活动目录组策略

Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。

本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。

将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。

本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。

四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。

图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。

这样,只更改一个GPO,就能管理成千上万地计算机或用户。

组策略对象是应用于选定用户与计算机地设置地集合。

组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。

通过链接,一个GPO可与AD DS地多个容器关联。

反过来,多个GPO也可链接到一个容器。

一．域策略域级策略只影响属于该域地用户与计算机。

默认情况下存在两个域级策略,如表六-一所示。

表六-一默认域级策略（域策略,域控制器策略）可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。

例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。

又如,GPO可限制某个组织单位用户地桌面环境。

二．本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。

此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。

windows2003活动目录域策略统一桌面壁纸通过设置域策略，实现客户端统一桌面的具体方法如下：1. 登录到域控制器上，打开Active Directory用户和计算机，打开需要设置的组策略。

2. 进入组策略编辑器，并双击用户配置--管理模板--桌面--Active Desktop--Active Desktop 墙纸，将其设置为已启用。

3. 在墙纸名称路径框中输入存放桌面背景文件的完整路径。

如：\\server\wallpaper\test.jpg，在墙纸样式中任意选择一项，按确定；4. 将用户配置--管理模板--桌面--Active Desktop中的启用Active Desktop 选项设置为已启用；5. 在命令提示符中输入：gpupdate /force，重新启动计算机，强制刷新组策略。

设置活动桌面后的桌面图标背景颜色问题的解决在域服务器上通过以上设置，客户端正常显示了墙纸，但桌面图标显示都有些异常－边缘多了一些阴影之类的东西，桌面图标的文件名也是有背景色的。

启用了“禁用Active Desktop”，…启用“Active Desktop”‟－－未配置，再定义“ActiveDesktop墙纸”，所有XP客户端可以正常显示定义的墙纸，而且桌面图标和文件名显示也正常了。

另，通过相关设置还可统一域用户的屏幕保护程序，并阻止其进行修改许多朋友对上面的操作都不是很明白，再补充两条。

操作主要分两步：一、将客户端墙纸更新至服务器设置1、启用"用户配置--管理模板--桌面--Active Desktop-启用Active Desktop "，"禁用Active Desktop"保持"未配置"2、启用"用户配置--管理模板--桌面--Active Desktop--Active Desktop 墙纸"并在墙纸"名称"处输入墙纸的路径3、于服务器更新组策略:gpupdate /force;客户端更新组策略：gpupdate /force最好重启客户端验证墙纸是否未服务器设置二、取消桌面文字阴影1、修改"用户配置--管理模板--桌面--Active Desktop-启用Active Desktop"为"未配置";2、修改"用户配置--管理模板--桌面--Active Desktop-禁用Active Desktop"为"已启用";3、于服务器更新组策略:gpupdate /force;客户端更新组策略：gpupdate /force最好重启客户端验证墙纸是否未服务器设置之后应该是没有文字阴影的墙纸样式了。

理论部分课程回顾•添加额外域控制器有什么好处? 添加额外域控制器需要满足哪些条件?•如何添加额外域控制器？技能展示理解组策略的概念•创建组策略理解计算机配置和用户配置的区别掌握组策略的应用规则组策略概念I、组策略对象概念I创建组策略1U 建组策略| 策略继承与阻止 ] 策略累加型突 ]官策略应用规心 |策麟制纹 | 筛选I软件分发I本章结构 组策略应用I•组策略-一组策略的集合-用来统一修改系统、设置程序设置桌面环境1-^-1>71.女至以直自动执行脚本 ,软件分发•组策略的优点-减小管理成本-只需设置一次，相应的计算机或用户即可应用-减小用户单独配置错误的可能性-可以针对特定对象设置特定的策略-用户.计算机组策略对象• GPO ( Group Policy Object)的概念-存储组策略的所有配置信息—AD中的一种特殊对象•默认GP。

