第章使用组策略管理用户环境

1、使用组策略管理用户环境 本章概述 本章节主要是和大家介绍了使用组策略管理用户环境的知识和技能。本章介绍使用组策略 管理用户环境所需的知识和技能，具体包括：使用组策略配置“文件夹重定向”、Microsoft In ternet Explorer 网络连接和用户桌面。 教学目标 了解配置组策略设置的相关知识点。 了解使用组策略指派脚本的相关知识点。 了解配置“文件夹重定向”功能的操作。 掌握应用组策略对象( GPO, Group Policy Object )。 教学重点 配置组策略是我们部署组策略的基础，学好配置组策略设置的相关知识及学会使用组 策略指派脚本显的尤为重要。 教学难点 文件夹重定向

2、的功能，对于大多学生来说会是比较陌生的概念，需要仔细讲解。 教学资源 课本 知识点 配置组策略设置 使用组策略指派脚本 配置文件夹重疋向 确定已应用的策略对象 实验 使用组策略报告 练习1为标准桌面计算机创建组策略对象 练习2为“文件夹重定向”创建组策略对象 练习3为便携式计算机创建组策略对象 练习4为桌面计算机创建一个组策略对象 练习 5 生成“ Group Policy Modeling ”报告 练习 6 生成“ Group Policy Results ”报告 习题 习题1对应知识点配置“文件夹重定向” 习题2对应知识点确定已应用的策略对象 习题3对应知识点使用组策略指派脚本 习题4对应

3、知识点确定已应用的策略对象 习题5对应知识点配置组策略设置 教学指 导手册 包 新版幻灯 片 光盘：Powerp nt 习题解答 光盘：Tprepa nswer 先修知识 在正式开始学习本章内容以前，学生须具备下列知识基础。 先修知识 推荐补充 了解2000内核类的 Windows操作系统 的基础知识 Windows 2000 初级管理 建议学时 课堂教学（2课时）+实验教学（1课时） 教学过程 配置组策略设置 教学提示： 本节主要达到以下目的： 了解使用组策略的原因。（略讲） 掌握禁用和启用的组策略设置的操作。（精讲） 掌握编辑组策略设置的操作。（精讲） 教学内容 教学方法 教学提示 讲授：

4、 对用户环境的管理意味着控制用户登录到 网络后能够进行哪些操作。通过组策略控制 用户的桌面、网络连接和用户界面可以达到 管理用户环境的目的。管理员通过管理用户 环境来保证用户拥有执行作业所需的资源， 也要保证用户不能破坏或错误地配置他们 的环境。在集中配置和管理用户环境时，管 理员能够执行以下任务： 管理用户和计算机 即使用户从不同的计算机上登录，管理员也 可以使用基于注册表的策略管理用户桌面 设置，以保证他们能够拥有同样的计算机环 境。管理员能够控制Microsoft Win dows Server 2003管理用户配置文件的方式，包 括如何获得用户的个人数据。通过将本地硬 盘的用户文件夹重

5、定向到服务器的中心位 置，管理员还能够使用户不论在哪台计算机 上登录，都可以使用自己的数据。 举个例子：比如小李是 A公司RND部门的 员工，但因为工作需要，暂时把小李派到公 司的PSS部门进行工作。RND和PSS部门 都在公司的域里。但RND和PSS部门在地 理位置上却相隔很远，所以小李没办法把自 己的台式机搬过去，只能使用PSS暂时提 供给他的机器，这台机器上本没有任何小李 的资料，这会给小李的工作带来很大的不便 禾但通过组策略，小李可以得到和他在 RND的机器上一样的计算机环境。这样就 阅书： 可以保证小李在相同的环境下进行工作了。 部署软件：讲解课本：执行安全设置： 讲解课本：设疋统一

