组策略-高级篇课件

组策略（高级篇）组策略（高级篇）1内容组策略继承及冲突处理慢速链接的组策略组策略的其他设置设计和管理组策略内容组策略继承及冲突处理2重、难点重点：组策略的继承（阻止继承、禁止替代）组策略的权限筛选难点：组策略对象的继承的设计组策略的设计重、难点重点：3任务一组策略继承和冲突处理1、一般继承与处理规则组策略的配置具有继承性:若父容器的某个策略被配置,但其子容器的策略未被配置,则子继承父容器配置值.若子容器的某个策略被配置,则此配置值会覆盖由父容器传递下来的配置值.组策略的配置具有累加性的：例如:”业务部”OU内建立了GPO,同时在域、站点内也有GPO，则所有配置值累加起来是最后有效值。任务一组策略继承和冲突处理1、一般继承与处理规则4组策略冲突的处理当Site，Domain，OU之间的组策略发生冲突时，以处理顺序在后的GPO优先，系统处理GPO的优先顺序是：站点GPO、域GPO、OU的GPO如果所有的组策略对象不发生冲突，同时应用。当同一对象连接到多个GPO时，所有GPO配置将被累加起来。若策略的设置发生冲突，以排在前面的GPO优先。组策略冲突的处理当Site，Domain，OU之间的组策略发5冲突的处理系统先处理“计算机配置”,再处理“用户配置”,若有冲突,虽然“用户配置”处理顺序在后，但是大部分情况下以“计算机配置”优先GPO内个策略未配置与启用或禁用不会产生冲突关系。冲突的处理系统先处理“计算机配置”,再处理“用户配置”,若62、例外的继承性设置“阻止继承”设置“禁止替代”设置筛选2、例外的继承性设置“阻止继承”7设置“阻止策略继承”

阻止策略继承：禁止从所有的高层继承GPO无法选择针对哪些GPO，全部都禁止继承针对的是某一层次不能阻挡“禁止替代”设置“阻止策略继承” 阻止策略继承：8设置“禁止替代” 禁止替代：不管是否冲突，或者是否有“阻止继承”，始终生效针对的是具体某个组策略对象，而不是针对某个容器所有的GPO。高的“禁止替代”会覆盖低的“禁止替代”。应该设置在较高层次设置“禁止替代” 禁止替代：9

筛选组策略设置GPO的配置默认是被应用到这个容器内的所有用户与计算机默认用户等对象对该容器的GPO具有“读取”与“应用组策略”权限，查看方法：GPO->属性->安全也可使GPO对容器内特定的计算机/用户/组不生效使特定用户与计算机没有“读取”和“应用组策略”的基本权限，把这些用户添加到安全，设为“拒绝”即可注：只有在组策略中具有读取和应用权限的对象才会应用组策略。设置筛选组策略筛选组策略设置注：只有在组策略中具有读取和应用权限的对象才103、特殊处理的设置慢速链接的GPO处理环回处理模式禁用GPO3、特殊处理的设置慢速链接的GPO处理11慢速链接的GPO处理可以设置让域内的计算机自动探测他们与域控制器之间的链接速度是否太慢,如果太慢,可以设置不要应用位于域控制器内的组策略.如图所示:慢速链接的GPO处理可以设置让域内的计算机自动探测他们与域控12慢速链接的GPO处理定义了即使慢速连接也要做软件安装策略处理慢速链接的GPO处理定义了即使慢速连接也要做软件安装策略处理13环回处理模式系统会根据用户或计算机帐户在AD内的位置,来决定如何将GPO配置值应用到用户或计算机.实例:计算机帐户Server1->服务器OU(“服务器GPO”组策略)

