所傳遞下來的組略。

（3）如果在父容器的某個(gè)策略被設(shè)為“未被配置”，則子容器并不會(huì)繼承這個(gè)策略。

（4）如果在父容器的組策略內(nèi)的某個(gè)設(shè)為“啟用”或“禁用”，則子容器會(huì)繼承這個(gè)設(shè)置。（5）直接以子容器的組策略為其設(shè)置。（6）在父容器的組策略內(nèi)，通過“禁止替代”子容器必須繼承由父容器傳遞的組策略設(shè)置。返回本節(jié)11.2管理模板策略的設(shè)置11.2.1設(shè)置管理模板策略11.2.2設(shè)置組策略的替代功能返回本章首頁圖11-4組策略示例返回本節(jié)11.2.1設(shè)置管理模板策略（1）在“ActiveDirectory中，選擇“屬性”→“組策略”→“新建”命令，添加一個(gè)GPO，命名為“xuexiaoPolicy”。（2）在如圖11-5所示的對(duì)話框中，單擊“編輯”。（3）在如圖11-6所示的“組策略”窗口中，選擇“用戶配置”→“管理模板”→“任務(wù)欄和‘開始’菜單”選項(xiàng)。（4）在如圖11-6所示選擇“用戶配置”→“管理模板”→“桌面”。（5）完成后，關(guān)閉“組策略”窗口。（6）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。圖11-5添加新的組策略圖11-6設(shè)置組策略圖11-7設(shè)置策略的是否啟用返回本節(jié)11.2.2設(shè)置組策略的替代功能（1）在“ActiveDirectory用戶和計(jì)算”選擇“屬性”→“組策略”→“新建”選項(xiàng)，添加一個(gè)GPO，命名為“9901Poliicy”，單擊“編輯”按鈕。（2）在“組策略”中選擇“用戶配置”→“管理模板”→“任務(wù)欄和‘開始’菜單”，選擇“禁用”，單擊“確定”。（3）在“組策略”中選擇“用戶配置”→“管理模板”→“桌面”。選擇“禁用”，單擊“確定”。關(guān)閉“組策略”窗口。單擊“關(guān)閉”結(jié)束組策略設(shè)置。返回本節(jié)11.3Windows設(shè)置策略的管理11.3.1賬戶策略的設(shè)置11.3.2本地策略的設(shè)置11.3.3登錄/注銷、啟動(dòng)/關(guān)閉腳本返回本章首頁圖11-8賬戶策略的設(shè)置11.3.1賬戶策略的設(shè)置1．密碼策略的設(shè)置（1）密碼最長存留期（2）密碼最短存留期（3）密碼長度最小值（4）強(qiáng)制密碼歷史2．賬戶鎖定策略的設(shè)置

賬戶鎖定閾值賬戶鎖定時(shí)間復(fù)位賬戶鎖定計(jì)數(shù)器圖11-11設(shè)置賬戶鎖定策略圖11-9設(shè)置密碼策略圖11-10“密碼最長存留期”的設(shè)置返回本節(jié)11.3.2本地策略的設(shè)置審核目錄服務(wù)訪問審核登錄事件審核對(duì)象訪問審核策略更改審核特權(quán)使用審核賬戶登錄事件