6、的桌面环境：讲解课 本： 讲授： 我们现在需要了解一下已禁用和已启用的 组策略设置。 禁用某项策略设置， 就意味着禁用了该策略 设置能够进行的操作。例如，默认情况下用 户可以访问“控制面板”。因此，为了保证 用户能够访问“控制面板”，无需禁用“禁 止访问控制面板”策略设置，但对于一 些低端用户或者容易被攻击的用户，例如公 司的前台的电脑， 我们就可以设置禁用“控 制面板”以确保她不能随便更改计算机的一 些设置，从而造成一些不必要的损坏，同时 也可以大幅度的保证安全。 启用策略设置就是启用策略设置能够进行 的操作。也就是上面禁用某项策略设置的逆 操作， 组策略对象保存着能够改变该组策略对象 中的

7、用户和计算机注册信息的可选值。策略 设置的默认配置是“未配置”。如需将计算 机或用户策略设置恢复到默认值或恢复到 本地策略，则选择“未配置”选项。例如， 如果为一些客户端启用了某个策略设置，当 使用“未配置” 选项时，该策略将恢复到默 认的本地策略设置。 最后我们再了解一下多值策略设置 讲解课本： 阅书： 演示： 说了这么多，大家现在来看一下我是如何进 行编辑组策略设置的。 演示课本： 阅书： 按照书本内容进行演 示。 演示： 现在大豕根据我们前面说过的内容，进行一 下练习，在练习之前，大家请先看我演示一 次： 演示课本： 阅书： 按照书本内容进行演 示。 使用组策略指派脚本 教学提示： 本节

8、主要达到以下目的 掌握组策略脚本设置。（略讲） 掌握利用组策略指派脚本的操作。（精讲） 教学内容 教学方法 教学提示 讲授： 阅书： VBScript 组策略设置可以用来集中配置计算机开机、 关机及用户登录、注销时自动运行的脚本。 管理员可以通过组策略设置指定任何能够 在 Windows Server 2003中运行的脚本， 包括批处理文件、可执行程序以及Win dows 脚本宿主(WSH Windows Script Host )支 持的脚本程序。 Windows脚本宿主(WSH)是用于32 位 Win dows平台的与语言无关的脚本环境。利 用 WSH Microsoft 提供 VBScr

9、ipt 、 Jscript 和JScript .NET脚本引擎。这些 脚本语言可用于：Web服务器的ASP页、 运行于 In ternetExplorer 中的 HTML 页、 Windows 98 和 Windows 2000 上 Windows 脚本宿主的脚本引擎中。 WSH可使用任何脚本语言使服务器上的管 理任务自动化。例如，管理员可以编写 VBScript以创建一个新的虚拟目录，然后， 利用在后台工作的WSH,从命令行运行脚本 文件，以在 Web站点上创建新的虚拟目录。 此外，管理员可编写单个脚本来面向多个 Web站点或多个物理服务器。 第三方公司为其他语言(如Perl、TCL、REX

10、X 和Python )提供ActiveX脚本引擎。 相关 VBScript, Jscript, JScript .NET 请参照边上的介绍。 现在我们再来看一下组策略脚本设置的优 占： 八、 讲解课本： Microsoft Visual Basic Script ing Edition (VBScript) 是 Microsoft Visual Basic的子 集，如果以前用过 Visual Basic ，您会 发现它看起来非常熟 悉。但是，它并不完 全相同。因为 VBScript 是专门设 计为在 Internet Explorer (IE)浏览 器中工作的，所以它 不包括通常在脚本范 围以

11、外的功能，如文 件访问和打印。但是， 使用带有VBScript 的 FileSystem 对象 来操纵文件，这一点 则是共同的。 VBScript 将活动脚 本应用于各种各样的 环境中，包括IE 中 的Web客户端脚本、 Microsoft Internet 信息服务(IIS)中 的Web服务器脚本、 Microsoft Internet Security and Accelerati on Server (ISA)和 Sun Solaris 。 VBScript 是一种快速、可移植、 已解释的、基于对象 的脚本语言，它处理 的是直接嵌入 HTML 页中的源代码。可使 用 VBScript 为

