Windows网络服务器配置与管理-提高篇 第6章 使用组策略管理用户环境和软
合集下载
Windows组策略管理
windows组策略管理
目录
• 组策略简介 • 组策略基础知识 • 组策略的配置 • 组策略的管理 • 组策略的疑难解答
01
组策略简介
组策略的定义
组策略(Group Policy)是Windows操作系统中的一项重要 功能,它通过一些预设的规则和设置,可以对计算机上的各 种配置进行集中管理和控制。
组策略的配置示例
禁用自动播放功能
在组策略编辑器中,依次展开“计算机配置”→“管理模板 ”→“系统”→“自动播放”,在右侧窗格中禁用“为所有 可用的自动播放设备关闭自动播放”选项。
配置打印机权限
在组策略编辑器中,依次展开“计算机配置”→“管理模板 ”→“控制面板”→“打印机”,在右侧窗格中配置打印机 权限,设置特定用户或用户组对打印机的访问权限。
05
组策略的疑难解答
组策略常见问题
问题1
如何在Windows系统中打开组策略?
问题2
如何在组策略中修改计算机或用户配置 ?
问题3
如何通过组策略控制应用程序的配置?
问题4
组策略有哪些常见问题及如何解决?
组策略故障排除
方法1
方法2
使用“gpedit”命令排除组策略故障
使用注册表编辑器排除组策略故障
设置不同的规则和配置。
安全可靠
03
组策略的配置是具有安全可靠性的,一旦设置完毕,除非经过
管理员的修改,否则不能轻易改变。
02
组策略基础知识
组策略的组成
组策略对象(GPO)
组策略的基础单元,用于定义特定的配置设置。
域
定义网络中安全性和身份验证的边界。
组织单位(OU)
将用户和计算机组织到逻辑组中,以便更好地管理GPO。
目录
• 组策略简介 • 组策略基础知识 • 组策略的配置 • 组策略的管理 • 组策略的疑难解答
01
组策略简介
组策略的定义
组策略(Group Policy)是Windows操作系统中的一项重要 功能,它通过一些预设的规则和设置,可以对计算机上的各 种配置进行集中管理和控制。
组策略的配置示例
禁用自动播放功能
在组策略编辑器中,依次展开“计算机配置”→“管理模板 ”→“系统”→“自动播放”,在右侧窗格中禁用“为所有 可用的自动播放设备关闭自动播放”选项。
配置打印机权限
在组策略编辑器中,依次展开“计算机配置”→“管理模板 ”→“控制面板”→“打印机”,在右侧窗格中配置打印机 权限,设置特定用户或用户组对打印机的访问权限。
05
组策略的疑难解答
组策略常见问题
问题1
如何在Windows系统中打开组策略?
问题2
如何在组策略中修改计算机或用户配置 ?
问题3
如何通过组策略控制应用程序的配置?
问题4
组策略有哪些常见问题及如何解决?
