第4章利用组策略管理用户工作环境

第四章利用组战略管理用户任务环境概述引见组战略组战略构造处置组战略对象组战略设置是如何运用在活动目录修正组战略的承继性组战略的委派管理控制监控和处理组战略冲突最正确方案引见组战略组战略是Win2021操作系统提供的一种重要的配置管理技术，用来批量控制计算机和用户的环境，包括控制运用程序、系统设置和管理模板的一种机制。在AD域环境中，经过组战略可以对计算机和用户组进展高效集中化的管理。组战略是AD域环境最有吸引力的根底架构运用之一，正确高效组战略运用可以最大化提高任务效率，节约大量时间和精神。但假设部署了不正确的组战略，排错过程往往会使人抓狂。经过运用组战略,可以:1.设置集中的和分散的管理2.确保用户有适宜完成他们任务的环境3.降低控制用户和计算机环境的总费用,因此要减少用户需求的技术支持的级别和由于用户的错误操作带来的损失4.推行公司战略,包括商业准那么,目的和严密需求SiteDomainOUWindows2021AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy组战略构造组战略设置的类型组战略的目的针对计算机和用户的组战略设置组战略目的和活动目录容器组战略设置的类型TypesofGroupPolicySettingsAdministrativeTemplates基于注册的设定运用设置和桌面环境的设置Security配置本地的计算机、域以及网络平安性设置的设置SoftwareInstallation软件安装、晋级、卸载的集中化管理的设置Scripts运转特定的命令时的设置值，如关机、退出登录InternetExplorerMaintenance管理和定制计算机的IE设置FolderRedirection在网络效力器上存储用户个性化文件夹的设置(重定向)组战略对象和活动目录容器GPO的设置将对站点、域或组织单位的用户和计算机产生影响1.管理员可将GPO和多个站点、域以及组织单位衔接2.也可将多个GPO和单个站点、域以及组织单位衔接管理员不能将GPO和默许的活动目录容器－计算机、用户和Binltin相连，由于他们不是OUSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO计算机和用户的组战略设置计算机的组战略设置1.指的是操作系统行为、桌面行为、平安性设置等等…2.计算机相关的组战略运用在操作系统初始化和周期性更新循环过程中。3.通常计算机组战略在和用户组战略冲突时有优先权。用户的组战略设置1.用户的组战略设置指定特定的操作系统行为….2.用户相关的组战略运用在用户登录计算机和周期性更新循环过程中。UsersComputers组战略对象包含组战略设置存储于两个不同位置组管理对象〔GPO〕存储在域控的sysvol共享中存储组战略设置的地方：包括：管理模板、脚本、软件安装、文件夹重定向等设置组战略模板〔GPT〕存储在活动目录数据库提供版本信息、形状信息和相关属性信息组战略容器〔GPC〕处置组战略对象创建已衔接的组战略目的创建未衔接的组战略目的衔接－已存在的组战略目的创建已衔接的组战略目的创建未衔接的组战略目的衔接－已存在的组战略目的组战略设置与首选项设置组战略首选项的特点：只需域内的组战略可以设置首选项首选项设置非强迫，用户可以更改首选项可以针对单一设置工程进展过滤首选项优先级低于战略设置客户端需安装客户端扩展集〔CSE〕DEMO战略设置实战演练：计算机配置战略设置实战演练：用户配置首选项设置实战演练1首选项设置实战演练2组战略的运用规那么普通的承继与处置规那么特殊的处置规那么特殊的处置设置指定管理组战略目的的域控制器更改组战略的运用间隔时间普通的承继与处置规那么有高究竟，层层运用，低级的覆盖高级的SiteDomainOU子容器从母容器承继GPO设置值ComputersUsersPayrollDomainDomainGPO处理组战略之间的冲突战略是积累的，假设战略之间没有冲突将全部运用假设战略之间存在冲突，将采用最新的设置计算机的设置，高于用户的设置冲突发生时，执行哪个的原那么：来自母容器的GPO设置和来自子容器的GPO设置冲突。子容器的设置后执行并发扬作用。衔接到同一容器上的不同的GPO的设置发生冲突时。在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发扬作用。课堂讨论：如何执行组战略的设置GPO1确认收藏夹出如今开场菜单中GPO2andGPO3要求11位字符的密码并将Updateicon移除开场菜单GPO4从开场菜单移除收藏夹并让updateicon出现WhataretheresultantGroupPolicysettingsfortheOU?OUSiteDomainGPO1GPO2GPO3GPO4特殊的承继设置阻止承继战略强迫承继战略挑选组战略设置课堂讨论：改动组战略的承继性阻止承继阻止承继1.阻止一切的GPO承继到子容器2.运用配置为不重写的衔接阻止承继将无效3.阻止组战略设置将允许活动目录有独一的组战略设置GPOsSalesProductionDomainNoGPOsettings

