组策略概述-PowerPoint演示文稿

组策略概述-PowerPoint演示文稿本章学习目标

组策略概述

管理模板策略的设置

Windows设置策略的管理

通过软件设置策略部署应用程序返回本章首页11.1组策略概述11.1.1组策略对象11.1.2组策略的应用顺序与规则返回本章首页组策略包括：计算机配置、用户配置其组策略包含以下内容：1）管理模板：包括Windows组件、网络、桌以及任务栏和开始菜单等相关的策略。2）Windows设置：包括脚本、安全设置（户策略和本地策略）等相关的策略。3）软件设置：包括软件安装策略，可以进应用程序的指派与发布。11.1.1组策略对象图11-1“组策略”选项卡1．更改组策略（1）选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”选项，选择“属性”→“组策略”命令。（2）选定“DefaultDomainControllersPolicy”，然后单击“编辑”按钮。（3）打开如图11-2所示的“组策略”窗口后，然后双击窗口右侧的“在本地登录”。（4）出现如图11-3所示的对话框时，单击“添加”按钮，选择DomainUsers组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。（5）返回“组策略”窗口时，请关闭此窗口。（6）返回“DomainControllers属性”对话框，单击“确定”。图11-2组策略窗口图11-3有“在本地登录”权限的用户和组2．验证更改组策略的有效性（1）在服务器端，以administrator账户登录。（2）依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算”选项，从中选择“新建”→“用户”命令添加一个一般的用户账户。（3）完成后，注销administrator，然后等待此组策略生效。（4）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。返回本节11.1.2组策略的应用顺序与规则（1）如果是在高层容器内建立了组策略，则低层容器会继承在高层容器内所建立的组策略。（2）如果在低层的容器内建立了组策略，则此组策略内的设置默认会替代由其高层的父容器所传递下来的组略。

（3）如果在父容器的某个策略被设为“未被配置”，则子容器并不会继承这个策略。

（4）如果在父容器的组策略内的某个设为“启用”或“禁用”，则子容器会继承这个设置。（5）直接以子容器的组策略为其设置。（6）在父容器的组策略内，通过“禁止替代”子容器必须继承由父容器传递的组策略设置。返回本节11.2管理模板策略的设置11.2.1设置管理模板策略11.2.2设置组策略的替代功能返回本章首页图11-4组策略示例返回本节11.2.1设置管理模板策略（1）在“ActiveDirectory中，选择“属性”→“组策略”→“新建”命令，添加一个GPO，命名为“xuexiaoPolicy”。（2）在如图11-5所示的对话框中，单击“编辑”。（3）在如图11-6所示的“组策略”窗口中，选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”选项。（4）在如图11-6所示选择“用户配置”→“管理模板”→“桌面”。（5）完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。图11-5添加新的组策略图11-6设置组策略图11-7设置策略的是否启用返回本节11.2.2设置组策略的替代功能（1）在“ActiveDirectory用户和计算”选择“属性”→“组策略”→“新建”选项，添加一个GPO，命名为“9901Poliicy”，单击“编辑”按钮。（2）在“组策略”中选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，选择“禁用”，单击“确定”。（3）在“组策略”中选择“用户配置”→“管理模板”→“桌面”。选择“禁用”，单击“确定”。关闭“组策略”窗口。单击“关闭”结束组策略设置。返回本节11.3Windows设置策略的管理11.3.1账户策略的设置11.3.2本地策略的设置11.3.3登录/注销、启动/关闭脚本返回本章首页图11-8账户策略的设置11.3.1账户策略的设置1．密码策略的设置（1）密码最长存留期（2）密码最短存留期（3）密码长度最小值（4）强制密码历史2．账户锁定策略的设置

账户锁定阈值账户锁定时间复位账户锁定计数器图11-11设置账户锁定策略图11-9设置密码策略图11-10“密码最长存留期”的设置返回本节11.3.2本地策略的设置审核目录服务访问审核登录事件审核对象访问审核策略更改审核特权使用审核账户登录事件