组策略故障排除
方法1
方法2
使用“gpedit”命令排除组策略故障
使用注册表编辑器排除组策略故障
设置不同的规则和配置。
安全可靠
03
组策略的配置是具有安全可靠性的,一旦设置完毕,除非经过
管理员的修改,否则不能轻易改变。
02
组策略基础知识
组策略的组成
组策略对象(GPO)
组策略的基础单元,用于定义特定的配置设置。
域
定义网络中安全性和身份验证的边界。
组织单位(OU)
将用户和计算机组织到逻辑组中,以便更好地管理GPO。
提升Windows系统安全性的组策略设置
组策略在Windows系统中的作用
01
02
03
集中化管理
组策略允许管理员从中央 位置管理网络上的计算机 ,减少了单独配置每台计 算机的需求。
自定义设置
通过组策略,可以定制软 件安装、系统配置、安全 设置等,以满足特定组织 的需求。
安全增强
组策略可以用于实施安全 策略,如软件限制、注册 表限制、安全桌面等,从 而提高系统的安全性。
访问控制列表(ACL)
限制不必要的访问
01
通过ACL,可以限制特定用户或组对关键文件、文件夹或注册
表的访问。
配置文件和注册表权限
02
通过精细控制文件和注册表的权限,可以防止未授权修改,提
高系统稳定性。
审核对象访问
03
启用ACL的审核功能,可以追踪对特定资源的使用情况,及时
发现异常行为。
04
软件限制策略
密码策略
总结词
密码策略用于规范和强制用户设置符合安全要求的密码,提 高密码的安全性。
详细描述
通过设置密码策略,可以要求用户定期更换密码,并限制密 码的复杂性和长度。同时,可以启用密码历史记录功能,防 止用户重复使用相同的密码。
账户过期策略
总结词
账户过期策略用于自动注销过期的账 户,确保账户的安全性。
强制安全启动
启用强制安全启动后,计算机将始终 使用安全启动模式,即使在用户禁用 该功能的情况下也是如此。
安全选项配置
账户锁定策略
通过设置账户锁定策略,可以防止未经授权的用户多次尝试登录到计算机。
密码策略
设置密码策略可以要求用户定期更改密码,并限制密码的复杂性和长度。
防火墙配置
入站规则
配置入站规则可以允许或拒绝来自外部 网络的连接请求,从而提高计算机的安 全性。
网络服务器配置与管理—WindowsServer2012R2教学大纲
《网络服务器配置与管理》教学大纲学时:54代码:适用专业:制定:审核:批准:一、课程的地位、性质和任务网络服务器在计算机网络中具有核心的地位,企业或组织机构组建自己的服务器来运行各种网络应用业务,需要更多掌握网络服务器的部署、配置和管理,并能解决实际网络应用问题的应用型人才。
本课程的开设旨在培养此类人才,使学生能够熟练地部署、配置和管理各类网络服务器。
通过本课程的学习,学生应该熟悉Windows服务器操作系统的基本操作,掌握网络服务器部署、配置与管理的技术方法。
通过在教学过程中的规范要求,培养学生分析和解决实际问题的能力,强化学生的职业道德意识、职业素养意识和创新意识。
本课程要达到的能力目标如下。
(1)培养学生网络服务器规划和部署实施的能力(2)培养学生Windows服务器配置管理和运维的能力(3)培养学生发现问题、分析问题和解决问题的能力(4)培养良好的文化修养、职业道德、服务意识和敬业精神(5)培养团队合作和协调沟通能力二、课程教学基本要求理论上,要求学生掌握Windows服务器操作系统的基础知识,了解各类网络服务器的基本概念和基本原理,以及应用场景。
技能上,要求学生能掌握各类网络服务器的规划、部署、配置与管理。
要求在教学过程中合理安排理论课时和实验课时,让学生有充分的时间动手实践,练习课程中学到的服务器配置管理方法。
三、课程的内容四、课时分配表五、实验项目及基本要求实验课按教材每章实操的内容安排。
六、考核办法1.考试采用统一命题,包括笔试和上机考试,考试时间分别为120分钟。
课程成绩=(笔试成绩+上机考试成绩)/2。
2.本大纲各部分所规定基本要求、知识点及知识点下的知识细目,都属于考核的内容。