用户帐户Jackie->业务部OU(“业务部GPO”组策略)当用户Jackie在Server1登录域时,用户环境由“业务部GPO”中的“用户配置”决定,而计算机环境由“服务器GPO”中的“计算机配置”来决定.但是在“业务部GPO”中的“用户配置”内,设置了位于“业务部”OU用户登录,自动安装某个应用程序,所以用户在任何一台计算机上登录系统都将为其安装应用程序.现不想替此用户在这台重要服务器Server1内安装,用“环回处理模式”.环回处理模式系统会根据用户或计算机帐户在AD内的位置,来决定14环回处理模式若在“服务器GPO”内启用此模式,则不论用户是位于何处,只要用户是利用“服务器OU”的计算机登录,环境就由“服务器GPO”的“用户配置”决定.环回处理模式若在“服务器GPO”内启用此模式,则不论用户是位15环回处理模式“环回处理模式”分为两种模式：替代模式：直接改由“服务器GPO”的“用户配置”来配置环境。合并模式：先处理“业务部GPO”的“用户配置”，再处理“服务器GPO”的，若有冲突，则“服务器GPO”内的优先。环回处理模式“环回处理模式”分为两种模式：16禁用GPO可以将整个GPO禁用也可只禁用GPO内的“计算机配置”或“用户配置”禁用GPO可以将整个GPO禁用17任务二组策略最佳实践：规划(1)尽量不要删除或者修改两个默认GPOs禁用GPO中没有作用的节点（计算机设置或用户设置），以加快登录速度。善用委派机制，减低系统管理员负担。每个新的GPO应先进行测试GPO的命名具有描述性如“工程部门软件部署策略”使用GPMC备份“默认域策略”和“默认域控制器策略”任务二组策略最佳实践：规划(1)尽量不要删除或者修改两个18组策略最佳实践：规划(2)在有AD的情况下，尽量不使用本地组策略限制域上的GPO数量，因为设置的GPO越多，登录所花费的时间越长。尽可能不使用影响组策略默认继承性的禁止替代阻止继承应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU)善用筛选机制，一方面可以使特定的组不应用组策略，另一方面可以加快这些组成员的登录速度。组策略最佳实践：规划(2)在有AD的情况下，尽量不使用本地组19组策略实践练习：管理用户环境：管理模板策略账户策略用户权限分配策略安全选项策略登录/注销、启动/关机脚本文件夹重定向组策略实践练习：管理用户环境：20组策略实践(1)--管理模板策略当用户端的计算机在处理“管理模板策略”时，会将这些策略配置值存储到用户计算机的“登录”内，但是并不会将此计算机的默认的登录值覆盖。删除按Ctrl+Alt+Del组合键后所出现的对话框选项：用户配置--管理模板--系统--Ctrl+Alt+Del选项隐藏在控制面板内指定的图标：用户配置—管理模板—控制面板—双击“隐藏指定的控制面板程序”，输入图标的名称隐藏桌面上所有图标：用户配置—管理模板—桌面—隐藏和禁用桌面上的所有项目删除“开始”菜单中的“关机”图标：用户配置--管理模板--任务栏和【开始】菜单--双击“删除和阻止访问‘关机’命令”阻止访问命令提示符：用户配置--管理模板--系统--阻止访问命令提示符组策略实践(1)--管理模板策略当用户端的计算机在处理“管理21组策略实践(2)--账户策略账户策略包含密码策略、账户锁定策略：密码策略密码必须符合密码复杂性要求：至少要6个字符至少要包含A~Z、a~z、0~9、非字母数字（如！、￥、#、%）等4组字符中的3组。密码最长使用期限：最长使用期限可为0~999天，登录时，若密码使用期限已到，则系统会自动要求用户更改密码。若设为0，表示没有使用期限，可以一直使用。密码最短使用期限：最短使用期限可为0~998天，在期限未到前，不得改变密码，若为0，可随时更改。强制密码历史：可以设置是否要记录用户曾经使用过的旧密码，以便用来决定用户在改变其密码时，是否可以使用旧密码1~24表示要保存密码历史数据0表示不保存密码历史数据密码长度最小值组策略实践(2)--账户策略账户策略包含密码策略、账户锁定策22用户锁定策略账户锁定阀值：可设置在用户登录多次失败后，将账户锁定。账户锁定时间：设置要将账户锁定多久的时间，时间过后自动解除锁定。复位账户锁定计数器：用来记录用户登录失败的次数，若登录成功，则锁定计数器的值就归零。用户锁定策略23组策略实践(3)--用户权限分配策略赋予用户或组运行特殊工作的权限：计算机配置->windows设置->本地策略->用户权限分配双击该权限—单击“添加用户和组”允许在本地登录允许用户直接在本台计算机上按Ctrl+Alt+Del组合键登录拒绝本地登录拒绝用户直接在本台计算机上按Ctrl+Alt+Del组合键登录，优先上条策略关闭系统允许用户将此计算机关机更改系统时间允许用户改变计算机内部的系统日期、时间。组策略实践(3)--用户权限分配策略赋予用户或组运行特殊工作24组策略实践(4)--安全选项策略计算机配置->windows设置->本地策略->安全选项：交互式登录：不需按Ctrl+Alt+Del：在计算机启动时，直接出现“登录Windows”的对话框。交互式登录：不显示上次的用户名：每次用户按Ctrl+Alt+Del后所出现的“登录Windows”对话框中显示的用户名不显示。交互式登录：在密码到期前提示用户更改密码：用来设置在用户的密码过期前几天，提示用户必须更改密码。交互式登录：用户试图登录消息文字、标题：每次当计算机启动时，按Ctrl+Alt+Del后，显示一些用户希望看到的一些消息，一个显示对话框的标题，另外一个显示内容。组策略实践(4)--安全选项策略计算机配置->windows25组策略实践(5)--脚本可以设置让域用户在登录时，系统就自动运行“登录脚本”；开机启动时，自动运行“启动脚本”等实例：利用文件名为logon.vbs的文件