apply强迫承继战略1.将不顾其它的GPO的设置而发扬作用2.在活动目录的较高层次衔接GPO以保证能对多个OU起作用3.必需保证强迫重要的GPOSalesProductionDomainDomainGPO

settingsapplyConflicting

GPOSettingsNoOverride

GPOSettings挑选组战略设置挑选组战略设置1.明确的回绝恳求对于包含OU管理员在内的平安组的组战略答应2.删除验证的用户DomainSalesMengphKimyoGroupDenyApplyGroupPolicyAllowReadandApplyGroupPolicy课堂讨论：改动组战略的承继性SettingsThatAreNeeded在域中的一切计算机上必需安装防病毒程序除工资部门的用户外一切域里的计算机必需安装微软的office套件除工资部门的管理员计算机外，工资部门的一切计算机都必需安装系列商用财务运用程序如何设置他的GPOs?PayrollSalesContosoTraining组战略的处置时限在计算机启动的时候，将决议哪个计算机的GPO设置被运用在用户登录的时候，将决议哪个用户的GPO设置被运用ComputerstartsUserlogsonComputersettings

appliedStartupscriptsrunUsersettingsappliedLogonscriptsrun更改组战略的运用间隔时间特殊的处置设置强迫处置GPO慢速链接的GPO处置环回处置方式禁用GPO 强迫组战略的处置如何在客户端强迫刷新组战略语法:GPUpdate[/Target:{Computer|User}][/Force]/Target:{Computer|User}指定只需用户或计算机策设置已被刷新。在默许情况下，用户和计算机战略设置都被刷新。/Force重新运用一切战略设置。在默许情况下，只需曾经改动了的战略设置被运用。组战略和慢速网络衔接组战略能接纳慢速衔接组战略运用一种运算法那么来确定衔接能否为慢速衔接默许设置假设<=500k,为慢速衔接默许的慢速衔接处置 客户端扩展慢速连接基于注册的设置打开(不能关闭)IE界面设置关闭软件安装设置关闭文件夹重定向设置关闭命令设置关闭EFS覆盖设置关闭磁盘配额设置关闭安全性和加密文件系统覆盖设置关闭IP安全性设置打开(不能关闭)指定管理组战略目的的域控制器当创建一个新的GPO或编辑一个已存在的GPO时，默许的操作在承当PDC主控的域控制器上执行选择域控制器的选项1.操作主控遵照PDC的竞争原那么。2.运用活动目录插件方式。3.运用任何能够的域控制器。指定域控制器方式1.运用在组战略快照中的查看菜单下的DC选项2.在组战略设置中指定运用什么域控制器Windows管理规范〔ＷＭＩ〕过滤器Windows管理规范过滤使管理员可以基于配置，角色或其他规范决议能否在指定计算机或用户上运用一个组战略对象管理组战略拷贝GPO备份GPO复原GPO导入GPO组战略结果集利用组战略管理用户环境什么是管理模板管理模板设置修正控制用户环境的注册设置设置在注册子目录树下修正注册设置1.计算机设置HKEY_LOCAL_MACHINE2.用户设置HKEY_CURRENT_USER假设GPO不再运用，将删除组战略Win2021将同时实现组战略和本地预设注册设置，除非两者之间存在冲突计算机如何实现管理模板设置GPOList1计算机启动时，它重新获得包含计算机配置的GPO设置和执行顺序计算机衔接到指定域控的sysvol文件夹和确定Registry.pol文件位置SysvolRegistry