考试命题覆盖到各部分,并适当突出重点部分,加大重点内容的覆盖密度。
3.试题的难度可分为易、较易、较难和难四个等级,试卷试题难度的分数比例一般为2:3:3:2。
4.试题主要题型有:填空、选择题、多选、简答及综合应用等。
提升windows系统安全性的组策略设置
06
安全加固建议
使用强密码并定期更换密码
总结词
强密码是保护Windows系统安全性的重要措施之一,应定期更换密码,以降低被破解的风险。
详细描述
强密码应包含大写字母、小写字母、数字和特殊字符,且长度至少为8位。建议使用密码管理工具来生成和保存 复杂的密码。定期更换密码可减少被破解的时间,一般建议每3个月更换一次密码。
组策略在系统安全中的作用
配置安全审计
01
通过配置安全审计,可以记录系统中发生的安全事件,以便及
时发现并应对潜在的安全威胁。
禁用不必要的网络协议
02
禁用不必要的网络协议可以减少系统的漏洞,提高系统的安全
性。
配置防火墙规则
03
通过配置防火墙规则,可以限制网络流量,防止恶意软件通过
网络进行传播。
02
账户策略
设定锁定帐户的时间长度,防止暴力破解。
复位帐户锁定计数器
在达到帐户锁定阈值后,可以复位计数器,重新解锁帐户。
审核策略
审核登录事件
对登录事件进行审核,以便在发生异常登录时进行审计。
审核账户管理事件
对账户管理事件进行审核,以便在发生异常账户操作时进行审计。
审核目录服务访问事件
对访问目录服务的事件进行审核,以便在发生异常访问时进行审计 。
网络访问保护(NAP)
通过强制执行安全策略,限制不符合安全标准的计算机的互联网访问,以减少 网络威胁。
网络安全保护
对网络连接进行加密和安全认证,以保护数据传输过程中的隐私和完整性。
安全审计策略
日志审计
对系统活动进行详细记录和审计,以便于追踪和调查潜在的 安全事件。
安全事件响应
及时响应和处理安全事件,以防止其对系统造成进一步的损 害。
WINDOWS服务器的配置与管理
图9-3
NTFS权限与活动目录
取消“允许将来自父项的 继承权限传播给该对象和所 有子对象。包括那些在此明 确定义的项目(A)。”选 项,系统将弹出“安全”对 话框,如图9-4所示。若单 击“复制”按钮,可将上级 文件夹的权限复制过来,并 使权限可以重新修改;若单 击“删除”按钮,可删除对 Everyone组的授权。此处单 击“复制”按钮。
返回
NTFS权限与活动目录
一、NTFS权限的基本概念
NTFS即NT File System(NT 文件系统),它是微软公司 基于Windows NT内核的操作系统特有的一种文件系统格式, 相对于传统的FAT和FAT32文件系统, NTFS文件系统通 过NTFS权限提供文件和文件夹级的安全访问控制。通过 NTFS权限可控制用户对某个NTFS文件或文件夹所能执行 的操作,并且可以跟踪用户对文件所执行的所有操作。
图9-10
NTFS权限与活动目录
2.NTFS权限的基本原则 (1)权限最大化
用户对于某个对象的NTFS权限追求最大化原则,所有可获得 权限的加总是其最后权限。 (2)拒绝权最大 在NTFS权限设置中,一个用户对某个对象的权限是其所有权 限的总和,但是如果存在拒绝权限,则拒绝权限将覆盖其他 的相应权限。
图9-9
NTFS权限与活动目录
⑩如果希望让某个用户获得该 文件夹的所有权,则选择“所 有者”选项卡,如图9-10所示, 该选项卡的“目前该项目的所 有者”栏中显示出了目前该文 件夹的所有者,在“将所有者 更改为”列表框中选择要获得 所有权的用户,单击“应用” 按钮,则可将该文件夹的所有 者替换为选定的用户。单击 “确定”按钮。
⑤选择几个重要的保 存路径。
在图9-20中,单击 “下一步”按钮,在出 现的“数据库和日志文 件文件夹”界面中为活 动目录数据库和日志选 择合适的保存位置,如 图9-21所示。
NTFS权限与活动目录