12、 WSH ASP 和 HTML 页 增添智能和交互功 能。 像 Jscript一样， VBScript 使用 Windows脚本与宿主 应用程序会话。利用 Windows脚本，浏览 器和其他宿主应用程 序不需要针对每个脚 本组件的特殊集成代 码。Windows脚本允 许宿主编译脚本、获 取和调用入口点、管 理开发人员可使用的 命名空间。 VBScript 是松类型 化语言。松类型化意 味着不必显式声明变 量的数据类型。事实 上，也无法在 VBScript 中显式声 明数据类型。而且， 在许多情况下， VBScript根据需要 自动执行转换。例如， 如果向由文本组成的 项（字符串）中添加 数字，

13、则该数字会转 换成文本。 JScript Microsoft JScript 是为Web页脚本设 计的。JScript 遵循 ECMA 262语言规范。 JScript是专门面向 In ternet的功能强 大的脚本语言。像 VBScript 一样， JScript是一种已解 释的、基于对象的脚 本语言，它处理的是 直接嵌入HTML页中 的源代码。JScript 可在 Internet Explorer禾口 Netscape浏览器上 运行。 像 VBScript 样， JScript 使用 Windows脚本宿主与 宿主应用程序会话。 利用Windows脚本 宿主，浏览器和其他 宿主应用程序不

14、需要 针对每个脚本组件的 特殊集成代码。 Windows脚本宿主允 许宿主编译脚本、获 取和调用入口点、管 理开发人员可使用的 命名空间。 JScript是松类型化 语言。松类型化意味 着不必显式声明变量 的数据类型。事实上， 您也无法在 Jscript 中显式声明数据类 型。而且，在许多情 况下，JScript 根据 需要自动执行转换。 例如，如果向由文本 组成的项（字符串） 中添加数字，则该数 字会转换成文本。 JScript .NET JScript .NET是 Microsoft的 ECMA 262语言实现的下一 代，它是结合 ECMAScript Editi on 4 一起开发的。匕

15、被 设计成在公共语言运 行库中运行，以便管 理代码的执行并提供 使开发过程更方便的 服务。利用 JScript .NET ，可以 获得多种功能，如跨 语言集成，跨语言异 常处理，增强的安全 性，版本和部署支持， 用于组件交互的简化 模型，以及调试和分 析服务。 JScript .NET 将传统 的JScript（它向后 完全兼容）的现有功 能集与公共语言运行 库和基于类的语言的 最佳功能结合在一 起，可为您提供世界 上最好的功能。 JScript .NET 中的改 进涉及以下内容：真 正的编译代码、类型 化和无类型变量、类 （具有继承、函数重 载、属性访问器等）、 包、跨语言支持和 对.NET

16、 Framework 的访问。 演示： 现在大家再来看看我是怎么进仃使用组策 阅书： 根据书本内容进行演 示。 略指派脚本的方法的： 演示课本 演示： 现在大豕根据我们前面说过的内容，进行一 下练习，在练习之前，大家请先看我演示一 次： 演示课本： 阅书： 按照书本内容进行演 示。 配置“文件夹重定向” 教学提示： 本节主要达到以下目的： 了解“文件夹重定向”的概念及哪些文件夹可以重定向。（略讲） 掌握配置“文件夹重定向”的相关操作和设置。（精讲） 教学内容 教学方法 教学提示 讲授： 文件夹重定向就是将文件夹的存储位置从 用户的本地计算机硬盘更改到网络文件服 务器上的共享文件夹。 将文件夹重