-默认域策略-默认域控制器策略• GPO链接-只能链接到站点、域、*1?B 兴卜5” ccr»TZ I DMtfdt ?。

1 技yS iij Dm.m = aa id人争即矿-msB 团HH®JJ D-fx-alt Derain Ccc.troll.rx Tolicj (jf 以点、Dgin FdicyS J nllWWw9 3 SltfUt 彻虫站点t匝烈銓榜U______________________________________________L■ .冋X1 二ia jbcne com中的组策略对关内召|签塩|计算机配置-策略.软件设置•Windows 设置.管理模板首选项•Windows 设置。

控制面板设置计算机配置只针对容器中的计算机生效用户配置-策略.软件设置•Windows 设置.管理模板首选项•Windows 设置。

控制面板设置计算机配置和用户配置2-1用户配置只针对容器中的用户生效案例：组策略的简单应用•实验环境-已部署Windows Server 2008 域-销售部员工用户位于0U "销售部〃中•需求描述-销售部员工使用统一的桌面背景，禁止更改桌面背景•实现思路-创建并链接GPO-配置组策略1!-用户配置-策略-管理模板-桌面-桌面小结•请思考-使用组策略有什么好处? -GPO可以链接到哪些对象?计算机配置和用户配置有什么区别？—使用什么命令可以刷新组策略使其立即生效?•策略继承与阻止-下级容器可以继承或阻止应用其上级容器的GPO设置•策略累加与冲突-多个GPO设置可以累加或发生）中突被覆盖•策略强制生效使下级容器强制执行其上级容器的GPO设置•筛选-阻止一个容器内的用户或计算机应用其GPO设置策略继承与阻止•下级容器默认会继承来自上级容器的GPO 子容器可以阻止继承上级容器的G P0—右击魚组宙路萸RB I卜幺快承志又件伊）掬TOO s§（v）窗口0）戒助ooI _|g| '-I坦洒治理、\、林.bsot. C^ri(3紗[d，bwn«t. ccn* Dtf&nlt D稍售部此列瘀包括任佛脇到芯点的物。

原创：活动目录之常用组策略实例活动目录之常用组策略实例组策略实例计算机配置由于系统默认某些组内的用户，才有权限在域控制器计算机登录，因此普通用户利用域控制器登录时会出现如下的提示，需要赋予他们允许本地登录的权限才能够正常登录，如图：为了让普通用户在域控制器上登录，活动目录之常用组策略实例组策略实例1.计算机配置1.由于系统默认某些组内的用户，才有权限在域控制器计算机登录，因此普通用户利用域控制器登录时会出现如下的提示，需要赋予他们“允许本地登录的权限”才能够正常登录，如图：1.为了让普通用户在域控制器上登录，我们可以设置所有的域用户组成员可以在域控制器登录系统，这里我们单击“开始”-“管理工具”-“Active Directory 用户和计算机”-“Domain controllers”右键“属性”-“组策略”单击“Default Domain controllers policy”条目，如图所示：1.单击“编辑”按钮，点开“windows设置”-“安全设置”-“本地策略”-“用户权限分配”，如图：1.双击“允许在本地登录”项，我们添加域用户组到组策略，如图所示：1.此时客户端便可以正常登陆了。

2.用户配置1.这里我们假设要将“销售部”OU人员的“开始”菜单中的“运行”菜单删除，这里我们单击“开始”-“管理工具”-“ActiveDirectory用户和组”-“销售部”右键“属性”-“组策略”-“新建”按钮，我们添加一个“销售部GPO”的策略，如图所示：1.单击“编辑”按钮，单击“用户配置”下的“管理模板”-“任务栏和开始”-“从开始菜单中删除运行菜单”项，如图：1.双击“从开始菜单中删除运行菜单”项，我们单击“启用”按钮，点击“应用”-“确定”按钮，如图：1.此时在客户端计算机使用销售部人员登录，此时已经看不到“运行”菜单了，如图所示：1.组策略之管理模板策略1.限制用户只可以运行指定的程序，除了制定的程序其他的将被禁止运行，设置方法：“管理模板”-“系统”-“只运行windows许可的应用程序”。

