管理组策略课件

第五章

管理组策略

本章学习要求及能力目的

组策略用来在用户或计算机集合上强制设置一些配

置，这在多台计算机需要统一的工作界面时很有实用意

义。组策略为管理员提供了进一步控制和集中管理用户

工作环境、实现软件部署以及安全性管理。

＞掌握组策略的管理与配置方法

＞掌握利用组策略管理资源与对象

＞掌握域安全策略及域控制器安全策略的配置

管理方法

组策略

组策略是从Windows2000开始有的一个新特点。组

策略用来在用户或计算机集合上强制设置一些配置，这

在多台计算机需要统一的工作界面时很有实用意义。例

如用户的桌面环境、计算机启动/关机所执行的脚本文件、

用户登录/注销所执行的脚本文件等。WindowsServer

2003系统赋予组策略更新的功能和特性，通过组策略可

以更容易管理网络上的资源。

1.组策略简介

组策略是一组配置设置，是组策略管理员应用于活

动目录存储中的一个或多个对象。利用它组策略管理员

可以为用户提供一个完全总装的桌面环境。这个环境包

括定制的【开始】菜单，自动安装的应用程序和对文件、

文件夹和WindowsServer2003系统设置的限制访问。

1)组策略的组件

(1)组策略对象

组策略对象(GPO,GroupPolicyObject)是组策略的载体

,要想实现组策略管埋，必须创建组策略对象。在活动目录中可

以把组策略对象应用于特定的目标，如站点、域和0U以实现组策

略管理的目的。组策略对象的内容存储在GPC和GPT中。

在对这些对象设置组策略时有以下特点：

•一个GPO可以与多个站点、域和0U相链接，这样当需要对不同

的对象执行相同策略管理时可以减轻管理员的工作负担。

・每个站点、域和0U也可以应用多个GPO。

(2)组策略容器

组策略容器(GPC,GroupPolicyContainer)是包含

GPO状态和版本信息的活动目录对象，存储在活动目录中。

计算机使用GPC来定位组策略模板，而且域控制器可以通过

访问GPC来获得GPO的版本信息。如果一台域控制器没有最新

的GPO版本信息,那么就会引发为了获得最新GPO版本信息的

活动目录复制。

(3)组策略模板

组策略模板(GPT,GroupPolicyTemplate)存储在域控

制器上的SYSVOL共享文件夹中，用来提供所有的组策略设置和

信息，包括管理模板、安全性、软件安装、脚本、文件夹重定

向设置等。当创建一个GP0时,WindowsServer2003创建相应

的GPT。客户端计算机能够接受组策略的配置就是因为它们和DC

的SYSVOL文件夹链接，获得并应用这些设置。

2）组策略的配置类型

每个组策略的配置类型都包括两部分内容：计算机配置

和用户配置

图5-1组策略编辑器窗口

2)组策略的配置类型

(1)计算机的组策略配置

在计算机的组策略配置中可以指定操作系统的行为、

桌面行为、安全性设置、计算机的启动和关机命令、计

算机赋予的应用程序选项以及应用程序设置。在计算机

启动时会应用计算机的组策略设置。

(2)用户的组策略配置

在用户的组策略配置中可以指定操作系统行为、桌面行

为、安全性设置、赋予的和公布的应用程序选项、应用程

序设置、文件夹的重定向选项以及用户登录和退出登录的

命令等。当用户登录计算机时会应用与该用户相关的组策

略设置。

注意：当同一个组策略的计算机配置和用户配置发生冲突

时，计算机的组策略配置优先。

3)组策略的功能类型

(1)软件设置

影响用户可以访问的应用程序，应用程序自动安装的策略有两

种方法实现：指派应用程序，组策略直接在用户计算机上安装或

升级应用程序，或为用户提供应用程序的连接，指派的应用程序

用户无法删除；发布应用程序，组策略管理员通过活动目录服务

发布应用程序。应用程序出现在用户的控制面板的【添加/删除

程序】的安装组件列表中，用户可以卸载这些应用程序。

(2)脚本

组策略管理员可以设定脚本和批处理文件在指定时间运行，

如在系统启动、关闭、用户登录或注销时。脚本可以自动执行

重复性任务，如映射网络驱动器。

(3)安全设置

组策略管理员可以限制用户访问文件和文件夹，配置账户限

制(如在WindowsServer2003锁定用户账户之前允许用户输

入多少次错误的口令)，设置本地策略(如用户权力和审计)