.polRegistry

.polGPT2客户机把Registry.pol文件中的注册设置值写到适当的子目录树下Registry

.polHKCURegistry

.polHKLM3在注册设置实施以后，将显示桌面4注册设置的值包含在Registry.pol文件夹中运用组战略中的管理模板管理模板设置类型禁闭桌面的设置禁闭用户访问网络资源的设置禁闭用户访问管理工具和运用程序的设置组战略中的回环处置方式设置实现管理模板管理模板设置的类型SettingtypesControlsAvailableforWindows

Components用户何以访问的Win2021及其工具和组件部分，包括控制用户对MMC的访问System登录、退出过程，组战略，更新区间，启用磁盘限额和实现回环处置Network网络衔接和拨号衔接的属性，包括共用网络访问Printers打印机设置，可以是打印机自动公布在活动目录中，并使基于网络的打印机无效StartMenu&

Taskbar用户可以从开场菜单中访问的功能部件Desktop活动桌面。经过隐藏某些桌面图标并控制用户对MyDocuments文件夹的运用，可以控制用户对网络的访问ControlPanel控制面板上的一些运用程序。包括限制对添加/删除程序，显示和打印机的运用禁闭桌面的设置隐藏桌面上的一切图标在退出时不会保管设置隐藏我的电脑下详细指定的驱动器从开场菜单中删除“RUN〞菜单制止用户运转控制面板中的显示功能删除WindowsUpdate菜单使工具栏和开场菜单设置的修正无效使封锁命令无效或删除该命令GroupPolicySettingstoLockDowntheDesktop禁闭用户访问网络资源的设置隐藏MyNetworkPlaces图标删除“MapNetworkDrive〞和

“DisconnectNetworkDrive〞工具菜单：禁用Internet选项GroupPolicySettingstoLockDownUser

AccesstoNetworkResources禁闭用户访问管理工具和运用程序的设置从开场菜单删除“Search〞菜单从开场菜单删除“Run〞菜单禁用义务管理器只运转允许的Windows运用程序在开场菜单删除Documents菜单禁用对工具栏和开场菜单设置的修正隐藏开场菜单中的普通程序组GroupPolicySettingstoLockDownUserAccess

toAdministrativeToolsandApplications设计管理模板未配置－Windows2021忽略该设置，不产生对计算机产生任何变化启用－Windows2021实现该设置，并把引起的变化添加到适宜的Registry.pol文件中禁用－Windows2021防止实现该设置，并把引起的变化添加到适宜的Registry.pol文件中OrOr启用禁用未配置

(默许)练习：编辑组战略设置Inthispractice,youwilleditGroupPolicysettings什么是组织战略脚本设置组战略脚本设置允许他：执行不能经过其它组战略设置配置义务的脚本运转预先曾经存在的用来管理用户环境的脚本，直到建立其它组战略设置来替代这些脚本执行的义务Scripts计算机设置启动/关机用户设置登录/注销启动/关机计算机用户登录/注销分配组战略脚本设置练习：利用组战略分配脚本Inthispractice,youwilluseGroupPolicytoassignscripts利用组战略重定向文件夹什么是文件夹重定向选择需求重定向的文件夹把文件夹重定向到效力器位置什么是文件夹重定向重定向文件夹的优点：不论用户从哪个计算机上登录都可以