组策略对象的管理与应用课件

第10章组策略第10章组策略110.1组策略概述

10.1.1组策略的概念“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。

10.1组策略概述

10.1.1组策略的概念“组策略”中的“210.1.1组策略的概念1.组策略对象（GPO）系统已经有两个内建GPO，分别是：DefaultDomainPolicy此策略已被连接到域，因此该策略将影响域内所有计算机和用户。DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU，因此该策略将影响域控制器组织单元内的所有计算机和用户10.1.1组策略的概念1.组策略对象（GPO）310.1.1组策略的概念2．组策略配置类型应用组策略时存在两种配置选项：计算机配置和用户配置。计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。10.1.1组策略的概念2．组策略配置类型410.1.1组策略的概念3．组策略功能类型软件部署：软件部署包括“应用程序分配”和“应用程序发行”两部分内容。“应用程序分配”指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；“应用程序发行”指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如，用户的“开始”菜单、屏保程序或用户配置文件的设置，包括操作系统组件和注册表设置。文件夹管理：文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。例如，可以根据安全组成员的身份把网络应用程序提供给用户。脚本：脚本能够用于在某些时间自动运行批处理文件的进程，如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。安全：安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策略。例如，密码的使用期、网络安全策略和账户锁定策略等。10.1.1组策略的概念3．组策略功能类型510.1.1组策略的概念4.组策略的应用时机组策略计算机配置的启动时机是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；或手工启动。组策略用户配置的启动时间是：用户登录时自动启动；系统即使用户不注销、登录，系统默认每隔90~120钟自动启动；手工启动。10.1.1组策略的概念4.组策略的应用时机610.1.2组策略的应用顺序组策略的应用顺序如下：（1）本地组策略（2）域组策略（3）域控制器策略（4）组织单元组策略默认情况下，这些策略不一致时，后应用的策略将覆盖以前的策略。但是，如果这些设置对象不一致，前后的策略都是有效策略。组策略可以继承，也可以阻止策略继承。10.1.2组策略的应用顺序组策略的应用顺序如下：710.1.3WindowsServer2003组策略的特点组策略管理控制台（GPMC）策略结果集（Rsop）新策略设置跨域林支持用户数据设置和管理的增强组策略通过Web视图整合到组策略对象编辑器中软件限制策略10.1.3WindowsServer2003组策略的810.2组策略对象的管理

10.2.1创建组策略每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略，而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略

10.2组策略对象的管理

10.2.1创建组策略每一计算机上910.2.1创建组策略10.2.1创建组策略1010.2.2链接已有的GPO10.2.2链接已有的GPO1110.2.2链接已有的GPO10.2.2链接已有的GPO1210.2.2链接已有的GPO10.2.2链接已有的GPO1310.2.3委托GPO管理控制10.2.3委托GPO管理控制1410.2.3委托GPO管理控制10.2.3委托GPO管理控制1510.2.4设置组策略10.2.4设置组策略1610.2.4设置组策略10.2.4设置组策略1710.2.4设置组策略未配置：表示该设置不会更改注册表。已启用：表示该配置应用到该GPO的用户和计算机。已禁用：表示注册表将指示策略不会应用到隶属于该GPO的用户和计算机。10.2.4设置组策略未配置：表示该设置不会更改注册表。1810.2.5删除GPO链接10.2.5删除GPO链接1910.2.5删除GPO链接10.2.5删除GPO链接2010.2.6删除GPO10.2.6删除GPO2110.3组策略的应用

10.3.1指派应用程序可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击和该软件的文档时，该软件才会被自动安装。10.3组策略的应用

