Windows Server 2022活動目錄管理實踐( 第2版 微課版)-課件項目19 通過組策略限制計算機無法使用系統(tǒng)的部分功能

項目19通過組策略限制計算機無法使用系統(tǒng)的部分功能組策略組策略結(jié)構(gòu)計算機用戶的策略設置組策略對象和活動目錄容器組策略的繼承性和應用順序目錄組策略組策略的基本概念組策略是一組策略的集合，通過這組策略，管理員可以加強通過活動目錄數(shù)據(jù)庫在站點域或組織單位中配置用戶計算機的能力。它提供了操作系統(tǒng)、應用程序和活動目錄中用戶設置的集中化管理和配置。組策略的組成部分組策略對象（GPO）GPO是組策略的核心，包含所有策略設置，并由唯一標識符GUID在系統(tǒng)中識別。組策略容器（GPC）GPC存儲GPO屬性與版本于活動目錄，客戶端從中獲取GPO元信息和配置路徑。

組策略模板（GPT）GPT存儲GPO設置值和相關文件，包含計算機和用戶策略配置，位于域控制器共享卷中。組策略結(jié)構(gòu)介紹jan16公司基于活動目錄管理用戶和計算機，公司域管理員需要管理1000多個用戶和500多臺計算機。域管理員在日常管理和維護中通常需要做大量的工作，舉例如下：（1）在公司的所有客戶機上部署安裝一個公司內(nèi)部生產(chǎn)系統(tǒng)的軟件。（2）在所有的計算機都強制安裝最新的微軟補丁。（3）禁止生產(chǎn)部用戶使用QQ軟件。（4）允許在財務部的計算機上安裝“管家婆”財務管理軟件。組策略結(jié)構(gòu)介紹在域的日常管理與維護中，類似的工作還有很多。對于軟件安裝，假設每臺計算機需要花10分鐘，如果域管理員需要對每臺計算機都進行單獨安裝與部署，那么500臺計算機需要花費約85個小時；對于限制特定用戶使用QQ軟件，則需要做更多的工作。例如，卸載其固定電腦的QQ軟件，監(jiān)控這些用戶在使用其他計算機時的應用環(huán)境，等等。其實，很多應用都是重復性的，具有可復制性，如果能選擇對象（用戶和計算機）進行批量的自動化操作，則可以大幅度提高域管理員的工作效率。活動目錄提供了一種允許對活動目錄容器內(nèi)的用戶和計算機進行重復性配置的工作方法，這個方法就是組策略。組策略結(jié)構(gòu)介紹組策略一旦定義了用戶的工作環(huán)境，就可以依賴WindowsServer2022操作系統(tǒng)連續(xù)推行定義好的組策略設置。此外，還可以將組策略與活動目錄容器（站點、域和組織單位）鏈接起來，如圖所示，組策略會對這些容器中的所有用戶和計算機的工作環(huán)境進行統(tǒng)一部署和設置?；顒幽夸浿械娜萜骱徒M策略組策略結(jié)構(gòu)介紹通過組策略，可以實現(xiàn)以下功能。通過在站點或域級別為整個組織設置組策略來集中管理，或者在組織單元的級別為每個部門部署組策略來分散管理。確保用戶有適合他們完成工作的環(huán)境?？梢源_保用戶通過組策略設置控制注冊表的應用和系統(tǒng)設置，修改計算機和用戶環(huán)境的腳本、自動軟件安裝以及本地計算機、域和網(wǎng)絡的安全設置，還可以控制用戶數(shù)據(jù)文件的存儲位置。組策略結(jié)構(gòu)介紹通過組策略，可以實現(xiàn)以下功能。降低控制用戶和計算機環(huán)境的總費用，從而減少用戶需要的技術支持級別和由于用戶錯誤而引起的生產(chǎn)損失。例如，通過組策略可以阻止用戶對系統(tǒng)設置做出讓計算機無法正常工作的修改，還可以阻止用戶安裝他們不需要的軟件。推行公司策略，包括商業(yè)準則、目標和保密需求。例如，可以確保所有用戶的保密需求和公司保密需求保持一致，或者所有用戶執(zhí)行同一套軟件安裝需求。組策略結(jié)構(gòu)組策略結(jié)構(gòu)組策略的結(jié)構(gòu)在管理用戶和計算機方面具有靈活性。WindowsServer2022可以將組策略組織成不同的形式，使其變得簡單，如圖所示。組策略結(jié)構(gòu)組策略結(jié)構(gòu)可以通過組策略配置，定義能夠?qū)τ脩艉陀嬎銠C產(chǎn)生影響的組策略。