wscript.echo“Welcome,thisisaLOGONscripttest”文件名为logoff.vbs的文件wscript.echo“Goodbye,thisisaLOGOFFscripttest”组策略实践(5)--脚本可以设置让域用户在登录时，系统就自动26用户配置—Windows设置—脚本（登录/注销）--双击右边的“登录”，把脚本文件复制到此处添加到用户配置—Windows设置—脚本（登录/注销）--双击右边27组策略最佳实践(6)--文件夹重定向可以利用组策略来将某些特殊文件夹的存储位置，重定向（转向）到网络上的其他位置，这些特殊的文件夹包含：Applicationdata:此文件夹包含用户在应用程序内的专属数据，例如个人设定数据。桌面:此文件夹内包含着用户自行在桌面上所建立的文件夹、文件、快捷方式。我的文档

:此文件夹是存储用户个人文件的文件夹。【开始】菜单

:此文件夹存储用户个人在【开始】菜单中的文件夹、快捷方式。组策略最佳实践(6)--文件夹重定向可以28具体操作将“我的文档”重定向：案例：重定向“业务部”OU内所有用户的文件夹具体操作将“我的文档”重定向：29Skypc重定向lj重定向SkypcljSkypc重定向lj重定向Skypclj30组策略-高级篇31组策略-高级篇32总结组策略的继承和冲突解决机制组策略对象的创建组策略设置的实践总结组策略的继承和冲突解决机制33组策略（高级篇）组策略（高级篇）34内容组策略继承及冲突处理慢速链接的组策略组策略的其他设置设计和管理组策略内容组策略继承及冲突处理35重、难点重点：组策略的继承（阻止继承、禁止替代）组策略的权限筛选难点：组策略对象的继承的设计组策略的设计重、难点重点：36任务一组策略继承和冲突处理1、一般继承与处理规则组策略的配置具有继承性:若父容器的某个策略被配置,但其子容器的策略未被配置,则子继承父容器配置值.若子容器的某个策略被配置,则此配置值会覆盖由父容器传递下来的配置值.组策略的配置具有累加性的：例如:”业务部”OU内建立了GPO,同时在域、站点内也有GPO，则所有配置值累加起来是最后有效值。任务一组策略继承和冲突处理1、一般继承与处理规则37组策略冲突的处理当Site，Domain，OU之间的组策略发生冲突时，以处理顺序在后的GPO优先，系统处理GPO的优先顺序是：站点GPO、域GPO、OU的GPO如果所有的组策略对象不发生冲突，同时应用。当同一对象连接到多个GPO时，所有GPO配置将被累加起来。若策略的设置发生冲突，以排在前面的GPO优先。组策略冲突的处理当Site，Domain，OU之间的组策略发38冲突的处理系统先处理“计算机配置”,再处理“用户配置”,若有冲突,虽然“用户配置”处理顺序在后，但是大部分情况下以“计算机配置”优先GPO内个策略未配置与启用或禁用不会产生冲突关系。冲突的处理系统先处理“计算机配置”,再处理“用户配置”,若392、例外的继承性设置“阻止继承”设置“禁止替代”设置筛选2、例外的继承性设置“阻止继承”40设置“阻止策略继承”