取消“允许将来自父项的 继承权限传播给该对象和所 有子对象。包括那些在此明 确定义的项目(A)。”选 项,系统将弹出“安全”对 话框,如图9-4所示。若单 击“复制”按钮,可将上级 文件夹的权限复制过来,并 使权限可以重新修改;若单 击“删除”按钮,可删除对 Everyone组的授权。此处单 击“复制”按钮。
返回
NTFS权限与活动目录
一、NTFS权限的基本概念
NTFS即NT File System(NT 文件系统),它是微软公司 基于Windows NT内核的操作系统特有的一种文件系统格式, 相对于传统的FAT和FAT32文件系统, NTFS文件系统通 过NTFS权限提供文件和文件夹级的安全访问控制。通过 NTFS权限可控制用户对某个NTFS文件或文件夹所能执行 的操作,并且可以跟踪用户对文件所执行的所有操作。
图9-10
NTFS权限与活动目录
2.NTFS权限的基本原则 (1)权限最大化
用户对于某个对象的NTFS权限追求最大化原则,所有可获得 权限的加总是其最后权限。 (2)拒绝权最大 在NTFS权限设置中,一个用户对某个对象的权限是其所有权 限的总和,但是如果存在拒绝权限,则拒绝权限将覆盖其他 的相应权限。
图9-9
NTFS权限与活动目录
⑩如果希望让某个用户获得该 文件夹的所有权,则选择“所 有者”选项卡,如图9-10所示, 该选项卡的“目前该项目的所 有者”栏中显示出了目前该文 件夹的所有者,在“将所有者 更改为”列表框中选择要获得 所有权的用户,单击“应用” 按钮,则可将该文件夹的所有 者替换为选定的用户。单击 “确定”按钮。
⑤选择几个重要的保 存路径。
在图9-20中,单击 “下一步”按钮,在出 现的“数据库和日志文 件文件夹”界面中为活 动目录数据库和日志选 择合适的保存位置,如 图9-21所示。
Windows操作系统组策略应用全攻略
创建组策略对象
VS
在组策略编辑器右侧的窗格中,可以选择相应的策略进行编辑。例如,可以设置计算机配置或用户配置的策略,包括Windows设置、安全设置、用户权限分配等。
导入脚本
可以在组策略编辑器中导入脚本来自动化设置策略。脚本文件通常以`.bat`或`.ps1`格式存在,可以在编辑器中选择“文件”菜单下的“导入”命令,选择脚本文件并点击“打开”即可导入。
网络通讯设置
04
组策略的故障分析与排除
确定故障范围
要明确故障的具体范围,例如是特定用户、计算机或网络范围内的故障。
组策略的故障识别
了解故障症状
要了解并记录有关故障的具体表现和症状,包括是否出现错误消息、功能失效或性能下降等。
检查应用程序和服务
检查是否安装了可能干扰组策略的应用程序或服务,并禁用它们以进行故障排除。
THANK YOU.
谢谢您的观看
组策略的优点和限制
02
组策略的创建与编辑
打开“组策略”编辑器
在Windows操作系统中,按下“Win键”+“R”键打开“运行”对话框,输入“gpedit.msc”并点击“确定”打开组策略编辑器。
创建新的组策略对象
在组策略编辑器左侧的树形视图中,右键点击“计算机配置”或“用户配置”,选择“新建策略”,输入策略名称后点击“确定”即可创建新的组策略对象。
在Windows操作系统中,组策略是管理员进行配置和管理的强大工具,可在计算机或特定用户上设置各种配置,包括软件设置、安全性和网络设置等。
组策略基本概念
组策略是Windows操作系统中的一种机制,管理员可以使用它来定义计算机或特定用户的各种配置。
组策略基本操作
组策略的基本操作包括创建、编辑、删除、导出和导入等。
利用组策略进行系统设置与调整上网设置
制定组策略部署计划
在部署组策略之前,需要制定详细的部署计 划。
分发组策略配置
通过组策略管理控制台,可以将组策略配置 分发到目标计算机或用户。
THANKS
谢谢您的观看
规则配置
根据需要配置防火墙规则,以便允许或拒绝特 定的网络流量。
监控日志
定期查看防火墙日志,以便及时发现和解决潜在的安全威胁。
隐私保护措施
清除浏览器缓存
