组策略概述-PowerPoint演示文稿

1、第第11章章 组策略组策略 11.1 组策略概述组策略概述 11.2 管理模板策略的设置管理模板策略的设置 11.3 Windows 设置策略的管理设置策略的管理 11.4 通过软件设置策略部署应用程序通过软件设置策略部署应用程序本章学习目标本章学习目标 组策略概述组策略概述 管理模板策略的设置管理模板策略的设置 Windows 设置策略的管理设置策略的管理 通过软件设置策略部署应用程序通过软件设置策略部署应用程序返回本章首页返回本章首页11.1 组策略概述组策略概述 11.1.1 组策略对象组策略对象 11.1.2 组策略的应用顺序与规则组策略的应用顺序与规则返回本章首页返回本章首页组策略包

2、括：计算机配置、用户配置组策略包括：计算机配置、用户配置其组策略包含以下内容：其组策略包含以下内容： 1）管理模板：包括）管理模板：包括Windows组件、网络、桌组件、网络、桌以及任务栏和开始菜单等相关的策略。以及任务栏和开始菜单等相关的策略。 2）Windows设置：包括脚本、安全设置（户设置：包括脚本、安全设置（户策略和本地策略）等相关的策略。策略和本地策略）等相关的策略。 3）软件设置：包括软件安装策略，可以进应）软件设置：包括软件安装策略，可以进应用程序的指派与发布。用程序的指派与发布。11.1.1 组策略对象组策略对象图11-1 “组策略”选项卡1更改组策略更改组策略（1）选择）选

3、择“开始开始”“程序程序”“管理工管理工具具”“Active Directory用户和计算机用户和计算机”选项，选项，选择选择“属性属性”“组策略组策略”命令。命令。（2）选定）选定“Default Domain Controllers Policy”，然后单击然后单击“编辑编辑”按钮。按钮。（3）打开如图）打开如图11-2所示的所示的“组策略组策略”窗口后，然窗口后，然后双击窗口右侧的后双击窗口右侧的“在本地登录在本地登录”。（4）出现如图）出现如图11-3所示的对话框时，单击所示的对话框时，单击“添添加加”按钮，选择按钮，选择Domain Users组以便让所有的域组以便让所有的域用户都具

4、备用户都具备“在本地登录在本地登录”的权利。完成后单击的权利。完成后单击“确定确定”按钮关闭此对话框。按钮关闭此对话框。（5）返回）返回“组策略组策略”窗口时，请关闭此窗口。窗口时，请关闭此窗口。（6）返回）返回“Domain Controllers属性属性”对话框，对话框，单击单击“确定确定”。 图11-2 组策略窗口图11-3 有“在本地登录”权限的用户和组 2验证更改组策略的有效性验证更改组策略的有效性（1）在服务器端，以）在服务器端，以administrator账户登录。账户登录。（2）依次选择）依次选择“开始开始”“程序程序”“管理工管理工具具”“Active Directory用户

5、和计算用户和计算”选项，从选项，从中选择中选择“新建新建”“用户用户”命令添加一个一般的命令添加一个一般的用户账户。用户账户。（3）完成后，注销）完成后，注销administrator，然后等待此然后等待此组策略生效。组策略生效。（4）重新登录时，请用刚建立的域用户登录，）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。此时应该可以正常登录成功。返回本节返回本节11.1.2 组策略的应用顺序与规则组策略的应用顺序与规则（1）如果是在高层容器内建立了组策略，则低）如果是在高层容器内建立了组策略，则低层容器会继承在高层容器内所建立的组策略。层容器会继承在高层容器内所建立的组策略。（2

6、）如果在低层的容器内建立了组策略，则此）如果在低层的容器内建立了组策略，则此组策略内的设置默认会替代由其高层的父容器所组策略内的设置默认会替代由其高层的父容器所传递下来的组略。传递下来的组略。 （3）如果在父容器的某个策略被设为）如果在父容器的某个策略被设为“未被配未被配置置”，则子容器并不会继承这个策略。，则子容器并不会继承这个策略。 （4）如果在父容器的组策略内的某个设为）如果在父容器的组策略内的某个设为“启用启用”或或“禁用禁用”，则子容器会继承这个设置。，则子容器会继承这个设置。（5）直接以子容器的组策略为其设置。）直接以子容器的组策略为其设置。（6）在父容器的组策略内，通过）在父容器

7、的组策略内，通过“禁止替代禁止替代” 子容器必须继承由父容器传递的组策略设置。子容器必须继承由父容器传递的组策略设置。返回本节返回本节11.2 管理模板策略的设置管理模板策略的设置 11.2.1 设置管理模板策略设置管理模板策略 11.2.2 设置组策略的替代功能设置组策略的替代功能返回本章首页返回本章首页图11-4 组策略示例返回本节返回本节11.2.1 设置管理模板策略设置管理模板策略（1）在）在“Active Directory中，选择中，选择“属属性性”“组策略组策略”“新建新建”命令，添加一个命令，添加一个GPO，命名为命名为“xuexiao Policy”。（2）在如图在如图11-