10.3.1指派应用程序可以将一个软件2210.3.1指派应用程序10.3.1指派应用程序2310.3.1指派应用程序10.3.1指派应用程序2410.3.1指派应用程序10.3.1指派应用程序2510.3.2发布应用程序和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要用“控制面板”中的“添加或者删除应用程序”来安装软件。发布应用程序只用于用户配置，在组策略中发布的程序是否被用户安装，取决于用户。10.3.2发布应用程序和指派软件不同，发布一个软件时计算机2610.3.2发布应用程序10.3.2发布应用程序2710.3.3配置桌面10.3.3配置桌面2810.3.3配置桌面10.3.3配置桌面2910.3.3配置桌面10.3.3配置桌面3010.3.3配置桌面2．设置最近打开文档记录不想让人知道自己浏览过哪些网页和打开过哪些文件。10.3.3配置桌面2．设置最近打开文档记录3110.3.3配置桌面10.3.3配置桌面3210.3.3配置桌面10.3.3配置桌面3310.3.3配置桌面3．设置系统关机每次关闭WindowsServer2003系统时，总会出现关机原因提示框，关闭关机原因提示窗口.10.3.3配置桌面3．设置系统关机3410.3.3配置桌面10.3.3配置桌面3510.3.3配置桌面10.3.3配置桌面3610.3.4使用脚本所谓的脚本就是一段类似VisualBasicScript或者JavaScript的一段程序或命令。脚本用于管理用户环境，WindowsServer2003提供了脚本用于计算机的启动、关机和用户的登录和注销。10.3.4使用脚本所谓的脚本就是一段类似VisualBa3710.3.4使用脚本10.3.4使用脚本3810.3.4使用脚本10.3.4使用脚本3910.3.5文件夹重定向在组策略中系统管理员可以重定向的文件夹有：应用程序、桌面、我的文档、开始菜单。如果用户要保存数据到我的文档时，数据不再保存到本机而是网络位置。这样做好处是：用户登录到域中任何计算机，他的文档会很容易获得。10.3.5文件夹重定向在组策略中系统管理员可以重定向的文件4010.3.5文件夹重定向10.3.5文件夹重定向4110.3.5文件夹重定向10.3.5文件夹重定向4210.3.5文件夹重定向10.3.5文件夹重定向4310.3.6安全设置10.3.6安全设置4410.3.6安全设置1.账户策略10.3.6安全设置1.账户策略4510.3.6安全设置2本地策略这里的“本地策略”和本地安全策略是不一样的，本地安全策略是本地组策略的安全设置这部分。这里的“本地策略”是组策略中的安全设置的小一部分（如图10－32的“计算机配置”→“Windows设置”→“安全设置”），也就是说本地组策略中包括本地安全策略，而本地安全策略包含这里所说的“本地策略”。当然域组策略也包含了“本地策略”。10.3.6安全设置2本地策略4610.3.6安全设置审核策略决定哪些安全事件记录到计算机的安全日志中，可以审核成功和失败事件，例如：审核对象访问是审核用户访问文件、文件夹、打印机的事件用户权利指派决定哪个用户或组有登录或任务特权，例如我们指定哪些用户可以关闭系统。安全选项用以启动或禁用计算机的安全设置，例如：Administrator和Guest的账户名、软驱和光盘的访问、驱动程序的安装以及登录提示等。10.3.6安全设置审核策略决定哪些安全事件记录到计算机的安4710.3.6安全设置10.3.6安全设置4810.3.6安全设置3．事件日志10.3.6安全设置3．事件日志4910.3.6安全设置4．受限制的组受限制的组是用以控制组的成员，防止有人增加某个组的成员。10.3.6安全设置4．受限制的组5010.3.6安全设置5．系统服务系统服务策略项用于为计算机上运行的服务配置安全设置和启动设置。10.3.6安全设置5．系统服务5110.3.6安全设置6．注册表注册表策略项用以指定用户或组访问注册表的权限.10.3.6安全设置6．注册表5210.3.6安全设置10.3.6安全设置5310.3.6安全设置7．文件系统文件系统允许你在策略级别上设置文件系统对象（NTFS目录和文件）的权限。10.3.6安全设置7．文件系统5410.3.7安全模板安全模式实际上是保存有组策略中的安全设置的一个文件，可以把它当成一个样板应用到组策略中，则组策略中的安全设置就和模板中的安全设置一样。把所有的安全设置存放在文件中方便于使用和管理，这样可以把安全设置进行备份或者复制到别的计算机上。10.3.7安全模板安全模式实际上是保存有组策略中的安全设5510.3.7安全模板10.3.7安全模板5610.3.7安全模板可以把安全模板导入到组策略中10.3.7安全模板可以把安全模板导入到组策略中5710.3.7安全模板也可以导出本地安全策略或者当前的有效安全策略到一个安全模板中，以实现安全设置的备份（常常在改变安全策略前进行这项工作）。10.3.7安全模板也可以导出本地安全策略或者当前的有效安58第10章组策略第10章组策略5910.1组策略概述

10.1.1组策略的概念“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。

10.1组策略概述

10.1.1组策略的概念“组策略”中的“6010.1.1组策略的概念1.组策略对象（GPO）系统已经有两个内建GPO，分别是：DefaultDomainPolicy此策略已被连接到域，因此该策略将影响域内所有计算机和用户。DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU，因此该策略将影响域控制器组织单元内的所有计算机和用户10.1.1组策略的概念1.组策略对象（GPO）6110.1.1组策略的概念2．组策略配置类型应用组策略时存在两种配置选项：计算机配置和用户配置。计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。10.1.1组策略的概念2．组策略配置类型6210.1.1组策略的概念3．组策略功能类型软件部署：软件部署包括“应用程序分配”和“应用程序发行”两部分内容。“应用程序分配”指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；“应用程序发行”指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如，用户的“开始”菜单、屏保程序或用户配置文件的设置，包括操作系统组件和注册表设置。文件夹管理：文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。例如，可以根据安全组成员的身份把网络应用程序提供给用户。脚本：脚本能够用于在某些时间自动运行批处理文件的进程，如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。安全：安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策略。例如，密码的使用期、网络安全策略和账户锁定策略等。10.1.1组策略的概念3．组策略功能类型6310.1.1组策略的概念4.组策略的应用时机组策略计算机配置的启动时机是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；或手工启动。组策略用户配置的启动时间是：用户登录时自动启动；系统即使用户不注销、登录，系统默认每隔90~120钟自动启动；手工启动。10.1.1组策略的概念4.组策略的应用时机6410.1.2组策略的应用顺序组策略的应用顺序如下：（1）本地组策略（2）域组策略（3）域控制器策略（4）组织单元组策略默认情况下，这些策略不一致时，后应用的策略将覆盖以前的策略。但是，如果这些设置对象不一致，前后的策略都是有效策略。组策略可以继承，也可以阻止策略继承。10.1.2组策略的应用顺序组策略的应用顺序如下：6510.1.3WindowsServer2003组策略的特点组策略管理控制台（GPMC）策略结果集（Rsop）新策略设置跨域林支持用户数据设置和管理的增强组策略通过Web视图整合到组策略对象编辑器中软件限制策略10.1.3WindowsServer2003组策略的6610.2组策略对象的管理

