组策略的基本知识
组策略功能简介
组策略功能简介xx年xx月xx日CATALOGUE目录•组策略的基本概念•组策略的组成部分•组策略的常见应用场景•组策略的疑难解答•组策略的未来发展01组策略的基本概念组策略(Group Policy)是Windows操作系统中的一个重要组件,用于管理和配置网络中的计算机系统。
它基于Windows域控制器(Domain Controller)中的活动目录(Active Directory)进行管理,可以对不同用户或计算机组进行统一的配置和管理。
什么是组策略1组策略的作用23组策略可以控制和配置网络中计算机系统的各种设置和行为。
包括软件配置、安全设置、桌面配置、网络设置等。
可以实现对网络中的计算机进行集中管理和控制,提高管理效率和安全性。
03域控制器可以集中管理和控制多个计算机的组策略设置,从而实现更高效和方便的管理。
组策略与域控制器01域控制器是组策略管理的重要组件,它负责存储和管理网络用户和计算机账户的配置信息。
02组策略是通过与域控制器交互来实施对计算机系统的管理和配置的。
02组策略的组成部分组策略设置是组策略的重要组成部分,用于定义计算机或用户的配置参数。
可以通过组策略来配置各种选项,如桌面、开始菜单、网络连接等。
组策略设置的优先级组策略设置具有优先级,优先级高的设置会覆盖优先级低设置。
可以根据需要自定义组策略设置的优先级,以实现特定的配置需求。
定义组策略设置VS可以创建和删除组策略对象,这些对象可以链接到特定的计算机或用户。
通过组策略对象,可以集中管理计算机和用户的配置参数。
组策略对象的链接可以将组策略对象链接到特定的计算机或用户,以实现针对不同对象进行不同的配置。
同时,也可以根据需要将多个组策略对象进行链接,以实现复杂的配置管理。
创建组策略模板可以创建组策略模板,用于定义可重复使用的组策略设置。
通过在模板中定义各种配置参数,可以在需要时快速创建类似的组策略对象。
组策略模板的继承组策略模板可以继承其他模板的配置参数,以实现类似配置的复用。
什么叫组策略?作用是什么?怎么应用?
什么叫组策略?作用是什么?怎么应用?首先告诉你,组策略高于注册表,如果修改了组策略,改注册表也还是受到组策略限制,所以高手修改组策略!对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
组策略介绍与原理
概述
一 、回顾上次课程内容 二、 组策略概述:组策略应用与功能 三、 组策略原理:构成与处理 四、 软件分发管理中常用工具 活动目录日常操作 介绍系统备份与恢复 介绍活动目录物理结构
一、组策略概述
组策略设置定义了系统管理员需要管理的用 户桌面环境的各种组件
支持Windows2000以后才操作系统 对用户和计算机使用one-to-many 管理方式 强制IT策略 简化管理任务 实现安全设置 实现标准的计算机和用户环境
1.1 组策略应用范围
1.2 组策略功能
软件分发 IE维护
软件限制 安全设置 基于注册表的设置
发生在计算机开机或用户登陆的时候
后台处理
在组策略执行过程中周期性发生
2.1 GPO:由GUID标示
2.2 组策略的初始处理
• 初始处理发生在计算机开机或用户登陆系 统时; • 2000 处理是同步的,如死循环; • XP 处理可以设置为同步或异步 • 2003来说,为保证更高的安全性,处理是 同步的
三:软件分发
3.1 指派软件: 3.2 发布软件: 3.3 非MSI格式文件
3.1 指派软件:
将软件指派给计算机: 计算机启动时软件将自动安装在计算机里; 安装在Documents and Settings\All Users 里; 将软件指派给用户; 不会自动安装软件本身; 只安装软件相关的部分信息,如快捷方式; 何时开始安装: 运行此文件 利用文件启动功能,打开相关联的文件,如桌面 的 xls 变成excel 格式;
2.3 组策略的后台处理
• • • • 执行异步处理过程 DC上每5分钟一次 客户端60-90分钟刷新一次 策略不全部刷新 软件安装策略 未改变的策略 脚本和文件夹重定向策略
组策略详解
关于本地安全策略、(本地)组策略、域控制器安全策略、域安全策略的思考先列出各个策略的启动进程,其中“域控制器安全策略”&“域安全策略”的启动进程是带参数的组策略:gpedit.msc本地安全策略:secpol.msc域控制器安全策略:dcpol.mscdcpol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"域安全策略:dompol.mscdompol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"它们的关系:1、“本地安全策略”完全隶属于“组策略”,是“计算机设置”-“Windows设置”-“安全设置”的子项。
2、“域控制器安全策略"属于OU策略的一种,它仅仅作用在Domain Controller这个组织单元(ou)上。
3、域控制器安全策略仅更改域控制器的本地用户,而域安全策略控制整个域的用户。
一直在思考,在Domain Controller启动gpedit.msc设置,会怎样生效?答案其实很简单,这个时候把它看作域中的其他计算机一样,按照组策略的优先级顺序:从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系;但当产生冲突的时候,优先级高的策略会替代优先级低的策略,也就是排在后面的生效。
一个简单的例子:本地策略:帐户的密码长度最小值为8个字符域安全策略:帐户的密码长度最小值为10个字符域控制器安全策略:帐户的密码长度最小值为12个字符这时候,域中的所有计算机:它们的密码长度最小值为10个字符,在本地通过运行gpedit.msc调用组策略控制台,查看相应的数值已改为10个字符,并且不允许本地修改此数值(显示为灰色锁定状态);域控制器:安全策略中没有改变,仍为12个字符。
组策略完全解析
03
组策略实践
配置用户环境
定义桌面背景和颜色
通过组策略可以设置用户桌面的背景图像和颜色,提供个性化的 使用环境。
配置开始菜单
可以设置开始菜单的显示方式、常用程序列表等,方便用户快速 访问常用程序和文件。
管理图标和快捷方式
可以在桌面上添加或删除图标和快捷方式,并可以设置其属性。
配置软件设置
安装和卸载程序
03
链接管理
组策略链接建立后,管理员可以在管理界面中清晰地看到不同组织单
元之间的链接关系,并可以根据需要进行编辑和删除等操作。
05
组策略案例
公司环境配置
公司员工需要使用自己的账号才能登录电脑, 并访问公司内部文件和 修改和删除文件。
强制员工在离开电脑时必须锁定屏幕,以确保 数据安全性。
组策略对象
计算机对象
可以定义计算机级别的策略,例如系统环境设置、安全设置、软件安装等。
用户对象
可以定义用户级别的策略,例如用户环境设置、登录脚本、权限等。
组策略容器
域
可以在域中定义组策略对象,域中的所有计算机和用户将继 承这些策略。
