第15章组策略ppt课件

1、第15章 组战略 本章的义务了解什么是组战略，有多个组战略时，组战略的运用顺序了解组战略的创建方法根据企业需求，创建或修正不同级别的组战略运用组战略为企业用户或者计算机制定一致的环境运用组战略一致发布、晋级、修正软件 15.1 组战略引见 15.1.1 了解组战略 Windows组战略是一种在用户或计算机集合上强迫运用一些配置的方法，组战略定义了用户的桌面环境等多种设置。安装了活动目录后，运用组战略可以给同组的计算机或者用户强加一套一致的规范，包括菜单启动项、软件设置等，这样计算机或者用户可以有一样的菜单、一样的快捷方式等等各种配置。组战略依然允许用户在坚持规范的系统配置的同时，也能定制本人的

2、配置。15.1.2各种组战略 本地平安战略与本地战略 :本地平安战略只是本地战略的一部分 。查看本地战略 查看本地战略 查看本地战略 默许域战略默许域战略 ：域战略会运用到整个域，域战略存储在域控制器上 默许域控制器战略 默许域控制器战略是运用到域中的域控制器的 Default Domain Controllers Policy战略，这个战略就是默许域控制器战略，是安装Windows Server 2021时自动创建的、仅运用到域控制器上的战略。 组织单元上的战略 组战略也经常在组织单元上实施，假设我们在这个组织单元上实施组战略，那么这个战略将对这个组织单元中的计算机和用户起作用。 Activ

3、e Directory环境中的各组战略的作用范围 默许或创建的域战略：作用于整个域中的计算机和用户默许或创建的域控制器战略：作用于整个域中的全部域控制器组织单元上的战略：作用于整个组织单元的计算机和用户本地战略：一切的计算机和用户15.1.3 战略的运用顺序 首先是本地战略，然后是域战略，最后是组织单元或者域控制器上的战略，假设组织单元下还有组织单元那么从上级到下级运用各个组织单元上的战略。组战略是可以承继的，组织单元或域控制器会承继域的组战略，下一级组织单元会承继上一级组织单元上的战略。15.1.4 组战略规划 假设是针对一切计算机或者用户的战略，应该在域这一级的战略上设置。假设是针对各部门

4、的战略，应该在组织单元这一级的战略上设置。 15.2 组战略的管理 15.2.1 创建新的组战略 每一计算机上的本地战略都是只能有一个，因此只能编辑本地战略而不能创建本地战略；而域上或组织单元级别上可以有多个组战略，我们可以在一个域上或组织单元上同时运用多个组战略。选择域或者要创建组战略的组织单元，右击鼠标，选择菜单中的“在这个域中创建GPO并在此处链接 15.2.1 创建新的组战略一个是新创建的组战略，该战略优先级为1，优先级最高；另一个组战略是从域承继下来的，优先级为2，优先级较低。 15.2.1 创建新的组战略15.2.2 编辑组战略 组战略的属性 计算机配置是针对计算机做的配置，而不论

5、是哪个用户在该计算机上登录都会生效的；“用户配置是针对用户做的配置，而不论用户是在哪台计算机上登录都会生效的。 组战略的属性 单击“立刻查找按钮可以查找该战略被运用在域中的何处，这对于维护组战略来说是非常重要的。 组战略的属性 可以控制哪些用户对该组战略的控制权限，例如创建子对象，单击“高级按钮可以控制对组战略的审核 设置战略项 设置战略项战略项的三种选择 刷新战略 在域控制器上配置了组战略后，普通的计算机90 分钟刷新组战略，新的组战略才生效；对于域控制器，5 分钟刷新。可以手工进展刷新，语法为：gpupdate /Target:Computer | User /Force 战略的结果集 组

6、战略是如此复杂，以致于我们在设置组战略时能够无法准确知道最后的结果会是怎样，好在微软提供查看组战略结果集的工具 战略的结果集 战略的结果集 战略的结果集 战略的结果集 15.2.3 管理组战略 在Active Directory环境中，我们引见过组战略的运用顺序是：本地战略、域战略、组织单元战略、子组织单元战略；在同一级的组织单元上也可以有多个组战略存在。我们可以管理这些组战略之间的关系。改动组战略的陈列顺序 改动组战略的陈列顺序 :排在列表上面的组战略具有较高的优先级，也就是说上面的组战略会替代下面的组战略。选中相应的战略，单击“和“可以改动这些组战略的陈列顺序，从而改动组战略的优先级。 改

7、动战略的承继关系 默许时，组织单元会承继域上的组战略，子组织单元会承继父组织单元的组战略，然而我们可以改动这一行为。在图选中“阻止承继菜单，那么该组织单元就不会承继域上的组战略 。强迫战略的承继关系 可以强迫战略的承继 ，那么组织单元上采取阻止措施也不能阻止该组战略被承继了 。组战略的设置举例 组策略名称禁止替代“文件”菜单：禁止“另存为”“文件”菜单：禁止“新建”“文件”菜单：禁止“打开”隐藏“收藏”菜单Default Domain Policy启用启用未设置未设置行政部组策略停用未设置启用启用行政部组策略2未设置停用停用未设置结果启用启用停用启用15.3 运用组战略定制用户环境、平安设置

