CHAP用戶工作環(huán)境管理課件

網(wǎng)絡(luò)系統(tǒng)管理與維護(hù)知識(shí)改變命運(yùn)，光谷成就未來(lái)光谷教育職業(yè)技能培訓(xùn)知識(shí)改變命運(yùn)，光谷成就未來(lái)1第二章用戶工作環(huán)境管理——組策略可編輯2主要內(nèi)容：

活動(dòng)目錄和域組策略利用組策略管理用戶工作環(huán)境利用組策略部署軟件利用組策略限制軟件可編輯32.1活動(dòng)目錄和域活動(dòng)目錄的含義可編輯目錄一系列相關(guān)資源信息的集合體便于管理、便于查找、便于使用活動(dòng)目錄容量可以動(dòng)態(tài)調(diào)整目錄結(jié)構(gòu)可以動(dòng)態(tài)調(diào)整42.1活動(dòng)目錄和域活動(dòng)目錄對(duì)象可編輯用戶賬戶組賬戶計(jì)算機(jī)賬戶域域樹52.1活動(dòng)目錄和域活動(dòng)目錄的特點(diǎn)可編輯動(dòng)態(tài)的組織形式方便的資源查找集中管理與分散管理相結(jié)合資源訪問(wèn)的分級(jí)管理62.1活動(dòng)目錄和域理解域?qū)⒕W(wǎng)絡(luò)中資源依據(jù)活動(dòng)目錄組織到一起的的一種邏輯環(huán)境三個(gè)邊界：管理邊界、安全邊界、復(fù)制邊界域中的計(jì)算機(jī)域用戶賬戶可以在域林中所有計(jì)算機(jī)上登錄