17、定向到文 件服务器后，从用户的角度看来，该文件夹 似乎仍然存储在本地硬盘上。 其实现在市面上也有很多软件也能完成这 样的功能。比如说网易推出的网络邮盘，QQ 推出的网络硬盘等， 都能让你在任何只要有 网络的地方就能得到你存储在相应目录内 的资源。 现在我们来看一下使用文件夹重定向的优 点是什么： 讲解课本： 阅书： 讲授： 可以重定向的文件夹包括：“我的文档”、 “ Application Data 、“桌面”以及“开 始菜单”。组织应当重定向这些文件夹， 以保护重要的用户数据和设置。根据组织的 不冋需求，重定向这些文件夹能够为组织带 来不同的好处。现在我们来具体说一下： 讲解课本： 阅书：

18、一边讲解一边进行相 对应的演示。 讲授： “文件夹重定向”有三个可用的设置：无、 基本、冋级。基本文件夹重疋向供需要 将文件夹重定向到公共区域的用户或者要 求数据专用的用户使用。书上分别介绍了基 本文件夹重定向和咼级文件夹重定向的内 容： 讲解课本： 阅书： 讲授： 配置“文件夹重定向” 时的安全注意事项也 是我们必须注意的，毕竟我们将本地的文件 通过网络传输到远程的一个服务器上，这当 中就会产生风险。我们来看一下如何避免这 阅书： 些风险 讲解课本： 演示： 现在大家再来看看我是怎么进行配置“文件 夹重定向”的方法的： 演示课本： 阅书： 演示： 现在大豕根据我们前面说过的内容，进行一 下练

19、习，在练习之前，大家请先看我演示一 次： 课堂演示： 阅书： 确定已应用的策略对象 教学提示： 本节主要达到以下目的: 掌握gpupdate ”命令和 理解组策略报告的概念 理解组策略模拟的概念 理解组策略结果的概念 gpresult ”命令。（略讲） 及使用组策略报告的方法 及使用组策略模拟的方法 及使用组策略结果的方法 （略讲） （略讲） （略讲） 教学内容 教学方法 教学提示 讲授： gpupdate是用于刷新本地组策略设置和 Active Directory中存储的组策略设置（包 括安全设置）的命令行工具。默认情况下， 工作站或服务器上的安全设置每90分钟刷 新一次，域控制器每5分钟刷

20、新一次。通过 运行 gpupdate ，可以测试组策略设置或 执行组策略设置，我们看一下书上对它的实 例和参数介绍： 讲解课本： 阅书： 参考连接： 讲授： 由于可能对用户或计算机重叠应用策 略设置，所以组策略登录时会产生一个策略 结果集。gpresult用于显示计算机上特 定用户登录时执行的策略结果集。 gpresult命令显示用户或计算机的组策 略设置和策略的结果集（RSoP , Resultant Set of Policy ）数据。“ gpresult ”命令可以 用于查看有效的策略设置并找出问题所 在。我们看一下书上对它的实例和参数介 绍： 讲解课本： 阅书： 参考连接： 演示： 现

21、在大豕根据我们前面说过的内容，进行一 下练习，在练习之前，大家请先看我演示一 次： 演示课本： 阅书： 讲授： 系统管理员可能已经对某个组策略对象进 阅书： 行了上白次修改。 为了在不打开组策略对象 以及不展开每个文件夹的情况下确认对组 策略对象所做的修改，可以生成一个 HTML (Hypertext Markup Language ，超文本标记 语言)格式的报告，列出组策略对象中已配 置的项目。： 讲解课本： 演示： 现在大家再来看看我是怎么进仃使用组策 略报告的方法的： 演示课本： 阅书： 演示： 现在大豕根据我们前面说过的内容，进 行 下练习， 在练习之前， 大豕请先看我演 示一次： 课