定期清除浏览器缓存和临时文件,以保护个人隐私和数据安全。
禁用不必要的插件
禁用或删除不必要的浏览器插件,以减少个人信息泄露的风险。
使用加密通信
确保在使用互联网服务时使用加密通信协议,如HTTPS,以保护数 据传输的安全性。
详细描述
打开组策略编辑器,定位至“计算机配置策 略管理模板Windows组件Internet Explorer”,然后双击相应的策略进行配置 。例如,要禁止更改主页,可以启用“禁止 更改主页”策略。
03
上网设置
代理服务器设置
总结词
代理服务器设置允许用户通过代理服务器进行网络连接,以实现网络访问的匿名性和安 全性。
屏幕保护程序设置
总结词
通过组策略可以设置屏幕保护程序的运行方式、等待时间等参数,以保护计算机屏幕。
详细描述
打开组策略编辑器,定位至“计算机配置策略管理模板控制面板个性化”,然后双击“屏幕保护程序”进行配置 。例如,要设置屏幕保护程序的等待时间,可以启用“设置等待时间”策略,并输入所需的分钟数。
文件夹选项设置
详细描述
通过组策略编辑器,可以配置代理服务器设置,包括代理服务器地址、端口号以及是否 启用代理等。这些设置将应用于计算机或用户组,确保网络连接通过代理服务器进行。
Windows网络服务器配置与管理.ppt
▪ 广域网(WAN:Wide Area Network):分布在不同城市、 国家或洲的网络。广域网的覆盖范围通常在几十到几千公 里。由于广域网中数据传输距离远,线路铺设费用高,因 此采用的技术和局域网有很大的差别,传输速率也比较低。
▪ 2、按ቤተ መጻሕፍቲ ባይዱ作模式划分
▪ 对等网模式:资源分布式存放,资源的管理也是分布进行的。 简单的说,就是自己管理自己。适用于家庭或小型办公室等 计算机数量少的网络。Windows中,可以用工作组来实现 对等网。
▪ 适用场合:局域网、广域网。
❖ 1.2.2 环型结构
▪ 这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有 的端用户连成环型。数据在环路中沿着一个方向在各个节点间传输, 信息从一个节点传到另一个节点。这种结构显而易见消除了端用户 通信时对中心系统的依赖性。
▪ 环行结构的特点是:每个端用户都与两个相临的端用户相连,因而 存在着点到点链路,但总是以单向方式操作,于是便有上游端用户 和下游端用户之称;信息流在网中是沿着固定方向流动的,两个节 点仅有一条道路,故简化了路径选择的控制;控制软件简单;由于 信息源在环路中是串行地穿过各个节点,当环中节点过多时,势必 影响信息传输速率,使网络的响应时间延长;环路是封闭的,不便 于扩充;可靠性低,一个节点故障,将会造成全网瘫痪;维护难, 对分支节点故障定位较难。
Windows Server 2003网络服务器 配置与管理
基础篇
本课程的主要内容
❖ 计算机网络基础理论和基础知识 ❖Windows Server 2003系统管理 ❖ 网络服务配置与管理
内容简介
❖ 第1章 计算机网络基础知识 ❖ 第2章 TCP/IP协议及常用网络命令 ❖ 第3章 安装Windows Server 2003 ❖ 第4章 本地用户和组的管理 ❖ 第5章 磁盘管理 ❖ 第6章 文件系统管理 ❖ 第7章 域和活动目录 ❖ 第8章 配置和管理DNS服务器 ❖ 第9章 管理和配置DHCP服务器 ❖ 第10章 配置和管理Internet信息服务 ❖ 第11章 配置和管理打印服务器 ❖ 第12章 远程管理与终端服务 ❖ 第13章 备份与灾难恢复 ❖ 第14章 网络管理与维护简介
▪ 2、按ቤተ መጻሕፍቲ ባይዱ作模式划分
▪ 对等网模式:资源分布式存放,资源的管理也是分布进行的。 简单的说,就是自己管理自己。适用于家庭或小型办公室等 计算机数量少的网络。Windows中,可以用工作组来实现 对等网。
▪ 适用场合:局域网、广域网。
❖ 1.2.2 环型结构