阻止策略继承：禁止从所有的高层继承GPO无法选择针对哪些GPO，全部都禁止继承针对的是某一层次不能阻挡“禁止替代”设置“阻止策略继承” 阻止策略继承：41设置“禁止替代” 禁止替代：不管是否冲突，或者是否有“阻止继承”，始终生效针对的是具体某个组策略对象，而不是针对某个容器所有的GPO。高的“禁止替代”会覆盖低的“禁止替代”。应该设置在较高层次设置“禁止替代” 禁止替代：42

筛选组策略设置GPO的配置默认是被应用到这个容器内的所有用户与计算机默认用户等对象对该容器的GPO具有“读取”与“应用组策略”权限，查看方法：GPO->属性->安全也可使GPO对容器内特定的计算机/用户/组不生效使特定用户与计算机没有“读取”和“应用组策略”的基本权限，把这些用户添加到安全，设为“拒绝”即可注：只有在组策略中具有读取和应用权限的对象才会应用组策略。设置筛选组策略筛选组策略设置注：只有在组策略中具有读取和应用权限的对象才433、特殊处理的设置慢速链接的GPO处理环回处理模式禁用GPO3、特殊处理的设置慢速链接的GPO处理44慢速链接的GPO处理可以设置让域内的计算机自动探测他们与域控制器之间的链接速度是否太慢,如果太慢,可以设置不要应用位于域控制器内的组策略.如图所示:慢速链接的GPO处理可以设置让域内的计算机自动探测他们与域控45慢速链接的GPO处理定义了即使慢速连接也要做软件安装策略处理慢速链接的GPO处理定义了即使慢速连接也要做软件安装策略处理46环回处理模式系统会根据用户或计算机帐户在AD内的位置,来决定如何将GPO配置值应用到用户或计算机.实例:计算机帐户Server1->服务器OU(“服务器GPO”组策略)