可以配置的組策略類型有以下幾種。（1）軟件設置/軟件安裝：包括軟件安裝、升級、卸載的集中化管理的設置?？梢宰寫贸绦蜃詣釉诳蛻魴C上進行安裝、升級和卸載，也可以發(fā)布應用程序，使其出現(xiàn)在“控制面板”窗口中的“添加/刪除程序”中，從而為用戶提供獲得可安裝應用程序的集中場所。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（2）管理模板：基于注冊表的設置、桌面環(huán)境的設置等。這些設置包括用戶可以獲得訪問的操作系統(tǒng)的組件和應用程序、控制面板選項的訪問權(quán)限及用戶脫機文件的控制等。例如，如果客戶機需要推送特定的操作，但是組策略并未提供相關選項，則可以先將一臺客戶機需要修改的注冊表項導出，然后通過組策略推送下去。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（3）安全性：本地計算機、域及網(wǎng)絡的安全性設置，這些設置包括控制用戶訪問的網(wǎng)絡、建立統(tǒng)計和審計制度及控制用戶的權(quán)限，如可以設置用戶在鎖定之前登錄失敗的最多次數(shù)。（4）腳本：設置Windows開機、關機，以及用戶登錄、注銷時運行的腳本，可以指定腳本允許批處理、控制多個腳本、決定腳本運行的順序。（5）IE界面：管理和定制基于Windows計算機的Internet瀏覽器設置。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（6）文件夾重定向：在網(wǎng)絡服務器上存儲用戶配置文件的文件夾設置。這些設置會在配置文件中創(chuàng)建一個和網(wǎng)絡共享文件夾的鏈接，但文件在本地顯示。用戶可以在域中任意一臺計算機上對該文件夾進行訪問，如可以將用戶的“我的文檔”文件夾重定向到網(wǎng)絡共享文件夾。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（7）首選項：使用組策略的首選項，可以在不使用學習腳本語言的情況下，管理驅(qū)動器映射、注冊表設置、本地用戶和組、服務、文件、文件夾的設置等。可以使用組策略的首選項減少腳本編輯，實現(xiàn)標準化管理。首選項可以有效地實現(xiàn)域客戶機的桌面管理。注意：首選項策略只在客戶操作系統(tǒng)登錄時應用一次，并且按固定的刷新間隔更新。當組策略刪除后，首選項策略產(chǎn)生的配置不會被移除。組策略結(jié)構(gòu)計算機用戶的策略設置計算機用戶的策略設置如圖所示，可以在“組策略管理編輯器”窗口中配置“計算機配置”和“用戶配置”來推行網(wǎng)絡中計算機和用戶的組策略設置。“組策略管理編輯器”窗口中的“計算機配置”和“用戶配置”計算機用戶的策略設置如圖所示，可以在“組策略管理編輯器”窗口中配置“計算機配置”和“用戶配置”來推行網(wǎng)絡中計算機和用戶的組策略設置?！敖M策略管理編輯器”窗口中的“計算機配置”和“用戶配置”計算機的組策略設置用戶配置下的設置會應用于用戶級別，主要包括以下幾個方面：安全設置：用于配置密碼策略、賬戶策略、本地策略、Kerberos策略等，以增強系統(tǒng)的安全性。例如，可以設置密碼復雜性要求、賬戶鎖定策略、啟用強加密算法等。軟件設置：用于安裝、卸載和配置應用程序。Windows設置：包括啟動和關閉腳本、文件夾重定向、電源管理等。計算機的組策略設置計算機的組策略在系統(tǒng)重新啟動時才會被應用（計算機注銷操作無效），并且每隔90～120分鐘應用一次。如果計算機組策略和用戶組策略存在沖突，那么計算機組策略具有更高的優(yōu)先權(quán)。用戶的組策略設置用戶配置下的設置會應用于用戶級別，主要包括以下幾個方面：軟件設置：同樣用于安裝、卸載和配置應用程序，但這里的設置是針對用戶的。Windows設置：包括桌面配置、任務欄和開始菜單設置、InternetExplorer設置等。例如，可以隱藏或禁用桌面上的系統(tǒng)圖標，保護“任務欄”和“開始”菜單不被更改，限制用戶訪問控制面板等。