8、15.3.1 设置IE阅读器的主页 15.3.2 设置密码战略 15.3.3 帐户锁定战略 15.3.4 Windows防火墙设置 15.3.5 时间提供程序 15.3.6 制止安装可挪动设备 15.4 运用组战略发布软件 15.4.1 软件部署简介 将软件分配给用户 ：当将一个软件经过组战略分配给域内的用户后，那么用户在域内的任何一台计算机登录时，这个软件都会被“通告给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只需在以下两种情况下，这个软件才会被自动安装：开场运转此软件： 例如用户登录后执行操作：“开场“一切程序单击该软件的快捷方式，或是双击桌面上的快捷方式

9、后，就会自动安装此软件。利用“文件启动功能： 例如假设这个被“通告的程序为Microsoft Excel，当用户登录后，他的计算时机自动将扩展名为.xls的文件与Microsoft Excel关联在一同，此时用户只需双击扩展名为.xls的文件，系统就会自动安装Microsoft Excel。将软件分配给计算机 当将一个软件经过组战略分配给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and SettingsAll Users文件夹内。任何用户登录后，都可以运用此软件。将软件发布给用户 当将一个软件经过组战略发布

10、给域内的用户后，该软件不会自动安装到用户的计算机内，用户需求经过以下两种方式来安装这个软件：执行操作：“开场 “控制面板 “添加或删除程序“添加程序。利用“文件启动功能：举例说，假设这个被发布的软件为,Microsoft Excel，虽然在Active Directory内会自动将扩展名为.xls的文件与Microsoft Excel关联在一同，可是用户登录时，他的计算机不会自动将扩展名为.xls的文件与Microsoft Excel关联在一同，也就是对此计算机来说，扩展名为.xls的文件是一个“未知文件，不过只需用户双击扩展名为.xls的文件，他的计算机就会经过Active Director

11、y得知扩展名为.xls的文件是与Microsoft Excel关联在一同，因此会自动安装Microsoft Excel。 自动修复软件 一个被发布或分配的软件，在安装完成后，假设此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常景象，并且会自动修复、重新安装此软件。删除软件 一个被发布或分配的软件，在用户将其安装完成后，假设不想再让用户运用此软件，只需将该程序从组战略内发布或分配的软件清单删除，并设置下次用户登录或计算机启动时删除，系统会自动删除这个软件。 15.4.2 发布或分配软件 发布或分配软件前的预备任务 ：步骤1：在效力器上创建共享文件夹把文件夹共享出来，

12、确保组战略会影响到的各用户对目录至少具有读的权限。步骤2：在一客户端测试能否可以正常访问共享文件夹。步骤3：预备适宜的被部署软件，把软件拷贝到共享文件夹下，可以根据需求建立子文件夹。组战略对被部署的软件有一定的要求，通常是MSI文件，假设是EXE文件，请按照后面小节引见的方法打包。发布或分配软件 发布或分配软件发布或分配软件发布或分配软件在客户端，以“研发部组织单元下的用户登录到域，从“开场“程序菜单中，应该可以看到“Microsoft ActiveSync菜单，如图。该软件并未实践安装，单击该菜单项可以开场安装。应该把域用户参与到本地的管理员组中，否那么安装软件会失败。 部署EXE软件 有两

13、种方法部署EXE文件，第一种是运用ZAP文件来包装EXE文件第二种是运用MSI文件包装EXE文件。前者容易实现，但是只能发布软件，而不能分配软件，不提供晋级软件功能。该方法实现起来困难，需求运用第三方软件 。运用ZAP文件来包装EXE文件步骤1：把被发布的文件“IE8-WindowsXP-x86-CHS.exe拷贝到共享文件夹下。步骤2：在和EXE同一目录下，创建以“.ZAP为后缀的文件，内容为：ApplicationFriendlyname=TESTSetupcommand=192.168.0.1SoftWare-R&DIE8.0-XPIE8-WindowsXP-x86-CHS.exe步骤3：发布ZAP文件。在组战略的编辑窗口中，依次展开“用户配置“战略“软件设置“软件安装，右击“软件安装新建数据包。在如图15-34窗口的右下角的列表框中选择“ZAW与早期版本运用程序数据包*.ZAP，把ZAP文件进展发布。步骤4：在客户端上，从“控制面板“添加或删除程序“添加新程序窗口，可以看到新发布的程序，双击它就可以进展安装了。 15.4.3 晋级软件 运用组战略对软件进展晋级有两种方法：一种是软件本身可以识别版本，例如Microsoft Office 2007可以检测计算机上安装的Microsoft Office 2003，对于这种软件只需把新版的软件部署即可，用户