组织单位
可以在组织单位中定义组策略对象,组织单位中的所有计算 机和用户将继承这些策略。
组策略的作用
1
组策略可以用于配置各种系统设置,例如桌面 背景、屏幕保护程序、系统声音、网络设置等 。
2
组策略还可以用于配置软件设置,例如安装程 序、文件关联、启动项等。
3
组策略还提供了各种工具来监视和管理用户和 计算机的行为,例如软件分发、脚本执行、安 全设置等。
组策略与域控制器
01
组策略是域控制器的一个组件,用于管理和配置域中的用户、 计算机和其他设备。
组策略
WMI过滤是组策略通过Windows管理规范(WMI)过滤器来选择应用范围的一个流程。过滤器允许管理员只应 用组策略到特定情况,例如特定型号、内存、已安装软件或任何WMI可查询条件的特定情况的计算机。
本地
本地组策略(Local Group Policy,缩写LGP或LocalGPO)是组策略的基础版本,它面向独立且非域的计算 机。至少Windows XP家庭版中它就已经存在,并且可以应用到域计算机。在Windows Vista以前,LGP可以强制 施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从Windows Vista开始,LGP允许本地组策略 管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含 导入策略到目标计算机的所需文件。
操作
施行
继承
过滤
要完成一组计算机的中央管理目标,计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象 仅适用该台计算机。要应用一个组策略对象到一个计算机组,组策略依赖于活动目录(或第三方产品,例如 ZENworks Desktop Management)进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。
组策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也称CSE)。
Client Side Extensions现已集成到Windows Server 2008、Windows 7和Windows Server 2008 R2。
高级管理
微软发布过一个称之为“高级组策略管理”(Advanced Group Policy Management)的工具来更改组策略。 此工具可供任何微软桌面优化包授权的组织使用。此高级工具允许管理员检查/签出组策略对象的更改,跟踪组策 略对象的变更,以及对组策略对象的更改实施审核工作流。
域组策略域控中组策略基本设置
域组策略域控中组策略基本设置
组策略是域控中的一项重要功能,它允许管理员集中管理域中的计算机和用户。
组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。
在组策略基本设置中,管理员可以执行以下操作:
2.链接组策略到组织单位或域对象:管理员可以将组策略链接到特定的组织单位或域对象上。
链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。
链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。
3.启用和禁用组策略:管理员可以启用或禁用组策略,以控制该策略是否应用于目标计算机和用户。
禁用组策略将导致不应用该策略中定义的所有设置和规则。
4.强制组策略:管理员可以通过强制组策略来立即应用组策略中的设置和规则。
强制组策略可以用于快速应用新的或更改的设置,而无需等待组策略刷新。
5.优先级设置:管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。
优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。
7.备份和恢复组策略:管理员可以备份组策略的配置,并在需要时进行恢复。
这样可以确保即使发生意外情况,管理员也能轻松地恢复组策略的设置。
8.详细日志和审计:系统还提供了详细的日志和审计功能,记录组策略的所有修改和应用。
管理员可以使用这些日志来跟踪和审计组策略的变更历史。
组策略培训课程(PPT 81张)
往往并不会立即读取到此策略。为了使设置的组
策略能够在某台计算机上生效,必须利用以下3 种方式之一来达到目的。
8.2.2 测试“在本地登录”策略是否正 常
一、使组策略生效 1. 运行命令: Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police 2. 重新启动/注销计算机
组策略可以针对站点、域和组织单位设置。 这些组策略的数据存储在活动目录内(域控制器 “ %systemroot%\SYSVOL\sysvol\ 域 名
\Policies”目录下)。
8.1.1 组策略简介
计 算 机 配 置 : 当 计 算 机 启 动 时 , 就会 根 据
“计算机配置”的内容来设置计算机的环境。针
组策略
主要内容
8.1 组策略概述 8.2 组策略对象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序
8.1 组 策 略 概 述
组策略就是修改注册表中的配置。
组策略使用自己更完善的管理组织方法,可 以对各种对象中的设置进行管理和配置,远比手 工修改注册表方便、灵活,功能也更加强大。
8.1.4 组策略和AD
GPO是一种与域、地址或组织单元相联系的物理策
略 , GPO 包括文件和 AD 对象,要充分发挥 GPO 的功 能,需要有AD域架构的支持,利用 AD可以定义一个
集中的策略,所有的Windows Server 2003服务器和
工作站都可以采用它。
访问本地GPO的方法: 1. MS-DOS命令窗口:gpedit.msc
目录内,只针对本地计算机和本地用户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、组策略的基本知识
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。
此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。
本文重点介绍的是Windows XP Professional的本地组策略的应用。
组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。
所有策略的设置都将保存到注册表的相关项目中。
对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。
访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。
1、组策略编辑器的命令行启动