腳本設置：用于配置登錄和注銷腳本，以在用戶登錄或注銷時自動執(zhí)行特定的操作。用戶的組策略設置用戶組策略在用戶注銷后重新登錄域時才會被應用，并且每隔90～120分鐘應用一次。組策略對象和活動目錄容器組策略對象和活動目錄容器組策略對象（GroupPolicyObject，GPO）是組策略的載體。在活動目錄中，可以將組策略對象應用于活動目錄對象（站點、域和組織單位），用于實現(xiàn)組策略管理的目的。組策略對象和活動目錄容器每個組策略對象都擁有一個全局唯一標識（GUID），在圖1所示的“組策略管理編輯器”窗口中，在菜單欄中選擇“操作”→“屬性”命令，可以查看該組策略的屬性，其中包括組策略的GUID，如圖2所示。“組策略管理編輯器”窗口中的“計算機配置”和“用戶配置”查看組策略對象的屬性組策略對象和活動目錄容器組策略對象可以分為兩部分：組策略容器（GroupPolicyContainer，GPC）和組策略模板（GroupPolicyTemplate，GPT）。組策略對象的內(nèi)容存儲在GPC和GPT中，如圖所示。GPO與GPC、GPT組策略對象和活動目錄容器1）組策略容器（GPC）組策略容器是包含GPO版本信息的活動目錄對象，存儲于活動目錄的數(shù)據(jù)庫中。計算機用GPC來定位組策略模板，域控制器可以訪問GPC來獲得GPO的版本信息，如果一臺域控制器沒有最新的GPO版本信息。GPO與GPC、GPT組策略對象和活動目錄容器1）組策略容器（GPC）在“ActiveDirectory用戶和計算機”窗口的菜單欄中勾選“查看”→“高級功能”命令，然后在左側(cè)的導航欄中依次選擇“域”→“System”→“Policies”選項，可以查看GPC的信息，如圖所示。GPO的版本信息可以在對應策略的屬性對話框中查看。查看組策略容器GPC組策略對象和活動目錄容器2）組策略模板（GPT）組策略模板存儲域控制器的SYSVOL共享文件夾中，主要用于提供所有的組策略設置和信息，包括管理模板、安全性、腳本等。在創(chuàng)建一個GPO時，WindowsServer2022會創(chuàng)建相應的GPT，客戶端能夠接收組策略的配置就是因為他們都能訪問DC的SYSVOL共享文件夾。GPO與GPC、GPT組策略對象和活動目錄容器2）組策略模板（GPT）GPT存儲于域控制器的“%systemroot%\SYSVOL\sysvol”文件夾中，如圖所示。GPC和GPT中的組策略都是以它們對應的GUID命名的。查看組策略的GPT組策略對象和活動目錄容器3）GPO與活動目錄容器GPO和站點、域以及組織單元相連接或相關聯(lián)。如圖所示，在將GPO和站點、域和組織單位鏈接后，GPO的設置會應用于這些容器內(nèi)的用戶和計算機上。

GPO與活動目錄容器組策略對象和活動目錄容器3）GPO與活動目錄容器GPO與活動目錄容器的鏈接，使GPO的設置對這些容器內(nèi)的用戶和計算機產(chǎn)生影響；管理員可以將單個GPO和多個活動目錄容器鏈接，也可以將多個GPO和單個活動目錄容器鏈接。在實現(xiàn)組策略設置時，鏈接已存在的GPO的方法提供了很高的靈活性，可以使用下面的方式鏈接GPO。組策略對象和活動目錄容器3）GPO與活動目錄容器在網(wǎng)絡中將GPO和多個站點、域或組織單位鏈接。這可以為不同站點、域和組織單位的計算機和用戶配置一套相同的組策略設置。OU1site1site2OU2DomainGPO1組策略對象和活動目錄容器3）GPO與活動目錄容器將多個GPO和單個站點、域或組織單位鏈接。如果不希望所有類型的組策略設置都應用在單個活動目錄容器上，可以為不同類型的組策略單獨創(chuàng)建GPO，然后將它們和對應的活動目錄容器鏈接。例如，可以鏈接一個包含網(wǎng)絡安全性設置的GPO及另一個包含軟件安裝的GPO到同一個組織單位中。OU1site2OU2DomainGPO1GPO2GPO3GPO4GPO5組策略的繼承性和應用順序組策略的繼承性和應用順序在默認情況下，組策略對象具有繼承性，即鏈接到域的組策略會應用到域內(nèi)的所有組織單位，如果組織單位下還有組織單位，那么鏈接到上級組織單位的組策略默認也會應用到下級組織單位中