北大青鸟系统管理PPTCHAP组策略

1、第7章内容回顾备份类型有哪几种 系统状态数据包含哪些内容还原DC的系统状态数据的主要步骤制定任务计划要主要哪些要素1组策略第8章本章目标利用组策略管理域中的计算机和用户工作环境，实现软件分发理解组策略作用 掌握组策略继承与阻止继承操作 理解组策略应用顺序 掌握组策略强制生效、筛选组策略设置 掌握软件分发方式：指派与发布 3本章结构组策略概念应用规则软件设置组策略作用组策略结构组策略简单应用继承与阻止继承累加应用顺序组策略计算机配置/用户配置强制生效筛选分发软件修复软件删除软件升级软件4组策略的作用2-1方便地管理AD中的计算机和用户 用户桌面环境计算机启动/关机与用户登录/注销时所执行的脚本文

2、件软件分发安全设置域域控制器组策略活动目录5组策略的作用2-2使用组策略可以对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境降低布置用户和计算机环境的总费用因为只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性推行公司使用计算机规范桌面环境规范安全策略组策略适用哪些操作系统6组策略结构3-1 组策略的具体设置数据保存在GPO中 默认的2个GPO默认域策略 默认域控制器策略 GPO所链接的对象 SDOUGPO控制SDOU中的计算机和用户 SDOUGPO计算机用户组策略7组策略结构3-2站点的概念 活动目录中的站点是从物理上抽象的概念 由

3、一个或几个通过高速联接在一起的IP子网组成 站点和域的关系一个站点中可以有多个域 一个域中可以有多个站点站点的主要作用 优化复制 使用户能够使用可靠、高速的连接登录到域控制器上 8组策略结构3-3GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构 查看GPC和GPT9组策略简单应用 BENET公司要求销售部的员工不能随意更改桌面背景 步骤1 ）右击销售部OU|【属性】|【组策略】，单击【新建】，输入GPO的名字为“销售部GPO”2 ）打开【组策略编辑器】，选择“阻止更改

4、墙纸”3）双击“阻止更改墙纸”，启用该策略，然后关闭【组策略编辑器】 10计算机配置与用户配置2-1 计算机配置软件设置Windows设置脚本安全设置 管理模板Windows 组件系统网络打印机 查看计算机配置11计算机配置与用户配置2-2 用户配置软件设置Windows设置远程安装服务脚本（登录/注销）安全设置文件夹重定向IE浏览器维护管理模板Windows 组件任务栏和【开始】菜单桌面控制面板共享文件夹网络系统查看用户配置12阶段总结组策略有哪些作用组策略适用哪些操作系统默认的2个GPO是什么站点和域的关系组策略包含哪些内容13阶段练习背景BENET公司为了统一公司的桌面设置，所有域用户不

5、能随意修改背景如何利用组策略实现此功能目标组策略的作用修改GPO组策略的用户配置14组策略应用规则 继承与阻止继承 累加 应用顺序 强制生效 筛选 15继承与阻止继承在默认情况下，下层容器会继承来自上层容器的GPO（组策略对象）例如销售部OU的GPO中设置IE主页URL为北京销售部OU中的用户登录客户机后，IE的主页地址为“” 子容器可以阻止继承上级的组策略例如销售部OU的GPO中设置主页URL为右击北京销售部|【属性】|【组策略】选项卡，选中【阻止策略继承】选项 北京销售部OU中的用户登录客户机后，IE的主页地址不是“” 验证继承和阻止继承16累加容器的多个组策略设置如果不冲突，则最终的有效

6、策略是所有组策略设置的总和容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略组策略设置是否冲突OU的有效设置域：IE主页设置为OU：已启用“阻止更改墙纸”否IE主页设置为阻止更改墙纸域：已启用“阻止更改墙纸”OU：已禁用“阻止更改墙纸”是可以更改墙纸验证累加效果17应用顺序本地组策略对象 每台运行 Windows XP/2000/2003 的计算机都只有一个本地组策略对象打开本地GPO的2种方法MMC和gpedit.msc组策略按以下顺序被应用： LSDOU1）首先本地组策略对象 2）如果有站点组策略，则应用之 3）然后应用域组策略对象4）如果计算机或用户属于某个OU，则应用之5

7、）如果计算机或用户属于某个OU的子OU，则应用之18销售部工程部域强制生效冲突 GPO 设置“强制生效”的 GPO 设置强制生效是上级容器强制下级容器执行其GPO设置如果销售部OU阻止继承域的策略或者销售部OU与域的GPO设置冲突 销售部应用域的GPO设置验证强制生效效果强制生效19域销售部salemanager Sales不受GPO影响受GPO影响筛选组策略设置GPO 设置筛选可以阻止一个GPO应用于容器内的特定计算机和用户 验证筛选效果设置读取和应用组策略的权限 允许拒绝20阶段总结下层容器默认继承来自上层容器的GPO子容器可以阻止继承上级的组策略如果不冲突，则最终的有效策略是所有组策略设

8、置的总和如果冲突，则后应用的组策略覆盖先应用的组策略组策略按以下顺序被应用： LSDOU上级容器的GPO强制生效21利用GPO实现软件设置分发软件 修复软件删除软件 升级软件 22分发软件分发软件的步骤 1）获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件2）将软件安装文件放到一个软件分发点3）创建或修改GPO指派与发布的区别指派， 程序在【开始】菜单中发布， 程序显示在【控制面板】|【添加/删除程序】中 分发Windows2003管理工具包软件23修复软件如果用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复如果原来软件分发点上的安装文件发生丢失

9、或损坏在服务器上修复该软件的源文件重新部署一次 24删除软件【立即从用户和计算机卸载软件】：下一次用户登录或计算机启动时，软件会被强制删除【允许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不允许重新安装 25升级软件举例Office2000升级到Office2003Visio2000升级到visio2002强制升级会强制用户将当前软件升级到新的版本可选升级允许用户同时使用一个应用程序的两个版本26阶段总结软件设置分为：分发、修复、删除、升级分发软件:指派与发布的区别删除软件的两种方法是什么升级软件的两种方法是什么27阶段练习背景BENET公司需要为域中的每个用户安装

10、“Windows Server 2003管理工具包”如何使用组策略实现此功能目标：组策略的软件设置修改GPO指派软件与发布软件28本章总结组策略概念应用规则软件设置组策略作用组策略结构组策略简单应用继承与阻止继承累加应用顺序组策略计算机配置/用户配置强制生效筛选分发软件修复软件删除软件升级软件GPO,SDOUGPC,GPT计算机配置对容器中的计算机起作用用户配置对容器中的用户起作用 LSDOU上级容器的GPO强制生效 筛选可以实现阻止一个GPO应用于容器内部的特定计算机和用户 1.获取Windows安装程序包文件2.将软件安装文件放到一个软件分发点 3.创建或修改GPO 29实验任务1 组策略简单应用 任务2 利用GPO分发Windows 2003管理工具包 30任务1 组策略简单应用 背景BENET公司为了统一公司的桌面设置，所有域用户不能随意修改背景如何利用组策略实现此功能完成标