6.组策略
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
例如 演示 • 销售部OU的GPO中设置主页URL为http://www.xinhua.com 验证继承和阻止继承 • 右击北京销售部|【属性】|【组策略】选项卡,选中【阻止策略继 承】选项 • 北京销售部OU中的用户登录客户机后,IE的主页地址不是 “http://www.xinhua.com”
6
组策略
本章目标
利用组策略管理域中的计算机和用户工作环境, 实现软件分发
理解组策略作用 掌握组策略继承与阻止继承操作 理解组策略应用顺序 掌握组策略强制生效、筛选组策略设置 掌握软件分发方式:指派与发布
本章结构
组策略作用 组策略概念 组策略结构 组策略简单应用 计算机配置/用户配置 继承与阻止继承 累加 组策略 应用规则 分发软件 软件设置 修复软件 删除软件 应用顺序 强制生效 筛选
指派与发布的区别
修复软件
如果用户的软件发生文件丢失或损坏时,自动重新复制 正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件 重新部署一次
删除软件
【立即从用户和计算机卸载软件】:下一次用 户登录或计算机启动时,软件会被强制删除 【允许用户继续使用软件,但禁止新的安装】: 用户和计算机仍可继续执行使用软件,但不允 许重新安装
BENET公司要求销售部的员工不能随意更改桌 面背景 步骤
1 )右击销售部OU|【属性】|【组策略】,单击 【新建】,输入GPO的名字为“销售部GPO” 2 )打开【组策略编辑器】,选择“阻止更改墙纸” 3)双击“阻止更改墙纸”,启用该策略,然后关闭 【组策略编辑器】
计算机配置与用户配置2-1
背景
BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” 如何使用组策略实现此功能
完成标准
编辑GPO,实现指派方式的软件分发 在成员计算机上的【开始】菜单的【管理工具】中增 加了许多服务管理工具
1.获取Windows 安装程序包文件 2.将软件安装文 件放到一个软件 分发点 3.创建或修改 GPO
LSDOU 应用顺序 上级容器的 GPO 强制生效 强制生效 筛选可以实现阻 筛选 止一个GPO应用 于容器内部的特 定计算机和用户
组策略
应用规则 分发软件 软件设置 修复软件 删除软件
升级软件
实验
IE主页设置为 http://www.xinhua.com 阻止更改墙纸
可以更改墙纸
是
演示
验证累加效果
应用顺序
本地组策略对象
每台运行 Windows XP/2000/2003 的计算机都只有一个本地组 策略对象 打开本地GPO的2种方法 • MMC和gpedit.msc
组策略按以下顺序被应用: LSDOU
GPO
GPO所链接的对象
SDOU
SDOU 计算机 用户
GPO控制
SDOU中的计算机和用户
组策略结构3-2
站点的概念
活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速联接在一起的IP子网组成
站点和域的关系
一个站点中可以有多个域 一个域中可以有多个站点
站点的主要作用
目标
组策略的作用 修改GPO 组策略的用户配置
组策略应用规则
继承与阻止继承 累加 应用顺序 强制生效 筛选
继承与阻止继承
在默认情况下,下层容器会继承来自上层容器的GPO(组策略对象)
例如 • 销售部OU的GPO中设置IE主页URL为http://www.xinhua.com • 北京销售部OU中的用户登录客户机后,IE的主页地址为 “http://www.xinhua.com”
任务1 组策略简单应用 任务2 利用GPO分发Windows 2003管理工具包
任务1 组策略简单应用
背景
BENET公司为了统一公司的桌面设置,所有域用户不 能随意修改背景 如何利用组策略实现此功能
完成标准
编辑默认域策略 管理员账户登录成员计算机不能修改桌面背景
任务2 利用GPO分发管理工具包
• 优化复制 • 使用户能够使用可靠、高速的连接登录到域控制器上
组策略结构3-3
GPC(组策略容器)与GPT(组策略模板)
GPC:GPC是包含GPO属性和版本信息的活动 目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL) 中,是一种文件夹层次结构
