Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目22 通过组策略管理用户环境

项目22通过组策略管理用户环境策略和首选项的区别策略和首选项的优先级首选项的设置目录策略和首选项的区别策略和首选项的区别1.定义与性质：策略：策略是指为实现特定目标而制定的一系列规则或指导原则，它通常具有强制性。在活动目录中，策略通过组策略对象（GroupPolicyObject，GPO）来实施，用于配置和管理客户端计算机和用户的设置，如安全设置、软件部署、用户权限等。策略一旦被部署，用户通常无法直接修改其设置，除非具有相应的管理权限。首选项：首选项是WindowsServer2008R2及以后版本中引入的一种新的组策略配置方式。与策略不同，首选项允许用户（在策略允许的范围内）对配置进行一定程度的自定义和修改。首选项设置通常作为默认值提供，用户可以在登录后根据自己的需求进行调整。策略和首选项的区别2.应用场景与功能：策略：策略适用于需要强制执行的安全设置、软件部署和用户权限等场景。例如，管理员可以通过策略来限制用户对某些系统资源的访问权限，或者确保所有客户端计算机都安装了最新的安全补丁。策略的设置通常较为严格，以确保系统的安全性和稳定性。首选项：首选项适用于那些需要灵活配置的场景，如桌面背景、开始菜单布局、打印机映射等。通过首选项，管理员可以更容易地向客户端计算机和用户账户添加自定义设置，而无需编写复杂的脚本或进行繁琐的手动配置。同时，用户也可以在登录后根据自己的喜好对部分首选项设置进行调整。策略和首选项的区别3.用户权限与可修改性：策略：策略具有强制性，用户通常无法直接修改其设置。如果用户需要更改策略设置，必须联系具有相应管理权限的管理员进行操作。这种机制有助于确保策略的一致性和有效性，防止用户随意更改系统设置导致安全问题。首选项：首选项允许用户在一定范围内对设置进行自定义和修改。然而，这种修改通常受到策略的限制和约束。例如，管理员可以通过策略来限制用户对某些首选项设置的修改权限，以确保系统的整体安全性和稳定性。策略和首选项的区别对于很多系统设置，管理员既可以通过策略设置实现，又可以通过首选项实现，二者之间有一部分重叠，如果一个特定的任务既可以用策略实现，又可以用首选项实现，那么域管理员该如何选择呢？下面我们结合实例进行讲解。例如，通过策略指定必须使用的脚本，这些脚本可以完成映射网络驱动器、配置打印机、创建快捷方式、复制文件等任务。但如果使用首选项，则可以不登录脚本，只需要简单地通过界面视图，就可以快速完成相同的任务。那么哪种方法好呢？这其实没有标准，它取决于管理员，如果管理员熟悉脚本，则可以用策略；如果管理员不熟悉脚本，则可以用首选项。策略和首选项的优先级策略和首选项的优先级在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略优先。对于不基于注册表的策略和首选项，优先级取决于策略与首选项在客户端扩展执行的顺序。判断策略设置是否基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在“策略、管理模板”中。首选项的设置首选项的设置1.设备安装：策略可以通过阻止用户安装驱动程序的方法，限制用户安装某些特定类型的硬件设备。首选项可以禁用设备和端口，但它不会阻止设备驱动程序的安装，也不会阻止具有相应权限的用户通过设备管理器启用设备或端口。首选项的设置1.设备安装：如果想完全锁定并阻止某个特定设备的安装和使用，则可以将策略和首选项配合起来使用：用首选项禁用已安装的设备，并且通过策略设置阻止该设备驱动的安装。策略位置：计算机配置\策略\管理模板\系统\设备安装限制\首选项位置：计算机配置\首选项\控制面板设置\设备\首选项的设置2.文件和文件夹通过策略可以为重要的文件和文件夹创建特定的访问控制列表（ACL）。然而，在只有目标文件或文件夹存在的情况下，ACL才会被应用。通过首选项，可以管理文件和文件夹。对于文件，可以通过从源计算机复制的方法对其进行创建、更新、替换或删除；对于文件夹，可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。首选项的设置2.文件和文件夹因此，可以通过首选项创建一个文件或文件夹，并且通过策略对创建的文件或文件夹设置ACL。需要注意的是，在首选项的设置中，应该选择“只应用一次而不再重新应用”，否则创建、更新、替换或删除的操作会在下一次组策略刷新时被重新应用。策略位置：计算机配置\策略\Windows设置\安全设置\文件系统\首选项位置：计算机配置\首选项\Windows设置\文件\

计算机配置\首选项\Windows设置\文件夹\首选项的设置3.InternetExplorer在计算机配置中，策略（Internet设置）配置了浏览器的安全增强并帮助锁定Internet安全区域设置。在用户配置中，策略（Internet设置）主要用于指定主页、搜索栏、链接、浏览器界面等。在用户配置中的首选项（Internet设置）中，允许设置Internet选项中的所有选项，包括“常规”、“安全”、“隐私”、“内容”、“连接”、“程序”、“高级”、“常用”等选项卡。首选项的设置3.InternetExplorer策略是被管理的，而首选项是不被管理的，用户可以自行修改。因此，当用户想要强制设定某些Internet选项时，应该使用策略设置。策略位置：计算机配置\策略\管理模板\windows组件\InternetExplorer\

用户配置\策略\管理模板\windows组件\InternetExplorer\首选项位置：用户配置\首选项\控制面板设置\Internet设置\首选项的设置4.打印机通过策略可以设置打印机的工作模式、计算机允许使用的打印功能、用户允许对打印机的操作等。通过首选项可以映射和配置打印机，这些首选项包括配置本地打印机及映射网络打印机。首选项的设置4.打印机因此可以运用首选项为客户机创建网络打印机或本地打印机，并且通过策略限制用户和客户机的打印相关功能设置。策略位置：用户配置\策略\管理模板\控制面板\打印机\

计算机配置\策略\管理模板\控制面板\打印机\首选项位置：用户配置\首选项\控制面板设置\打印机\首选项的设置5.“开始”菜单通过策略可以控制和限制“开始”菜单选项和不同的“开始”菜单行为。例如，可以指定是否要在用户注销时清除最近打开的文档历史，或是否在“开始”菜单上禁用拖放操作，还可以锁定任务栏，移除系统通知区域的图标以及关闭所有通知等。通过首选项可以如同控制面板中的任务栏和“开始”菜单属性对话框一样来配置。首选项的设置5.“开始”菜单策略位置：计算机配置\策略\管理模板\“开始”菜单和任务栏\

用户配置\策略\管理模板\“开始”菜单和任务栏\首选项的设置6.用户和组通过策略设置可以限制AD组或计算机本地组的成员。通过首选项设置可以创建、更新、替换或删除计算机本地用户和本地组。首选项的设置6.用户和组对于计算机本地用户，可以进行以下操作。（1）重命名用户账户。（2）设置用户密码。（3）设置用户账户的状态标识（如账户禁用标识）。对于计算机本地组，首选项可以进行以下操作。（1）重