,控制服务操作，限制注册表和事件日志文件的访问，设置公

钥访问和配置IPSec策略。

(4)管理模板

包括基于注册表的组策略，可以利用它来强制注册表设置，

控制桌面的外观和状态，包括操作系统组件和应用程序。

(5)远程安装服务(RIS)

当运行用户安装向导时，控制显示给用户的RIS安装选项。

(6)文件夹重定向

可以重定向WindowsServer2003指定的文件夹从用户配置文

件缺省位置到另一个网络位置，从而对这些文件夹集中管理。

2.组策略对象的管理

1）创建组策略（新建）

【案例1】创建域的组策略。

2）在图5-2中除【新建】

图域属性【组策略】选项卡

按钮以外的其他各按钮作用如下:5-2

①添加：才巴已经存在的一个组策略对象链接到站点、域

或者组织单位上。

②编辑：打开组策略对象编辑器来对组策略对象进行编

辑。

③选项：进行组策略对象的替代控制。

④删除：断掉组策略对象的链接或删除一个组策略对象

O

⑤向上、向下：修改组策略对象应用在同一活动目录对

象上的优先级。

⑥属性：对选中的组策略对象进行有关属性参数的设置

O

图5-2中【阻止策略继承】单选项是用于防止父容器定义

的策略在自身传递。

【案例2】验证组策略的继承性。

3）委托GPO管理控制

在创建GPO以后，要确定哪些用户和组对GPO拥有访

问权限。默认的GPO权限如下所示。

❖CREATOROWNER组:拥有特别的权限。

♦AuthrnticatedUsers组：拥有读、拥应用组策略和特

别的权限。

♦DomainAdmins组：拥有读、写、创建所有子对象、删

除所有子对象、特别的权限。

SYSTEM组：拥有读、写、创建所有子对象、删除所有子

对象、特别的权限。

【案例3】实现委托，使某用户对组策略有访问权限。

DefaultDoaainPolicy星性

常规I链接安全|嘏1筛选器I

组或用户名称&):

AuthenticatedUsers

gjCREATOROWNER

DomainAdmins(QTCVDomainAdmins)

EnterpriseAdmins(QTCXEnterpriseAdxnins)

或ENTERPRISEDOMAINCONTROLLERS

.-ir<-<TT?»«--J

添加⑥―I删除如I

AuthenticatedUsers的权限电)允许拒绝

□□

完全控制

回□

读取

口□

写入□□

创建所有子对象□□

删除所有子对象l

回□

应用组策略

〔

Kt0，h\Ar»n"R〔ZJ

特别权限或高级设置，请单击“高级”・

确定|取消|应用"3|

4)设置组策略

在创建了组策略对象以后，还需要对组策略对象进行配置。

配置组策略对象的步骤如下：

(1)打开活动目录，右击域名，单击【属性】，选择【组策

略】标签。

(2)选择组策略，单击【编辑】按钮，打开组策略编辑器。

3.组策略的应用

1）指派应用程序

可以将一个软件通过组策略指派给用户或者计算机，这样当

用户登录时，软件会被通告给用户，但是软件并没有真正安装

在该计算机上，而只是安装了与软件有关的部分信息，当用户

运行软件的快捷方式或者双击该软件的文档时，该软件才会被

自动安装。软件指派应用程序既可以用于计算机配置，也可用

于用户配置。

2）发布应用程序

和指派软件不同，发布一个软件时计算机并无该软件的快捷方

式，用户需要用【控制面板】I【添加或者删除应用程序】选

项来安装软件。发布应用程序只用于用户配置，在组策略中发

布的程序是否被用户安装，取决于用户。

指派或发布应用程序

【案例4】指派或发布应用程序（以用户配置为例）。

配置组策略

【案例5】设置“本地计算机”组策略。

1）设置开始菜单

2）设置最近打开文档记录

3）设置系统关机

配置组策略

配置组策略

对组策略进行设置；

注意组策略的执行顺序o

配置组策略

＞使用脚本

＞文件夹重定向

＞安全设置

＞安全模板

域安全策略及域控制器安全策略

域安全策略

域安全策略的设置影响到域中的每一台计算机，当

非域控制器的某台计算机的【本地安全策略】设置与

【域安全策略】设置冲突时，以域安全策略为准进行

应用。

1.密码策略

2.账户锁定策略

域控制器安全策略

【域控制器安全策略】是对域控制器设置的安全策略,

当它与【域安全策略】存在冲突时，以【域控制器安

全策略】为准进行应用。

本章作业

一.练习

1.填空题

(1)______是一种在用户或计算机集合上强制使用一些

配置的方法。

(2)组策略配置包含在______中，该对象又与选定的活

动目