审核账户管理

审核账户管理审核过程追踪1．审核策略的设置2．用户权利指派策略的设置（1）在本地登录；（2）域中添加工作站；（3）关闭系统；（4）从网络访问此计算机；（5）从远端系统强制关机；（6）备份文件和目录；（7）还原文件和目录；（8）管理审核和安全日志；（9）更改系统时间；（10）装载和卸载设备驱动程序；（11）取得文件或其他对象的所有权3．安全选项策略的设置登录屏幕上不要显示上次登录的用户名允许在未登录前关机在密码到期前提示用户更改密码禁用按Ctrl+Alt+Del进行登录的设置用户试图登录时消息文字与用户试图登录时消息标题返回本节11.3.3登录/注销、启动/关闭脚本1．登录/注销脚本的设置（1）准备好登录与注销脚本。（2）在“ActiveDirectory用户和计算机”中选择“组策略”命令，选定GPO，双击“登录”图标。（3）单击“显示文件”按钮。（4）先切换到“Windows资源管理器”并选定登录脚本，选择“复制”、“粘贴”命令。（5）返回到图11-14所示的对话框后，单击“添加”。（6）出现图11-16所示的对话框时，单击“浏览”按钮，7）返回到图11-14所示的对话框时，单击“确定”按钮。（8）回到图11-13所示的窗口，单击画面右方的“注销”图标，然后重复步骤（2）~（6），以便设置注销脚本。图11-13设置登录和注销脚本图11-14“登录属性”对话框图11-15复制登录脚本图11-16指定登录脚本2．启动/关闭脚本的设置（1）创建一个名称为startup.bat的启动脚本。（2）在“ActiveDirectory用户和计算机”对话框中，选择“属性”→“组策略”命令，选定GPO后，出现图11-17所示的窗口，双击“启动”图标。（3）单击“显示文件”按钮。（4）切换到“Windows资源管理器”中，选择“复制”粘贴”命令，将登录脚本复制到该窗口中后关闭窗口。（5）单击“添加”按钮。（6）出现类似图11-16所示的对话框，单击“浏览”按钮，从startup文件夹内选定登录脚本。如果你的脚本需要输入参数，则在“脚本参数”文本框中输入参数，完成后单击“确定”按钮。（7）单击“确定”按钮。（8）回到图11-17所示的窗口后，单击画面右方的“关机”图标，然后重复步骤（2）~（6），以便设置“关机脚本”。图11-17设置启动和关机脚本返回本节11.4通过软件设置策略部署应用程序11.4.1给用户发布或指派应用程序11.4.2给计算机指派应用程序11.4.3更改部分应用程序的设置返回本章首页通过软件设置策略，可以为用户与计算机来部署应用程序。1、将应用程序发布或指派给用户。2、将应用程序指派给计算机。3、自动修复应用程序。4、删除用户的应用程序。11.4.1给用户发布或指派应用程序1．给用户发布或指派应用程序2．安装被发布或指派应用程序（1）利用administrator账户登录到域控制器。（2）在域控制器上建立一个文件夹，设为共享文件夹。（3）将Windows2000CD文件夹内的所有文件复制到共享文件夹内。（4）依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算”选项，打开对话框，选择“属性”→“组策略”命令，选定GPO，软件安装”选项，打开如图11-18所示的窗口。1．给用户发布或指派应用程序（5）将“软件安装”中弹出的选择“属性”命令。出现如图11-19所示的对话框，在“默认程序包位置”用UNC路径。（6）将鼠标指向“软件安装”中选择“新建”→“程序包”命令。出现如图11-20所示的窗口，单击“打开”按钮。（7）出现图11-21所示的对话框时，在“选择部署方法”选择区中选择，然后单击“确定”按钮。（8）出现图11-22所示的窗口，图中右方的“WinINSTALLLE”己被发行成功。图11-18软件安装图11-19“软件安装属性”窗口图11-20选择程序包图11-21选择部署方式图11-22“WinINSTALLLE”发行成功2．安装被发布或指派应用程序（1）注销，然后利用域内的用户账户来登录。（2)依次单击“开始”→“设置”→“控制面板”→“添加/删除程序”。（3）单击“添加新程序”按钮，则右方的“从网络添加程序”处就会显示所有己被发布的应用程序。（4）选择要安装的应用程序，然后单击“添加”按钮，就会安装该应用程序。返回本节11.4.2给计算机指派应用程序应用程序被安