您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。
(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。
)
在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。
另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。
那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。
例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。
设置时需注意这一点。
2、将组策略作为独立的MMC管理单元打开
若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:
(1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。
打开Microsoft管理控制台窗口。
如图2所示。
(2)选择“文件”菜单下的“添加/删除管理单元”命令。
(3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。
(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。
(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。
特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。
二、“任务栏”和“开始”菜单相关选项的删除和禁用
在“…本地计算机‟策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。
1、给“开始”菜单瘦瘦身
如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
单中删除。
在右侧窗格中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。
您只要将不需要的菜单项所对应的策略启用即可。
现在以删除“我的文档”图标为例,具体操作步骤为:
(1)在策略列表窗格中用鼠标双击“从「开始」菜单中删除…我的文档‟图标”设置选项。
(2)在弹出窗口的“设置”选项卡中,选择“已启用”单选按扭,然后单击“确定”按扭即可。
2、保护好你的个人隐私
出于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,您只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
3、保护好“任务栏”和“开始”菜单的设置
倘若您不想随意让他人更改“任务栏”和“开始”菜单的设置,您只要将右侧窗格中的“阻止更改…任务栏和「开始」菜单‟设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当您用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
4、禁止“注销”和关机
当计算机启动以后,倘若您不希望这个用户再进行关机和注销操作,那么必须将右侧窗格中的“删除「开始」菜单上的…注销‟”和“删除和阻止访问…关机‟命令”两个策略启用。
提示:倘若您在“开始”菜单上删除了“注销”,“注销用户名>”项目就不会出现在“开始”菜单。
这个设置还从“…开始‟菜单选项”删除“显示注销”项目。
结果是,您无法将“注销用户名>”项目还原到“开始”菜单。
三、桌面相关选项的删除和禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁,有了组策略编辑器,这项工作将变得易如反掌,您只要在“…本地计算机‟策略”中,逐级展开“用户配置”→“管理模板”→“桌面”分支,即可在右侧窗格中显示相应的策略选项。
1、隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上…网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的…我的文档‟图标”和“删除桌面上的…我的电脑‟图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、禁止对桌面的某些更改
如果您不希望别人随意改变计算机桌面的设置,请在右侧窗格中将“退出时不保存设置”这个策略选项启用。
当您启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
四、禁止访问“控制面板”
如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐极展开“…本地计算机‟策略”→“用户配置”→“管理模板”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。
此项设置可以防止“控制面板”程序文件(Control.exe)的启动。
其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。
另外,这个设置将从“开始”菜单中删除“控
制面板”。
同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。
特别提示:如果您想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
五、防止用户使用“添加或删除程序”
在“控制面板”中,“添加或删除程序”项目允许您安装、卸载、修复并添加和删除 Windows XP 的功能和组件以及种类很广的 Windows 程序。
发行或分配给用户的程序将出现在“添加或删除程序”中。
倘若您阻止其他用户安装和卸载程序,请在“…本地计算机‟策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格中启用“删除…添加/删除程序‟程序”策略选项。
启用这个设置将从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目;这个设置不防止用户用其他工具和方法安装或卸载程序。
六、在Windows Xp中设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1、运行组策略编辑器程序(gpedit.msc)。
2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限指派”分支。
3、双击需要改变的用户权限。
单击“增加”,然后双击想指派给权限的用户帐号。
连续两次单击“确定”按扭。