wk.baidu.com演示
查看GPC和GPT
组策略简单应用
• 因为只须设置一次,相应的用户或计算机即可全部使用 规定的设置 • 减少用户不正确配置环境的可能性
推行公司使用计算机规范
• 桌面环境规范 • 安全策略
组策略适用哪些操作系统
组策略结构3-1
组策略的具体设置数据保存在 GPO中 默认的2个GPO
默认域策略 默认域控制器策略
组策略
计算机配置
软件设置 Windows设置
• • 脚本 安全设置
Windows 组件 系统 网络 打印机
管理模板
• • • •
演示
查看计算机配置
计算机配置与用户配置2-2
用户配置
软件设置 Windows设置
• • • • • 远程安装服务 脚本(登录/注销) 安全设置 文件夹重定向 IE浏览器维护
子容器可以阻止继承上级的组策略
累加
容器的多个组策略设置如果不冲突,则最终的有效策略是 所有组策略设置的总和 容器的多个组策略设置如果冲突,则后应用的组策略覆盖 先应用的组策略
组策略设置 域:IE主页设置为 http://www.xinhua.com.cn OU:已启用“阻止更改墙纸 ” 域:已启用“阻止更改墙纸” OU:已禁用“阻止更改墙纸 ” 是否冲突 否 OU的有效设置
分发软件
分发软件的步骤
1)获取Windows安装程序包文件;该软件包包含 一个.msi文件以及必要的相关安装文件 2)将软件安装文件放到一个软件分发点 3)创建或修改GPO 指派, 程序在【开始】菜单中 发布, 程序显示在【控制面板】|【添加/删除程序】 中 演示
分发Windows2003管理工具包软件
阶段练习
背景
BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” 如何使用组策略实现此功能
目标:
组策略的软件设置 修改GPO 指派软件与发布软件
组策略作用 组策略概念
本章总结
计算机配置 GPO,SDOU 组策略结构 GPC,GPT 对容器中的计算机 起作用 组策略简单应用 用户配置 计算机配置/用户配置 对容器中的用户起 继承与阻止继承 作用 累加
演示
查看用户配置
管理模板
• • • • • • • Windows 组件 任务栏和【开始】菜 单 桌面 控制面板 共享文件夹 网络 系统
阶段总结
组策略有哪些作用 组策略适用哪些操作系统 默认的2个GPO是什么 站点和域的关系 组策略包含哪些内容
阶段练习
背景
Xinhua集团为了统一学校的桌面设置,所有域用户 不能随意修改背景 如何利用组策略实现此功能
强制生效
销售部
销售部应用域的GPO设置
演示
验证强制生效效果
冲突 GPO 设置
筛选组策略设置
筛选可以阻止一个GPO应用于容器内的特定计算机和用户
设置读取和应用组策略的权限 • 允许 • 拒绝
域 销售部 GPO 设置
演示
验证筛选效果
Sales salemanager
受GPO影响 不受GPO影 响
1)首先本地组策略对象 2)如果有站点组策略,则应用之 3)然后应用域组策略对象 4)如果计算机或用户属于某个OU,则应用之 5)如果计算机或用户属于某个OU的子OU,则应用之
强制生效
强制生效是上级容器 强制下级容器执行其 GPO设置
域 工程部 “强制生效”的 GPO 设置
如果销售部OU阻止继 承域的策略 或者销售部OU与域的 GPO设置冲突
升级软件
举例
Office2000升级到 Office2003 Visio2000升级到 visio2002
会强制用户将当前软 件升级到新的版本
强制升级
可选升级
允许用户同时使用一 个应用程序的两个版 本
阶段总结
软件设置分为:分发、修复、删除、升级 分发软件:指派与发布的区别 删除软件的两种方法是什么 升级软件的两种方法是什么
阶段总结
下层容器默认继承来自上层容器的GPO 子容器可以阻止继承上级的组策略 如果不冲突,则最终的有效策略是所有组策略设 置的总和 如果冲突,则后应用的组策略覆盖先应用的组策 略 组策略按以下顺序被应用: LSDOU 上级容器的GPO强制生效
利用GPO实现软件设置
分发软件 修复软件 删除软件 升级软件
升级软件
组策略的作用2-1
方便地管理AD中的计算机和用户
组策略
活 动 目 录
用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚 本文件 软件分发 域控制器 安全设置 域