22、堂演示： 阅书： 讲授： 在部署将要应用到用户和计算机上的组策 略对象之前，Win dows Server 2003 允许管 理员提前进行模拟部署。模拟将生成一份报 告，内容包括用户的组织单位、计算机的组 织单位和任何组成员身份或WMI (Windows Management Instrumentation )筛 选。报告还包括所有组策略继承冋题或冲突 讲解课本： 阅书： 演示： 现在大家再来看看我是怎么进行使用 “ Group Policy Modeling ”的方法的： 演示课本： 阅书： 演示： 现在大豕根据我们前面说过的内容，进行一 下练习，在练习之前，大家请先看我演示一 次： 演示课

23、本： 阅书： 讲授： Group Policy Results ” 中显示的数据 与Group Policy Modeling ”中的数据非常 相似。但是，与 Group Policy Modeli ng ” 数据的区别在于，Group Policy Results ”数据不是模拟的结果，而是从目 标计算机获得的实际RSoP数据。默认情况 下，Microsoft Win dows XP 上所有用户都 有访问这个数据的权限，但Win dows Server 2003用户没有该权限。 演示： 现在大家再来看看我是怎么进行使用 “ Group Policy Results ”的方法的： 演示课本：

24、演示： 现在大豕根据我们前面说过的内容，进 行 下练习， 在练习之前， 大豕请先看我演 示一次： 演示课本： 总结 经过本章的学习，我们了解了下列的知识和内容： 了解配置组策略设置的相关知识点。 了解使用组策略指派脚本的相关知识点。 了解配置文件夹重定向”功能的操作。 掌握确定已应用组策略对象(GPO, Group Policy Object )。 在第8章中，我们将学习应用管理模板和审核策略的知识，了解如何使用Win dows Server 2003 进行应用管理模板和审核策略的操作。 随堂练习 1.你是公司网络的管理员。网络包含一个单独的活动目录域。所有的服务器运行 Win dows Se

25、rver 2003。所有的客户端使用Win dows XP Professio nal。网络包括一 个域控制器Server1 ,你在一台客户机 Client1上创建预先配置好的用户配置文件。 你要确保所有的用户首次登录到网络时收到预先配置好的用户配置文件。所有的用 户依然能够个性化设置他们的桌面环境。你应当如何做 A. 将用户配置文件从 Client1 上拷贝到 Sever1netlogonDefault User B. 将用户配置文件从 Client1上拷贝到Sever1netlogonDefault User。将所有活动 目录用户的用户配置文件路径改为Sever1netlogo nDefa

26、ult User C. 将用户配置文件从 Client1 上拷贝到 C : Documents and SettingsDefault User 文 件夹。在网络上共享改文件夹 D. 在活动目录中创建文件夹重定向策略 答案：A 分析： 网络登录服务使用用户配置文件作为登录进程脚本。将预先配置好的用户配置文件在 用户首次登录到网络时分配给每个网络用户。你只需将用户配置文件从Clie nt1上拷 贝到Sever1netlogo nDefault User即可。这样设置使用户依然能够个性化设置他 们的桌面环境。 2 .你是公司网络的管理员。网络包含一个单独的活动目录域。所有的服务器运行 Win do

27、ws Server 2003 。一些的客户端使用 Win dows XP Professio nal ，其余的客户 端使用 Windows 2000 Professional。所有的销售部账户保存在Sales管理单元 (OU )。为了保存漫游用户配置文件，你在成员服务器Sever1上创建共享文件夹 Profile。你分配给 Everyone组完全控制权限。你要为所有 Sale OU用户账户创建 用户配置文件。你应当如何做 A. 选择所有Sales OU的用户账户。修改账户属性定义Sever1Profiles%username% 为 配置文件路径 B. 选择所有Sales OU的用户账户。修改账户属性定义Sever1Profiles 为配置文件路径 C. 创建组策略对象(GPO )连接到Sales OU。在GPO的用户配置文件节中配置文件夹重定向 到 Sever1Profiles 在GPO的用户配置文件节中配置 D.创建组策略对象（GPO ）连接到 Domain Controllers OU 文件夹重定向到Sever1Profiles 答案： A 分析： 用户登录