资源预览内容
第1页 / 共39页
第2页 / 共39页
第3页 / 共39页
第4页 / 共39页
第5页 / 共39页
第6页 / 共39页
第7页 / 共39页
第8页 / 共39页
第9页 / 共39页
第10页 / 共39页
亲,该文档总共39页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
第四章利用组策略管理用户工作环境概述l介绍组策略l组策略结构l处理组策略对象l组策略设置是如何应用在活动目录l修改组策略的继承性l组策略的委派管理控制l监控和解决组策略冲突l最佳方案介绍组策略通过使用组策略,可以:1.设置集中的和分散的管理2.确保用户有适合完成他们工作的环境3.降低控制用户和计算机环境的总费用,因此要减少用户需要的技术支持的级别和由于用户的错误操作带来的损失4.推行公司策略,包括商业准则,目标和保密需要SiteDomainOUWindows 2003 Applies ContinuallyUsersComputersAdministrator Sets Group Policy OnceGroup Policy组策略结构l组策略设置的类型l组策略的目标l针对计算机和用户的组策略设置l组策略目标和活动目录容器组策略设置的类型Types of Group Policy SettingsTypes of Group Policy SettingsAdministrativeTemplates基于注册的设定应用设置和桌面环境的设置Security配置本地的计算机、域以及网络安全性设置的设置Software Installation软件安装、升级、卸载的集中化管理的设置Scripts运行特定的命令时的设置值,如关机、退出登录Internet Explorer Maintenance管理和定制计算机的IE设置Folder Redirection在网络服务器上存储用户个性化文件夹的设置(重定向)组策略对象Contains Group Policy settingsStores content in two locationsGroup Policy Object组策略模板在共享的组策略模板在共享的sysvol文件夹中文件夹中 使加入域的计算机获得和应用提供的使加入域的计算机获得和应用提供的组策略设置组策略设置Group Policy Template组策略容器在活动目录中组策略容器在活动目录中包含包含GPO属性和版本信息的活动目录属性和版本信息的活动目录对象对象Group Policy Container计算机和用户的组策略设置计算机的组策略设置1.指的是操作系统行为、桌面行为、安全性设置等等2.计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。3.通常计算机组策略在和用户组策略冲突时有优先权。用户的组策略设置1.用户的组策略设置指定特定的操作系统行为.2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。UsersComputers组策略设置与首选项设置组策略首选项的特点:l只有域内的组策略可以设置首选项l首选项设置非强制,用户可以更改l首选项可以针对单一设置项目进行过滤l首选项优先级低于策略设置l客户端需安装客户端扩展集(CSE)组策略的处理时限在计算机启动的时候,将决定哪个计算机的GPO设置被应用在用户登录的时候,将决定哪个用户的GPO设置被应用Computer startsUser logs onn Computer settings appliedn Startup scripts runn User settings appliedn Logon scripts run控制组策略的处理同步和异步处理1.默认的组策略处理是同步处理2.可以通过使用组策略设置将默认的行为改为异步传输默认的时间间隔1.Pro、Ser服务器成员每90分钟刷新一次2.域控制器每5分钟刷新一次未发生变更的组策略设置的处理,只处理有变更的GPO设置组策略对象和活动目录容器GPO的设置将对站点、域或组织单位的用户和计算机产生影响1.管理员可将GPO和多个站点、域以及组织单位连接2.也可将多个GPO和单个站点、域以及组织单位连接管理员不能将GPO和默认的活动目录容器计算机、用户和Binltin相连,因为他们不是OUSiteDomainOUOUOUOU GPOOU GPOSite GPODomain GPO处理组策略对象l创建已连接的组策略目标l创建未连接的组策略目标l连接已存在的组策略目标创建已连接的组策略目标创建未连接的组策略目标连接已存在的组策略目标DEMOl策略设置实战演练:计算机配置l策略设置实战演练:用户配置l首选项设置实战演练1l首选项设置实战演练2组策略的应用规则l一般的继承与处理规则l特殊的处理规则l特殊的处理设置l指定管理组策略目标的域控制器l更改组策略的应用间隔时间一般的继承与处理规则 有高到底,层层应用,低级的覆盖有高到底,层层应用,低级的覆盖高级的高级的SiteDomainOU 子容器从母容器继承子容器从母容器继承GPO设置值设置值ComputersUsersPayrollDomainDomain GPO解决组策略之间的冲突l策略是积累的,如果策略之间没有冲突将全部应用l如果策略之间存在冲突,将采用最新的设置l计算机的设置,高于用户的设置冲突发生时,执行哪个的原则:来自母容器的GPO设置和来自子容器的GPO设置冲突。子容器的设置后执行并发挥作用。连接到同一容器上的不同的GPO的设置发生冲突时。在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。