▪ 这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有 的端用户连成环型。数据在环路中沿着一个方向在各个节点间传输, 信息从一个节点传到另一个节点。这种结构显而易见消除了端用户 通信时对中心系统的依赖性。
▪ 环行结构的特点是:每个端用户都与两个相临的端用户相连,因而 存在着点到点链路,但总是以单向方式操作,于是便有上游端用户 和下游端用户之称;信息流在网中是沿着固定方向流动的,两个节 点仅有一条道路,故简化了路径选择的控制;控制软件简单;由于 信息源在环路中是串行地穿过各个节点,当环中节点过多时,势必 影响信息传输速率,使网络的响应时间延长;环路是封闭的,不便 于扩充;可靠性低,一个节点故障,将会造成全网瘫痪;维护难, 对分支节点故障定位较难。
Windows Server 2003网络服务器 配置与管理
基础篇
本课程的主要内容
❖ 计算机网络基础理论和基础知识 ❖Windows Server 2003系统管理 ❖ 网络服务配置与管理
内容简介
❖ 第1章 计算机网络基础知识 ❖ 第2章 TCP/IP协议及常用网络命令 ❖ 第3章 安装Windows Server 2003 ❖ 第4章 本地用户和组的管理 ❖ 第5章 磁盘管理 ❖ 第6章 文件系统管理 ❖ 第7章 域和活动目录 ❖ 第8章 配置和管理DNS服务器 ❖ 第9章 管理和配置DHCP服务器 ❖ 第10章 配置和管理Internet信息服务 ❖ 第11章 配置和管理打印服务器 ❖ 第12章 远程管理与终端服务 ❖ 第13章 备份与灾难恢复 ❖ 第14章 网络管理与维护简介
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
管理模板设置的类型
设置类型
Windows 组件 系统
控制
控制用户可以使用哪些 Windows 2003 组件,如 MMC 设置登录和注销处理;组策略设置、刷新间隔、磁 盘配额、环回处理 设置网络连接、拨号处理、网络共享访问
可作用于
网络
打印机 开始菜单 & 任务栏 桌面
设置打印机对象的 AD 发布、WEB 打印等选项
管理用户环境介绍(续)
主要任务 • 实现统一的配置 • 限制用户使用系统的功能 • 无论用户在何处登录,确保始终能够得到 他们的工作环境 • 限制用户能使用的工具 • 提供用户工作环境的保护
6.2 管理模板介绍
• 管理模板 • 计算机应用管理模板的方式
6.2.1管理模板
• 管理模板是一组组策略和注册表设置的集 合 • 管理模板能够修改以下注册
第6章 使用组策略管理用户环境和软件
• • • • • • • • • • • • 管理用户环境介绍 管理模板介绍 在组策略中使用管理模板 用组策略指派脚本 使用组策略进行用户文件夹重定向 使用组策略确保用户环境安全 管理软件部署介绍 Windows Installer 服务 部署软件 配置软件部署 维护部署的软件 删除部署的软件
6.1 管理用户环境介绍
注册表
HKEY_LOCAL_MACHINE HKEY_CURRENT_USER
我的文档
管理模板设置
脚本设置
用户文件夹 重定向
安全设置 管理用户环境
• 管理用户环境是控制用户登录网络后能做 的事情 • 使用组策略设置来管理用户环境 • 定义了组策略容器内的用户和计算机将接 受指定的用户环境
限制用户访问控制面板中的显示器设置
禁止和移除 Windows Update 禁止更改开始菜单和任务栏
禁止和移除关机命令
设置锁定用户访问网络资源
使用组策略设置锁定用户访问网络资源
隐藏桌面上“网上邻居”图标
移除映射网络盘符和断开网络盘 符菜单
移除 IE 中的“选项”设置菜单
锁定用户能访问的管理工具和应用程序
• 在三项设置项中选择一个
在桌面上隐藏我的网络
忽略该项设置 (默认)
策略
说明
包含着这个策略的说明
在桌面上隐藏我的网络 没有设置
或
应用该项设置
启用 禁用
或
拒绝该项设置