審核賬戶管理

審核賬戶管理審核過程追蹤1．審核策略的設(shè)置2．用戶權(quán)利指派策略的設(shè)置（1）在本地登錄；（2）域中添加工作站；（3）關(guān)閉系統(tǒng)；（4）從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；（5）從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)；（6）備份文件和目錄；（7）還原文件和目錄；（8）管理審核和安全日志；（9）更改系統(tǒng)時(shí)間；（10）裝載和卸載設(shè)備驅(qū)動(dòng)程序；（11）取得文件或其他對(duì)象的所有權(quán)3．安全選項(xiàng)策略的設(shè)置登錄屏幕上不要顯示上次登錄的用戶名允許在未登錄前關(guān)機(jī)在密碼到期前提示用戶更改密碼禁用按Ctrl+Alt+Del進(jìn)行登錄的設(shè)置用戶試圖登錄時(shí)消息文字與用戶試圖登錄時(shí)消息標(biāo)題返回本節(jié)11.3.3登錄/注銷、啟動(dòng)/關(guān)閉腳本1．登錄/注銷腳本的設(shè)置（1）準(zhǔn)備好登錄與注銷腳本。（2）在“ActiveDirectory用戶和計(jì)算機(jī)”中選擇“組策略”命令，選定GPO，雙擊“登錄”圖標(biāo)。（3）單擊“顯示文件”按鈕。（4）先切換到“Windows資源管理器”并選定登錄腳本，選擇“復(fù)制”、“粘貼”命令。（5）返回到圖11-14所示的對(duì)話框后，單擊“添加”。（6）出現(xiàn)圖11-16所示的對(duì)話框時(shí)，單擊“瀏覽”按鈕，7）返回到圖11-14所示的對(duì)話框時(shí)，單擊“確定”按鈕。（8）回到圖11-13所示的窗口，單擊畫面右方的“注銷”圖標(biāo)，然后重復(fù)步驟（2）~（6），以便設(shè)置注銷腳本。圖11-13設(shè)置登錄和注銷腳本圖11-14“登錄屬性”對(duì)話框圖11-15復(fù)制登錄腳本圖11-16指定登錄腳本2．啟動(dòng)/關(guān)閉腳本的設(shè)置（1）創(chuàng)建一個(gè)名稱為startup.bat的啟動(dòng)腳本。（2）在“ActiveDirectory用戶和計(jì)算機(jī)”對(duì)話框中，選擇“屬性”→“組策略”命令，選定GPO后，出現(xiàn)圖11-17所示的窗口，雙擊“啟動(dòng)”圖標(biāo)。（3）單擊“顯示文件”按鈕。（4）切換到“Windows資源管理器”中，選擇“復(fù)制”粘貼”命令，將登錄腳本復(fù)制到該窗口中后關(guān)閉窗口。（5）單擊“添加”按鈕。（6）出現(xiàn)類似圖11-16所示的對(duì)話框，單擊“瀏覽”按鈕，從startup文件夾內(nèi)選定登錄腳本。如果你的腳本需要輸入?yún)?shù)，則在“腳本參數(shù)”文本框中輸入?yún)?shù)，完成后單擊“確定”按鈕。（7）單擊“確定”按鈕。（8）回到圖11-17所示的窗口后，單擊畫面右方的“關(guān)機(jī)”圖標(biāo)，然后重復(fù)步驟（2）~（6），以便設(shè)置“關(guān)機(jī)腳本”。圖11-17設(shè)置啟動(dòng)和關(guān)機(jī)腳本返回本節(jié)11.4通過軟件設(shè)置策略部署應(yīng)用程序11.4.1給用戶發(fā)布或指派應(yīng)用程序11.4.2給計(jì)算機(jī)指派應(yīng)用程序11.4.3更改部分應(yīng)用程序的設(shè)置返回本章首頁通過軟件設(shè)置策略，可以為用戶與計(jì)算機(jī)來部署應(yīng)用程序。1、將應(yīng)用程序發(fā)布或指派給用戶。2、將應(yīng)用程序指派給計(jì)算機(jī)。3、自動(dòng)修復(fù)應(yīng)用程序。4、刪除用戶的應(yīng)用程序。11.4.1給用戶發(fā)布或指派應(yīng)用程序1．給用戶發(fā)布或指派應(yīng)用程序2．安裝被發(fā)布或指派應(yīng)用程序（1）利用administrator賬戶登錄到域控制器。（2）在域控制器上建立一個(gè)文件夾，設(shè)為共享文件夾。（3）將Windows2000CD文件夾內(nèi)的所有文件復(fù)制到共享文件夾內(nèi)。（4）依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算”選項(xiàng)，打開對(duì)話框，選擇“屬性”→“組策略”命令，選定GPO，軟件安裝”選項(xiàng)，打開如圖11-18所示的窗口。1．給用戶發(fā)布或指派應(yīng)用程序（5）將“軟件安裝”中彈出的選擇“屬性”命令。出現(xiàn)如圖11-19所示的對(duì)話框，在“默認(rèn)程序包位置”用UNC路徑。（6）將鼠標(biāo)指向“軟件安裝”中選擇“新建”→“程序包”命令。出現(xiàn)如圖11-20所示的窗口，單擊“打開”按鈕。（7）出現(xiàn)圖11-21所示的對(duì)話框時(shí)，在“選擇部署方法”選擇區(qū)中選擇，然后單擊“確定”按鈕。（8）出現(xiàn)圖11-22所示的窗口，圖中右方的“WinINSTALLLE”己被發(fā)行成功。圖11-18軟件安裝圖11-19“軟件安裝屬性”窗口圖11-20選擇程序包圖11-21選擇部署方式圖11-22“WinINSTALLLE”發(fā)行成功2．安裝被發(fā)布或指派應(yīng)用程序（1）注銷，然后利用域內(nèi)的用戶賬戶來登錄。（2)依次單擊“開始”→“設(shè)置”→“控制面板”→“添加/刪除程序”。（3）單擊“添加新程序”按鈕，則右方的“從網(wǎng)絡(luò)添加程序”處就會(huì)顯示所有己被發(fā)布的應(yīng)用程序。（4）選擇要安裝的應(yīng)用程序，然后單擊“添加”按鈕，就會(huì)安裝該應(yīng)用程序。返回本節(jié)11.4.2給計(jì)算機(jī)指派應(yīng)用程序應(yīng)用程序被安