组策略的作用2-2
使用组策略可以
对域设置组策略影响整个域的工作环境,对OU设置组 策略影响本OU下的工作环境 降低布置用户和计算机环境的总费用
6
组策略
本章目标
利用组策略管理域中的计算机和用户工作环境, 实现软件分发
理解组策略作用 掌握组策略继承与阻止继承操作 理解组策略应用顺序 掌握组策略强制生效、筛选组策略设置 掌握软件分发方式:指派与发布
本章结构
组策略作用 组策略概念 组策略结构 组策略简单应用 计算机配置/用户配置 继承与阻止继承 累加 组策略 应用规则 分发软件 软件设置 修复软件 删除软件 应用顺序 强制生效 筛选
指派与发布的区别
修复软件
如果用户的软件发生文件丢失或损坏时,自动重新复制 正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件 重新部署一次
删除软件
【立即从用户和计算机卸载软件】:下一次用 户登录或计算机启动时,软件会被强制删除 【允许用户继续使用软件,但禁止新的安装】: 用户和计算机仍可继续执行使用软件,但不允 许重新安装
BENET公司要求销售部的员工不能随意更改桌 面背景 步骤
1 )右击销售部OU|【属性】|【组策略】,单击 【新建】,输入GPO的名字为“销售部GPO” 2 )打开【组策略编辑器】,选择“阻止更改墙纸” 3)双击“阻止更改墙纸”,启用该策略,然后关闭 【组策略编辑器】
计算机配置与用户配置2-1
背景
BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” 如何使用组策略实现此功能
完成标准
编辑GPO,实现指派方式的软件分发 在成员计算机上的【开始】菜单的【管理工具】中增 加了许多服务管理工具
1.获取Windows 安装程序包文件 2.将软件安装文 件放到一个软件 分发点 3.创建或修改 GPO
LSDOU 应用顺序 上级容器的 GPO 强制生效 强制生效 筛选可以实现阻 筛选 止一个GPO应用 于容器内部的特 定计算机和用户
组策略
应用规则 分发软件 软件设置 修复软件 删除软件
升级软件
实验
IE主页设置为 http://www.xinhua.com 阻止更改墙纸
可以更改墙纸
是
演示
验证累加效果
应用顺序
本地组策略对象
每台运行 Windows XP/2000/2003 的计算机都只有一个本地组 策略对象 打开本地GPO的2种方法 • MMC和gpedit.msc
组策略按以下顺序被应用: LSDOU
GPO
GPO所链接的对象
SDOU
SDOU 计算机 用户
GPO控制
SDOU中的计算机和用户
组策略结构3-2
站点的概念
活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速联接在一起的IP子网组成
站点和域的关系
一个站点中可以有多个域 一个域中可以有多个站点
站点的主要作用
目标
组策略的作用 修改GPO 组策略的用户配置
组策略应用规则
继承与阻止继承 累加 应用顺序 强制生效 筛选
继承与阻止继承
在默认情况下,下层容器会继承来自上层容器的GPO(组策略对象)
例如 • 销售部OU的GPO中设置IE主页URL为http://www.xinhua.com • 北京销售部OU中的用户登录客户机后,IE的主页地址为 “http://www.xinhua.com”
任务1 组策略简单应用 任务2 利用GPO分发Windows 2003管理工具包
任务1 组策略简单应用
背景
BENET公司为了统一公司的桌面设置,所有域用户不 能随意修改背景 如何利用组策略实现此功能
完成标准
编辑默认域策略 管理员账户登录成员计算机不能修改桌面背景
任务2 利用GPO分发管理工具包
• 优化复制 • 使用户能够使用可靠、高速的连接登录到域控制器上
组策略结构3-3
GPC(组策略容器)与GPT(组策略模板)
GPC:GPC是包含GPO属性和版本信息的活动 目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL) 中,是一种文件夹层次结构
wk.baidu.com演示
查看GPC和GPT
组策略简单应用
• 因为只须设置一次,相应的用户或计算机即可全部使用 规定的设置 • 减少用户不正确配置环境的可能性