可編輯域控制器成員服務(wù)器工作站72.1活動(dòng)目錄和域理解組織單位OU是活動(dòng)目錄對(duì)象之一OU用來(lái)盛放活動(dòng)目錄對(duì)象（包括OU）OU和組賬戶的區(qū)別OU和其他活動(dòng)目錄容器的區(qū)別可編輯82.2組策略組策略的概念：一組配置組策略是活動(dòng)目錄對(duì)象的一種(GPO)主要用來(lái)在活動(dòng)目錄的環(huán)境下做網(wǎng)絡(luò)管理的一種方法組策略的功能：方便地管理AD中的計(jì)算機(jī)和用戶用戶桌面環(huán)境啟動(dòng)/關(guān)機(jī)登錄/注銷時(shí)所執(zhí)行的腳本文件軟件分發(fā)安全設(shè)置可編輯域域控制器組策略活動(dòng)目錄92.2組策略默認(rèn)的組策略缺省的域策略：對(duì)域中所有的用戶和計(jì)算機(jī)生效缺省的域控制器策略：在存放DC的OU上，對(duì)域中所有的DC都生效查看默認(rèn)組策略組策略的存儲(chǔ)GPC：組策略容器，存放組策略的狀態(tài)信息和版本信息用AD用戶和計(jì)算機(jī)可以查看到GPT：組策略模板，存放具體的配置信息放在sysvol文件夾中查看默認(rèn)組策略的GPC和GPT可編輯教師演示教師演示102.2組策略對(duì)組策略的基本操作1.新建2.添加3.刪除可編輯教師演示112.2組策略組策略的作用范圍（在哪些地方使用組策略）站點(diǎn)域OU及子OU簡(jiǎn)稱：SDous組策略適用的操作系統(tǒng)2000/XP/2003Vista/Win7/2008計(jì)算機(jī)的本地策略使用Gpedit.msc編輯可編輯122.2組策略組策略的生效對(duì)象組策略只對(duì)計(jì)算機(jī)和用戶生效計(jì)算機(jī)配置只對(duì)計(jì)算機(jī)生效用戶配置只對(duì)用戶生效可編輯132.2組策略組策略的生效時(shí)間可編輯用戶配置生效時(shí)間用戶登錄或注銷過(guò)90~120分鐘會(huì)生效手工刷新：gpupdate/force(在客戶端用)注：部分策略必需注銷才能生效計(jì)算機(jī)配置生效時(shí)間計(jì)算機(jī)重啟時(shí)會(huì)生效過(guò)90~120分鐘會(huì)生效手工刷新：gpupdate/force(在客戶端用)注：部分策略必需重啟生效142024/1/26152.3利用組策略管理用戶工作環(huán)境組策略的結(jié)構(gòu)計(jì)算機(jī)配置軟件設(shè)置：配置軟件的指派和分發(fā)Windows設(shè)置：配置與安全相關(guān)各選項(xiàng)管理模板：管理模板中的配置多存儲(chǔ)于注冊(cè)表用戶配置軟件設(shè)置：配置軟件的指派和分發(fā)Windows設(shè)置：配置與安全相關(guān)各選項(xiàng)管理模板：管理模板中的配置多存儲(chǔ)于注冊(cè)表可編輯162.3利用組策略管理用戶工作環(huán)境為域中所有用戶設(shè)置統(tǒng)一的壁紙更改域中所有用戶的開始菜單刪除查找和幫助重定向所有用戶的“我的文檔”禁止所有用戶使用畫筆可編輯教師演示172.3利用組策略管理用戶工作環(huán)境組策略的生效順序LSDous首先本地組策略對(duì)象如果有站點(diǎn)組策略，則應(yīng)用之然后應(yīng)用域組策略對(duì)象如果計(jì)算機(jī)或用戶屬于某個(gè)OU，則應(yīng)用之如果計(jì)算機(jī)或用戶屬于某個(gè)OU的子OU，則應(yīng)用之如果策略有沖突的話，后生效的策略會(huì)取代先生效的策略可編輯182.3利用組策略管理用戶工作環(huán)境組策略的應(yīng)用規(guī)則繼承與阻止繼承在默認(rèn)情況下，下層容器會(huì)繼承來(lái)自上層容器的GPO子容器可以阻止繼承上級(jí)的組策略累加容器的多個(gè)組策略設(shè)置如果不沖突，則最終的有效策略是所有組策略設(shè)置的總和容器的多個(gè)組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略同一個(gè)容器上的多個(gè)GPO的處理規(guī)則排在前面的優(yōu)先可編輯教師演示192.3利用組策略管理用戶工作環(huán)境可編輯GPO1GPO2GPO3GPO4202.3利用組策略管理用戶工作環(huán)境篩選可以阻止一個(gè)GPO應(yīng)用于容器內(nèi)的特定計(jì)算機(jī)和用戶設(shè)置讀取和應(yīng)用組策略的權(quán)限允許拒絕可編輯域銷售部salemanagerSales不受GPO影響受GPO影響GPO設(shè)置教師演示212.4利用組策略部署軟件軟件部署概述可編輯統(tǒng)一管理軟件環(huán)境將軟件部署給用戶，軟件跟隨用戶走將軟件部署給計(jì)算機(jī)，每人都有軟件用集中管理軟件的安裝、部署和卸載222.4利用組策略部署軟件軟件部署的過(guò)程可編輯軟件準(zhǔn)備階段WindowsInstaller軟件包文件（*.msi文件）準(zhǔn)備軟件分發(fā)點(diǎn)實(shí)質(zhì)就是一個(gè)共享文件夾（用戶至少需要“讀”權(quán)限）軟件部署階段編輯組策略完成軟件部署后期維護(hù)階段升級(jí)維護(hù)軟件刪除232.4利用組策略部署軟件軟件部署的方式可編輯指派軟件對(duì)象：計(jì)算機(jī)和用戶安裝方式：自動(dòng)安裝分發(fā)內(nèi)容：*.msi其他功能：升級(jí)修復(fù)發(fā)布軟件對(duì)象：用戶安裝方式：選擇安裝分發(fā)內(nèi)容：*.msi和*.exe其他功能：無(wú)242.4利用組策略部署軟件實(shí)現(xiàn)軟件部署將軟件指派給用戶將軟件指派給計(jì)算機(jī)將.msi軟件發(fā)布給用戶將.exe軟件發(fā)布給用戶可編輯教師演示252.4利用組策略部署軟件軟件升級(jí)與重新部署軟件升級(jí)重新部署軟件部署支持自定義安裝的軟件軟件部署的其他設(shè)置更改軟件部署的屬性設(shè)置軟件類別文件擴(kuò)展名與軟件關(guān)聯(lián)的優(yōu)先級(jí)刪除分發(fā)的軟件