用户帐户Jackie->业务部OU(“业务部GPO”组策略)当用户Jackie在Server1登录域时,用户环境由“业务部GPO”中的“用户配置”决定,而计算机环境由“服务器GPO”中的“计算机配置”来决定.但是在“业务部GPO”中的“用户配置”内,设置了位于“业务部”OU用户登录,自动安装某个应用程序,所以用户在任何一台计算机上登录系统都将为其安装应用程序.现不想替此用户在这台重要服务器Server1内安装,用“环回处理模式”.环回处理模式系统会根据用户或计算机帐户在AD内的位置,来决定47环回处理模式若在“服务器GPO”内启用此模式,则不论用户是位于何处,只要用户是利用“服务器OU”的计算机登录,环境就由“服务器GPO”的“用户配置”决定.环回处理模式若在“服务器GPO”内启用此模式,则不论用户是位48环回处理模式“环回处理模式”分为两种模式：替代模式：直接改由“服务器GPO”的“用户配置”来配置环境。合并模式：先处理“业务部GPO”的“用户配置”，再处理“服务器GPO”的，若有冲突，则“服务器GPO”内的优先。环回处理模式“环回处理模式”分为两种模式：49禁用GPO可以将整个GPO禁用也可只禁用GPO内的“计算机配置”或“用户配置”禁用GPO可以将整个GPO禁用50任务二组策略最佳实践：规划(1)尽量不要删除或者修改两个默认GPOs禁用GPO中没有作用的节点（计算机设置或用户设置），以加快登录速度。善用委派机制，减低系统管理员负担。每个新的GPO应先进行测试GPO的命名具有描述性如“工程部门软件部署策略”使用GPMC备份“默认域策略”和“默认域控制器策略”任务二组策略最佳实践：规划(1)尽量不要删除或者修改两个51组策略最佳实践：规划(2)在有AD的情况下，尽量不使用本地组策略限制域上的GPO数量，因为设置的GPO越多，登录所花费的时间越长。尽可能不使用影响组策略默认继承性的禁止替代阻止继承应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU)善用筛选机制，一方面可以使特定的组不应用组策略，另一方面可以加快这些组成员的登录速度。组策略最佳实践：规划(2)在有AD的情况下，尽量不使用本地组52组策略实践练习：管理用户环境：管理模板策略账户策略用户权限分配策略安全选项策略登录/注销、启动/关机脚本文件夹重定向组策略实践练习：管理用户环境：53组策略实践(1)--管理模板策略当用户端的计算机在处理“管理模板策略”时，会将这些策略配置值存储到用户计算机的“登录”内，但是并不会将此计算机的默认的登录值覆盖。删除按Ctrl+Alt+Del组合键后所出现的对话框选项：用户配置--管理模板--系统--Ctrl+Alt+Del选项隐藏在控制面板内指定的图标：用户配置—管理模板—控制面板—双击“隐藏指定的控制面板程序”，输入图标的名称隐藏桌面上所有图标：用户配置—管理模板—桌面—隐藏和禁用桌面上的所有项目删除“开始”菜单中的“关机”图标：用户配置--管理模板--任务栏和【开始】菜单--双击“删除和阻止访问‘关机’命令”阻止访问命令提示符：用户配置--管理模板--系统--阻止访问命令提示符组策略实践(1)--管理模板策略当用户端的计算机在处理“管理54组策略实践(2)--账户策略账户策略包含密码策略、账户锁定策略：密码策略密码必须符合密码复杂性要求：至少要6个字符至少要包含A~Z、a~z、0~9、非字母数字（如！、￥、#、%）等4组字符中的3组。密码最长使用期限：最长使用期限可为0~999天，登录时，若密码使用期限已到，则系统会自动要求用户更改密码。若设为0，表示没有使用期限，可以一直使用。密码最短使用期限：最短使用期限可为0~998天，在期限未到前，不得改变密码，若为0，可随时更改。强制密码历史：可以设置是否要记录用户曾经使用过的旧密码，以便用来决定用户在改变其密码时，是否可以使用旧密码1~24表示要保存密码历史数据0表示不保存密码历史数据密码长度最小值组策略实践(2)--账户策略账户策略包含密码策略、账户锁定策55用户锁定策略账户锁定阀值：可设置在用户登录多次失败后，将账户锁定。账户锁定时间：设置要将账户锁定多久的时间，时间过后自动解除锁定。复位账户锁定计数器：用来记录用户登录失败的次数，若登录成功，则锁定计数器的值就归零。用户锁定策略56组策略实践(3)--用户权限分配策略赋予用户或组运行特殊工作的权限：计算机配置->windows设置->本地策略->用户权限分配双击该权限—单击“添加用户和组”允许在本地登录允许用户直接在本台计算机上按Ctrl+Alt+Del组合键登录拒绝本地登录拒绝用户直接在本台计算机上按Ctrl+Alt+Del组合键登录，优先上条策略关闭系统允许用户将此计算机关机更改系统时间允许用户改变计算机内部的系统日期、时间。组策略实践(3)--用户权限分配策略赋予用户或组运行特殊工作57组策略实践(4)--安全选项策略计算机配置->windows设置->本地策略->安全选项：交互式登录：不需按Ctrl+Alt+Del：在计算机启动时，直接出现“登录Windows”的对话框。交互式登录：不显示上次的用户名：每次