推行公司使用计算机规范
• 桌面环境规范 • 安全策略
组策略适用哪些操作系统
组策略结构3-1
组策略的具体设置数据保存在 GPO中 默认的2个GPO
默认域策略 默认域控制器策略
组策略
计算机配置
软件设置 Windows设置
• • 脚本 安全设置
Windows 组件 系统 网络 打印机
管理模板
• • • •
演示
查看计算机配置
计算机配置与用户配置2-2
用户配置
软件设置 Windows设置
• • • • • 远程安装服务 脚本(登录/注销) 安全设置 文件夹重定向 IE浏览器维护
子容器可以阻止继承上级的组策略
累加
容器的多个组策略设置如果不冲突,则最终的有效策略是 所有组策略设置的总和 容器的多个组策略设置如果冲突,则后应用的组策略覆盖 先应用的组策略
组策略设置 域:IE主页设置为 http://www.xinhua.com.cn OU:已启用“阻止更改墙纸 ” 域:已启用“阻止更改墙纸” OU:已禁用“阻止更改墙纸 ” 是否冲突 否 OU的有效设置
分发软件
分发软件的步骤
1)获取Windows安装程序包文件;该软件包包含 一个.msi文件以及必要的相关安装文件 2)将软件安装文件放到一个软件分发点 3)创建或修改GPO 指派, 程序在【开始】菜单中 发布, 程序显示在【控制面板】|【添加/删除程序】 中 演示
分发Windows2003管理工具包软件
阶段练习
背景
BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” 如何使用组策略实现此功能
目标:
组策略的软件设置 修改GPO 指派软件与发布软件
组策略作用 组策略概念
本章总结
计算机配置 GPO,SDOU 组策略结构 GPC,GPT 对容器中的计算机 起作用 组策略简单应用 用户配置 计算机配置/用户配置 对容器中的用户起 继承与阻止继承 作用 累加
演示
查看用户配置
管理模板
• • • • • • • Windows 组件 任务栏和【开始】菜 单 桌面 控制面板 共享文件夹 网络 系统
阶段总结
组策略有哪些作用 组策略适用哪些操作系统 默认的2个GPO是什么 站点和域的关系 组策略包含哪些内容
阶段练习
背景
Xinhua集团为了统一学校的桌面设置,所有域用户 不能随意修改背景 如何利用组策略实现此功能
强制生效
销售部
销售部应用域的GPO设置
演示
验证强制生效效果
冲突 GPO 设置
筛选组策略设置
筛选可以阻止一个GPO应用于容器内的特定计算机和用户
设置读取和应用组策略的权限 • 允许 • 拒绝
域 销售部 GPO 设置
演示
验证筛选效果
Sales salemanager
受GPO影响 不受GPO影 响
1)首先本地组策略对象 2)如果有站点组策略,则应用之 3)然后应用域组策略对象 4)如果计算机或用户属于某个OU,则应用之 5)如果计算机或用户属于某个OU的子OU,则应用之
强制生效
强制生效是上级容器 强制下级容器执行其 GPO设置
域 工程部 “强制生效”的 GPO 设置
如果销售部OU阻止继 承域的策略 或者销售部OU与域的 GPO设置冲突
升级软件
举例
Office2000升级到 Office2003 Visio2000升级到 visio2002
会强制用户将当前软 件升级到新的版本
强制升级
可选升级
允许用户同时使用一 个应用程序的两个版 本
阶段总结
软件设置分为:分发、修复、删除、升级 分发软件:指派与发布的区别 删除软件的两种方法是什么 升级软件的两种方法是什么
阶段总结
下层容器默认继承来自上层容器的GPO 子容器可以阻止继承上级的组策略 如果不冲突,则最终的有效策略是所有组策略设 置的总和 如果冲突,则后应用的组策略覆盖先应用的组策 略 组策略按以下顺序被应用: LSDOU 上级容器的GPO强制生效
利用GPO实现软件设置
分发软件 修复软件 删除软件 升级软件
升级软件
组策略的作用2-1
方便地管理AD中的计算机和用户
组策略
活 动 目 录
用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚 本文件 软件分发 域控制器 安全设置 域
组策略的作用2-2
使用组策略可以
对域设置组策略影响整个域的工作环境,对OU设置组 策略影响本OU下的工作环境 降低布置用户和计算机环境的总费用