课堂讨论:如何执行组策略的设置nGPO1 确认收藏夹出现在开始菜单确认收藏夹出现在开始菜单中中 nGPO2 and GPO3 要求要求11位字符的位字符的密码并将密码并将Update icon移除开始菜移除开始菜单单nGPO4 从开始菜单移除收藏夹并让从开始菜单移除收藏夹并让update icon出现出现What are the resultant Group Policy settings for the OU? OUSiteDomainGPO1GPO2GPO3GPO4课堂讨论:如何执行组策略的设置(2)What are the resultant Group Policy settings for the OU? nA password must be at least 11 characters longnThe Windows Update icon appears on the Start menu nFavorites does not appear on the Start menuOUSiteDomainGPO1GPO2GPO3GPO4特殊的继承设置l阻止继承策略l强制继承策略l筛选组策略设置l课堂讨论:改变组策略的继承性阻止继承阻止继承1.阻止所有的GPO继承到子容器2.应用配置为不重写的连接阻止继承将无效3.阻止组策略设置将允许活动目录有唯一的组策略设置GPOs SalesProductionDomainNo GPO settings apply强制继承策略1.将不顾其它的GPO的设置而发挥作用2.在活动目录的较高层次连接GPO以保证能对多个OU起作用3.必须保证强制重要的GPOSalesProductionDomainDomain GPO settings applyConflicting GPO SettingsNo Override GPO Settings筛选组策略设置筛选组策略设置1.明确的拒绝申请对于包含OU管理员在内的安全组的组策略许可2.删除验证的用户DomainSalesMengphKimyoGroupDeny Apply Group PolicyAllow Read and Apply Group Policy课堂讨论:改变组策略的继承性Settings That Are Neededn在域中的所有计算机上必须安装防病毒程在域中的所有计算机上必须安装防病毒程序序n除工资部门的用户外所有域里的计算机必除工资部门的用户外所有域里的计算机必须安装微软的须安装微软的office套件套件n除工资部门的管理员计算机外,工资部门除工资部门的管理员计算机外,工资部门的所有计算机都必须安装系列商用财务应的所有计算机都必须安装系列商用财务应用程序用程序如何设置你的如何设置你的 GPOs?PayrollSalesContoso.comTraining课堂讨论:改变组策略的继承性(2)How do you set up your GPOs?nA GPO linked to the domain with the anti-virus application settings configured and the link configured with No OverridenA GPO linked to the domain that installs the Office suitenEnable Block Inheritance for the Payroll OUnA GPO linked to the Payroll OU to install the accounting applicationnModify the DACL of the GPO linked to the Payroll OU to deny the Apply Group Policy permission for the computer accounts used by the Payroll OU administrators PayrollSalesNwtraders.comTrainingWindows管理规范()过滤器Windows管理规范过滤使管理员可以基于配置,角色或其他标准决定是否在指定计算机或用户上应用一个组策略对象特殊的处理设置l强制处理GPOl慢速链接的GPO处理l环回处理模式l禁用GPO强制组策略的处理如何在客户端强制刷新组策略语法:GPUpdate/Target:Computer|User/Force/Target:Computer|User指定只有用户或计算机策设置已被刷新。在默认情况下,用户和计算机策略设置都被刷新。/Force重新运用所有策略设置。在默认情况下,只有已经改变了的策略设置被应用。组策略和慢速网络连接l组策略能接收慢速连接l组策略使用一种运算法则来确定连接是否为慢速连接l默认设置如果=500k,为慢速连接默认的慢速连接处理客户端扩展客户端扩展慢速连接慢速连接基于注册的设置基于注册的设置打开打开(不能关闭不能关闭)IE界面设置界面设置关闭关闭软件安装设置软件安装设置关闭关闭文件夹重定向设置文件夹重定向设置关闭关闭命令设置命令设置关闭关闭EFS覆盖设置覆盖设置关闭关闭磁盘配额设置磁盘配额设置关闭关闭安全性和加密文件系统覆盖设置安全性和加密文件系统覆盖设置关闭关闭IP安全性设置安全性设置打开打开(不能关闭不能关闭)指定管理组策略目标的域控制器当创建一个新的GPO或编辑一个已存在的GPO时,默认的操作在承担PDC主控的域控制器上执行选择域控制器的选项1.操作主控遵循PDC的竞争原则。2.使用活动目录插件形式。3.使用任何可能的域控制器。指定域控制器方式1.使用在组策略快照中的查看菜单下的DC选项2.在组策略设置中指定使用什么域控制器更改组策略的应用间隔时间管理组策略l拷贝GPOl备份GPOl还原GPOl导入GPOl组策略结果集解决组策略问题组策略对象不能访问或打开组策略对象不能访问或打开Err or组策略设置不发挥预想的功能组策略设置不发挥预想的功能Err or最佳方案限制使用阻止、不重写、筛选限制使用阻止、不重写、筛选GPO限制,特别是域相互使用限制,特别是域相互使用限制影响任一计算机或用户的限制影响任一计算机或用户的GPO数目数目 在单个在单个GPO中与设置相关的组中与设置相关的组在把在把GPO委派给管理员时限制管理员的数目为一至两个。委派给管理员时限制管理员的数目为一至两个。避免把避免把GPO连接到包含多个域的站点上连接到包含多个域的站点上在开始添加在开始添加GPO前规划好如何在网络中执行组策略模型前规划好如何在网络中执行组策略模型
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号