8、5所示的对话框中，单击所示的对话框中，单击“编编辑辑”。（3）在如图）在如图11-6所示的所示的“组策略组策略”窗口中，选窗口中，选择择“用户配置用户配置”“管理模板管理模板”“任务栏和任务栏和开始开始菜单菜单”选项。选项。（4）在如图）在如图11-6所示选择所示选择“用户配置用户配置”“管管理模板理模板”“桌面桌面”。（5）完成后，关闭）完成后，关闭“组策略组策略”窗口。窗口。（6）单击）单击“关闭关闭”按钮，结束组策略设置。按钮，结束组策略设置。图11-5 添加新的组策略图11-6 设置组策略 图11-7 设置策略的是否启用返回本节返回本节11.2.2 设置组策略的替代功能设置组策略的替代

9、功能（1）在）在“Active Directory用户和计算用户和计算” 选择选择“属性属性”“组策略组策略”“新建新建”选项，添加一选项，添加一个个GPO，命名为命名为“9901 Poliicy”，单击单击“编辑编辑”按钮。按钮。（2）在）在 “组策略组策略” 中选择中选择“用户配置用户配置”“管管理模板理模板”“任务栏和任务栏和开始开始菜单菜单”，选择，选择“禁用禁用”，单击，单击“确定确定” 。（3）在）在 “组策略组策略”中选择中选择“用户配置用户配置”“管管理模板理模板”“桌面桌面”。选择。选择“禁用禁用”，单击，单击“确确定定”。关闭。关闭“组策略组策略”窗口。单击窗口。单击“关闭

10、关闭”结束结束组策略设置。组策略设置。返回本节返回本节11.3 Windows 设置策略的管理设置策略的管理 11.3.1 账户策略的设置账户策略的设置 11.3.2 本地策略的设置本地策略的设置 11.3.3 登录登录/注销、启动注销、启动/关闭脚本关闭脚本返回本章首页返回本章首页图11-8 账户策略的设置11.3.1 账户策略的设置账户策略的设置1密码策略的设置密码策略的设置（1） 密码最长存留期密码最长存留期 （2）密码最短存留期）密码最短存留期（3） 密码长度最小值密码长度最小值（4）强制密码历史）强制密码历史2账户锁定策略的设置账户锁定策略的设置 账户锁定阈值账户锁定阈值 账户锁定时

11、间账户锁定时间 复位账户锁定计数器复位账户锁定计数器 图11-11 设置账户锁定策略图11-9 设置密码策略图11-10 “密码最长存留期”的设置返回本节返回本节11.3.2 本地策略的设置本地策略的设置 审核目录服务访问审核目录服务访问 审核登录事件审核登录事件 审核对象访问审核对象访问 审核策略更改审核策略更改 审核特权使用审核特权使用 审核账户登录事件审核账户登录事件 审核账户管理审核账户管理 审核账户管理审核账户管理 审核过程追踪审核过程追踪1审核策略的设置审核策略的设置2用户权利指派策略的设置用户权利指派策略的设置（1）在本地登录；（）在本地登录；（2）域中添加工作站；（）域中添加工

12、作站；（3）关闭系统；（关闭系统；（4）从网络访问此计算机；（）从网络访问此计算机；（5）从）从远端系统强制关机；（远端系统强制关机；（6）备份文件和目录；（）备份文件和目录；（7）还原文件和目录；（还原文件和目录；（8）管理审核和安全日志；）管理审核和安全日志；（9）更改系统时间；（）更改系统时间；（10）装载和卸载设备驱）装载和卸载设备驱动程序；（动程序；（11）取得文件或其他对象的所有权）取得文件或其他对象的所有权 3安全选项策略的设置安全选项策略的设置 登录屏幕上不要显示上次登录的用户名登录屏幕上不要显示上次登录的用户名 允许在未登录前关机允许在未登录前关机 在密码到期前提示用户更改密

13、码在密码到期前提示用户更改密码 禁用按禁用按Ctrl+Alt+Del进行登录的设置进行登录的设置 用户试图登录时消息文字与用户试图登录时用户试图登录时消息文字与用户试图登录时消息标题消息标题 返回本节返回本节11.3.3 登录登录/注销、启动注销、启动/关闭脚本关闭脚本1登录登录/注销脚本的设置注销脚本的设置（1）准备好登录与注销脚本。）准备好登录与注销脚本。（2）在）在“Active Directory用户和计算机用户和计算机” 中选中选择择 “组策略组策略”命令，选定命令，选定GPO，双击双击 “登录登录”图标。图标。（3）单击）单击“显示文件显示文件”按钮。按钮。（4）先切换到）先切换到

14、“Windows资源管理器资源管理器”并选定并选定登录脚本，选择登录脚本，选择“复制复制” 、“粘贴粘贴”命令。命令。（5）返回到图）返回到图11-14所示的对话框后，单击所示的对话框后，单击“添添加加”。（6）出现图）出现图11-16所示的对话框时，单击所示的对话框时，单击“浏览浏览”按钮，按钮，7）返回到图）返回到图11-14所示的对话框时，单击所示的对话框时，单击“确定确定”按钮。按钮。（8）回到图）回到图11-13所示的窗口，单击画面右方的所示的窗口，单击画面右方的“注销注销”图标，然后重复步骤（图标，然后重复步骤（2）（6），以），以便设置注销脚本。便设置注销脚本。图11-13 设置