活动目录、域及组策略-WindowsServer-WinOS中文技术论坛专注微...活动目录、域及组策略活动目录、域和组策略在很多用户那里都有所运用，如果刚开始接触这些内容时难免会觉得很复杂，这主要是因为专业名词太多，同时也许个人心理因素上存在畏难情绪，因此，在和客户交流过程中，有些发蒙，觉得底气不足，无法和客户继续沟通下去，也就无法了解客户企业完整的网络架构，那就无法从客户的实际环境出发，帮助客户提出一个完备的解决方案。

因此，今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释，主要是做一个抛砖引玉，希望各位同仁指正。

活动目录活动目录存储整个网络上资源的信息，便于用户查找、管理和使用这些资源。

活动目录是Windows 2000网络中的目录服务。

它存储关于网络资源的信息，并使用户或应用程序可以访问这些资源。

活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，而不需要知道资源在什么地方，或物理上它是如何连接到网络上的。

以前我们访问网络资源，一是通过网上邻居，选择某个工作组，进入你所要访问的计算机，并且还需要目标计算机的用户名和密码才能访问上面的资源。

或者通过IPC$，输入目标计算机的IP地址和访问盘符，但是同样需要目标计算机的用户名和密码。

而通过活动目录，管理员可以把分布在网络各处各台计算机上的资源，比如打印机、共享文件，分门别类的放在一起。

活动目录提供对网络资源集中控制，允许用户只登录一次就可以访问整个活动目录的资源了。

用户打开网络邻居，所见到的不再是计算机，而是一个个目录文件夹形式：放着打印机资源的目录文件夹名称叫做打印机，技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。

这就是活动目录名字的由来。

活动目录的对象代表网络资源，如用户、组、计算机和打印机。

而且，网络中所有的服务器、域和站点都作为对象。

因为活动目录代表了所有网络资源，只需要一个管理员就可以管理这些资源。

项目背景从前面地学习我们知道：通过AD DS地组策略（group policy）功能，可更容易地管理用户地工作环境和计算机环境，可以统一部署软件以及限制特定软件地运行，也可以利用组策略使安全性标准化，以控制环境。

总之，组策略地合理使用能够轻网络管理负担，并降低网络管理成本。

项目目标•组策略地处理规则•组策略地委派管理•Starter GPO地设置和使用•组策略管理实例6.1 相关知识域成员计算机在处理（应用）组策略时有一定地程序和规则，系统管理员必须了解它们，才能够通过组策略来管理用户和计算机地环境。

6.1.1一般地继承和处理规则组策略地设置是有继承性地，也有一定地处理规则。

图6-1 Active Directory用户与计算机--组织单位Ø若高层父容器地某个策略被设置，但是在其下低层子容器并未设置此策略地话，则低层子容器会继承高层父容器地这个策略设置值。

以图6-1来说明，若位于高层地域long若组织单位sales下还有其它子容器，且它们地这些策略也被设置为未配置，则它们也会继承这个设置值。

Ø若在低层子容器内地某个策略被设置，则此设置值默认会覆盖由其高层父容器所继承下来地设置值。

以图6-1所示，若位于高层地域longØ 组策略设置是有累加性地，例如若您在组织单位sales内建立了GPO ，同时在站点、域内也都有GPO，则站点、域和组织单位内地所有GPO 设置值都会被累加起来作为组织单位sales地最后有效设置值。

但若站点、域和组织单位sales之间地GPO设置有冲突，则优先圾为：组织单位地GPO最优先、域地GPO次之、站点地GPO优先权最低。

6.1.2 例外地继承设置除了一般地继承和处理规则外，您还可以设置下面地例外规则。

1．禁止继承策略以设置让子容器不要继承父容器地设置。

例如若不要让组织单位sales继承域long管理组策略相关知识图6-2 阻止继承管理组策略相关知识2．强制继承策略可以通过父容器来强制其下子容器必须继承父容器地GPO设置，无论子容器是否选择了阻止继承。