10.2.1创建组策略每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略，而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略

10.2组策略对象的管理

10.2.1创建组策略每一计算机上6710.2.1创建组策略10.2.1创建组策略6810.2.2链接已有的GPO10.2.2链接已有的GPO6910.2.2链接已有的GPO10.2.2链接已有的GPO7010.2.2链接已有的GPO10.2.2链接已有的GPO7110.2.3委托GPO管理控制10.2.3委托GPO管理控制7210.2.3委托GPO管理控制10.2.3委托GPO管理控制7310.2.4设置组策略10.2.4设置组策略7410.2.4设置组策略10.2.4设置组策略7510.2.4设置组策略未配置：表示该设置不会更改注册表。已启用：表示该配置应用到该GPO的用户和计算机。已禁用：表示注册表将指示策略不会应用到隶属于该GPO的用户和计算机。10.2.4设置组策略未配置：表示该设置不会更改注册表。7610.2.5删除GPO链接10.2.5删除GPO链接7710.2.5删除GPO链接10.2.5删除GPO链接7810.2.6删除GPO10.2.6删除GPO7910.3组策略的应用

10.3.1指派应用程序可以将一个软件通过组策略指派给用户或者计算机，这样当用户登录时，软件会被通告给用户，但是软件并没有真正安装在该计算机，而只是安装了与软件有关的部分信息，当用户运行软件的快捷方式或者双击和该软件的文档时，该软件才会被自动安装。10.3组策略的应用

10.3.1指派应用程序可以将一个软件8010.3.1指派应用程序10.3.1指派应用程序8110.3.1指派应用程序10.3.1指派应用程序8210.3.1指派应用程序10.3.1指派应用程序8310.3.2发布应用程序和指派软件不同，发布一个软件时计算机并无该软件的快捷方式，用户需要用“控制面板”中的“添加或者删除应用程序”来安装软件。发布应用程序只用于用户配置，在组策略中发布的程序是否被用户安装，取决于用户。10.3.2发布应用程序和指派软件不同，发布一个软件时计算机8410.3.2发布应用程序10.3.2发布应用程序8510.3.3配置桌面10.3.3配置桌面8610.3.3配置桌面10.3.3配置桌面8710.3.3配置桌面10.3.3配置桌面8810.3.3配置桌面2．设置最近打开文档记录不想让人知道自己浏览过哪些网页和打开过哪些文件。10.3.3配置桌面2．设置最近打开文档记录8910.3.3配置桌面10.3.3配置桌面9010.3.3配置桌面10.3.3配置桌面9110.3.3配置桌面3．设置系统关机每次关闭WindowsServer2003系统时，总会出现关机原因提示框，关闭关机原因提示窗口.10.3.3配置桌面3．设置系统关机9210.3.3配置桌面10.3.3配置桌面9310.3.3配置桌面10.3.3配置桌面9410.3.4使用脚本所谓的脚本就是一段类似VisualBasicScript或者JavaScript的一段程序或命令。脚本用于管理用户环境，WindowsServer2003提供了脚本用于计算机的启动、关机和用户的登录和注销。10.3.4使用脚本所谓的脚本就是一段类似VisualBa9510.3.4使用脚本10.3.4使用脚本9610.3.4使用脚本10.3.4使用脚本9710.3.5文件夹重定向在组策略中系统管理员可以重定向的文件夹有：应用程序、桌面、我的文档、开始菜单。如果用户要保存数据到我的文档时，数据不再保存到本机而是网络位置。这样做好处是：用户登录到域中任何计算机，他的文档会很容易获得。10.3.5文件夹重定向在组策略中系统管理员可以重定向的文件9810.3.5文件夹重定向10.3.5文件夹重定向9910.3.5文件夹重定向10.3.5文件夹重定向10010.3.5文件夹重定向10.3.5文件夹重定向10110.3.6安全设置10.3.6安全设置10210.3.6安全设置1.账户策略10.3.6安全设置1.账户策略10310.3.6安全设置2本地策略这里的“本地策略”和本地安全策略是不一样的，本地安全策略是本地组策略的安全设置这部分。这里的“本地策略”是组策略中的安全设置的小一部分（如图10－32的“计算机配置”→“Windows设置”→“安全设置”），也就是说本地组策略中包括本地安全策略，而本地安全策略包含这里所说的“本地策略”。当然域组策略也包含了“本地策略”。10.3.6安全设置2本地策略1041