15、登录和注销脚本图11-14 “登录属性”对话框图11-15 复制登录脚本图11-16 指定登录脚本2启动启动/关闭脚本的设置关闭脚本的设置（1）创建一个名称为）创建一个名称为startup.bat的启动脚本。的启动脚本。（2）在）在“Active Directory用户和计算机用户和计算机”对话对话框中，选择框中，选择“属性属性”“组策略组策略”命令，选定命令，选定GPO后，出现图后，出现图11-17所示的窗口，双击所示的窗口，双击 “启动启动”图标。图标。（3）单击）单击“显示文件显示文件”按钮。按钮。（4）切换到）切换到“Windows资源管理器资源管理器”中，选择中，选择“复制复制” 粘

16、贴粘贴”命令，将登录脚本复制到该窗命令，将登录脚本复制到该窗口中后关闭窗口。口中后关闭窗口。（5）单击）单击“添加添加”按钮。按钮。（6）出现类似图）出现类似图11-16所示的对话框，单击所示的对话框，单击“浏浏览览”按钮，从按钮，从startup文件夹内选定登录脚本。如文件夹内选定登录脚本。如果你的脚本需要输入参数，则在果你的脚本需要输入参数，则在“脚本参数脚本参数”文文本框中输入参数，完成后单击本框中输入参数，完成后单击“确定确定”按钮。按钮。（7）单击）单击“确定确定”按钮。按钮。（8）回到图）回到图11-17所示的窗口后，单击画面右方所示的窗口后，单击画面右方的的“关机关机”图标，然后

17、重复步骤（图标，然后重复步骤（2）（6），），以便设置以便设置“关机脚本关机脚本”。图11-17 设置启动和关机脚本返回本节返回本节11.4 通过软件设置策略部署应用程序通过软件设置策略部署应用程序 11.4.1 给用户发布或指派应用程序给用户发布或指派应用程序 11.4.2 给计算机指派应用程序给计算机指派应用程序 11.4.3 更改部分应用程序的设置更改部分应用程序的设置返回本章首页返回本章首页通过软件设置策略，可以为用户与计算机来部署通过软件设置策略，可以为用户与计算机来部署应用程序。应用程序。 1、将应用程序发布或指派给用户。、将应用程序发布或指派给用户。2、将应用程序指派给计算机。、

18、将应用程序指派给计算机。3、自动修复应用程序。、自动修复应用程序。4、删除用户的应用程序。、删除用户的应用程序。 11.4.1 给用户发布或指派应用程序给用户发布或指派应用程序1给用户发布或指派应用程序给用户发布或指派应用程序2安装被发布或指派应用程序安装被发布或指派应用程序（1）利用）利用administrator账户登录到域控制器。账户登录到域控制器。（2）在域控制器上建立一个文件夹，设为共享）在域控制器上建立一个文件夹，设为共享文件夹。文件夹。（3）将）将Windows 2000CD文件夹内的所有文件复文件夹内的所有文件复制到共享文件夹内。制到共享文件夹内。（4）依次选择）依次选择“开始

19、开始”“程序程序”“管理工管理工具具”“Active Directory用户和计算用户和计算”选项，打选项，打开对话框，选择开对话框，选择“属性属性”“组策略组策略”命令，选命令，选定定GPO，软件安装软件安装”选项，打开如图选项，打开如图11-18所示所示的窗口。的窗口。1给用户发布或指派应用程序给用户发布或指派应用程序（5）将）将 “软件安装软件安装”中弹出的选择中弹出的选择“属性属性”命命令。出现如图令。出现如图11-19所示的对话框，在所示的对话框，在“默认程默认程序包位置序包位置” 用用UNC路径。路径。（6）将鼠标指向）将鼠标指向“软件安装软件安装” 中选择中选择“新新建建”“程序

20、包程序包”命令。出现如图命令。出现如图11-20所示的所示的窗口，单击窗口，单击“打开打开”按钮。按钮。（7）出现图）出现图11-21所示的对话框时，在所示的对话框时，在“选择部选择部署方法署方法”选择区中选择，然后单击选择区中选择，然后单击“确定确定”按钮。按钮。（8）出现图）出现图11-22所示的窗口，图中右方的所示的窗口，图中右方的“WinINSTALL LE”己被发行成功。己被发行成功。图11-18 软件安装图11-19 “软件安装属性”窗口 图11-20 选择程序包图11-21 选择部署方式图图11-22 “WinINSTALL LE”发行成功发行成功2安装被发布或指派应用程序安装被发布或指派应用程序（1）注销，然后利用域内的用户账户来登录。）注销，然后利用域内的用户账户来登录。 （2)依次单击依次单击“开始开始”“设置设置”“控