在不同的 GPOS 上对同一模板属性设置不同的值, 将产生冲突
6.3 用组策略指派脚本
• 组策略脚本设置 • 脚本处理过程 • 指派组策略脚本
锁定用户能访问的管理工具和应用程序
移除开始菜单中的“搜索”
移除开始菜单中的“运行”命令 禁止任务管理器
只允许使用某些 Windows 程序
移除菜单中的“文档” 禁止改变开始菜单和任务栏 隐藏程序组中的常用项
组策略的环回处理
• 组策略的环回处理是指用户登录计算机时, 应用用户策略的方式 • 组策略的环回处理模式
复制脚本到当前的 GPT
显示文件 确定 取消 应用
6.4 使用组策略进行用户文件夹重定向
• 什么是文件夹重定向 • 选择重定向的文件夹 • 实现文件夹重定向
6.4.1 什么是文件夹重定向
重定向个人文件夹
我的文档
我的文档
文档存储在服务器上,但 用户感觉存储在本地
文件夹重定向优点 • 无论用户在哪台计 算机上登录都能存 取 • 数据集中存放便于 管理和备份 • 网络流量是有限的 (仅在访问文件时 产生) • 不会在使用的客户 计算机上留下文件
– HKEY_LOCAL_MACHINE (计算机设置) – HKEY_CURRENT_USER (用户设置)
• 当组策略连接的对象不可用,那么组策略 的注册表设置将去除,代之以注册表的默 认值 • Windows 2003 计算机在不发生冲突的前 提下,同时应用组策略的注册表设置和本 地计算机的注册表设置
6.3.1 组策略脚本设置
开机/关机 计算机
脚本
计算机设置 开机/关机
用户 登录/注销
用户设置 登录/注销
• 组策略脚本设置允许
–在组策略中设置开机、关机、登录、注销四种脚本 –并提供脚本的集中管理
6.3.2 脚本处理过程
• Windows 2000 自上向下执行多个脚本
当用户开机和登录 a. 执行开机脚本 b. 执行登录脚本
当用户注销和关机 a. 执行注销脚本 b. 执行关机脚本
6.3.3 指派组策略脚本
登录属性 脚本 登录脚本设置 [AUCKLAND.contoso.msft]
名字
Development.vbs
参数
上移 下移
Information Services.vbs
向 GPO 添加脚本
添加 编辑 删除
按此键查看存储在组策略对象中的脚本文件
设置用户可以访问的项目、用户的定制权利 控制用户的活动桌面,如控制图表的显示以及用户 的 MY DOCUMENT 文件夹 控制用户对于控制面板的访问权限
控制面板
设置锁定用户桌面
使用组策略设置锁定用户桌面
隐藏桌面的所有图标 退出时不保存设置 隐藏我的电脑的指定驱动器 移除开始菜单中的“运行”命令
6.2.2 计算机应用管理模板的方式Regisຫໍສະໝຸດ ry.pol 文件包含模板的设置和值
Registry .pol
GPO 列表
Registry .pol
HKCU
1 4 2 3
Sysvol
Registry Registry .pol .pol
HKLM
GPT
客户计算机启动,接受包含相应计算机设置的 GPO 列表
客户计算机连接到域控制器的 SYSVOL 目录,然后再找到每个 GPO 的对应目录中的 REGISTRY.POL 文件 客户计算机将相应的值写入注册表 (HKLM 和 HKCU) 登录对话框 (计算机设置) 或桌面(用户设置)出现
6.2.3 在组策略中使用管理模板
• • • • • • 管理模板设置的类型 设置锁定用户桌面 设置锁定用户访问网络资源 锁定用户能访问的管理工具和应用程序 组策略的环回处理 实现管理模板
–环回替换
用户策略采用计算机策略所在的 GPOS 中的用户策略设置,
而不采用用户所处的 OU 所连接的 GPOS 中的用户策略
–环回合并
用户先执行自己所处的 OU 所连接的 GPOS 中的用户策略, 然后采用计算机策略所在的 GPOS 中的用户策略设置。这样, 计算机的 GPOS 中的用户策略优先
6.2.4 实现管理模板