组策略的应用课件

组策略的应用

2012年6月21日1时55分

本章目标

■理解GPO的概念

■掌握组策略管理器的使用

■理解GPO的应用规则

■利用组策略完成用户环境的管理

2012年6月21日1时55分2

本章目标

■软件部署概论

■Windows软件部署组件

■软件部署

■配置软件部署

■维护软件部署

■软件部署排错

■最佳方式

2012年6月21日1时55分3

组策略的作用(1)

•方便地管理AD中的计算机和用户

-账户策略的设定

-本地策略的设定

一脚本的设男

-用户桌面」

2012年6月21日1时55分4

组策略的作用(2)组策略

•方便地管理AD中的计算机和用户

行的脚本文件

-软件分发

-安全设置

2012年6月21日1时55分5

应用组策略的前提条件

■组策略只能管理AD中的计算机和用户

■只能在域控制器上设置组策略

■只能针对整个站点、域或组织单位来设

置组策略

■要使用组策略，必须有相应的管理权限

■组策略只适用于Windows2000以上操作系

统的计算机

2012年6月21日1时55分6

组策略结构

管理模板基于注册表的组策略设置

安全设置本地，域及网络安全

软件安装设置集中化管理和软件安装

脚本设置开机、关机或者用户登陆、退出时运行的脚本

当运行远程安装服务(RIS)的远程安装向导时'控制用户

远程安装服务

可能的选项设置

InternetExplorer维护管理和定制基于Windows2000的IE的设置

文件夹重定向网络服务器上用户文件夹的设置

2012年6月21日1时55分7

组策略

GPO1

8

2012年6月21日1时55分

GPO与SDOU间的链接关系

链接到GPO

组织单位V组织单位组织单位V组织单位

B多个容器对一个GP4

♦GPO

2012年6月21日1时55分A一个容器对一个GPO59

GPO组件

组策略容器

组策略对象

，存储在ActiveDirectory

，提供版本信息

组策略模板

€包含组策略设置

€存储在两个位置

•存储在共享文件夹SYSVOL

€提供组策略设置

查看GPC、GPT、LCP

■GPC-grouppolicycontainer

■AD计算机用户和注算机-高级-选择域-展开System

容器-policies,将会看到包含用GUID所标识两个

默认GP0的文件夹(defaultdomainpolicyand

domaincontrollerpolicy)

■GPT-grouppolicytemplates

2012年6月21日1时55分11

查看GPC、GPT、LCP

■存放于当前。(3的％5丫5{6111]700{%\5丫5丫01\5丫5丫01\域

名称\policies文件夹内，同样是以GUID所标识两

个默认GP0的文件夹(defaultdomainpolicyand

domaincontrollerpolicy)

■LCP-localcomputerpolicy

■本地计算机策略，存放于本地计算机的、

%systemroot%\system32\grouppolicy文件内

2012年6月21日1时55分12

组策略应用的场答略应用的场合

2012年6月21日1时55分13

新建GPO

2

?J2£1

我的电脑

常规

殂策略对象链接

命令提示符^DefaultDomainPolicy

Domain

LeapFTP

ActiveDirec

计菖机

ActiveDirec

计篁机列表中较高位置的殂策略对象具有最高的优先权

由bupLsun.bupt.local获得这一列表

向上QJ)

远程协助

选项@)删除(1)属性史)向下®

r阻止策略继承国)

关闭应用⑥

20114

管理用户桌面环境

文件如操作也）查看9帮助第

MyGPOforDomainI

H扇计篁机配置

田软件设置

选择一个项目来查看它的描述,

国一］设置

Windows□ActiveDesktop

国I笆理模板

!lActiveDirectory

商;隐藏和禁用桌面上的所有项目未被配置

一］软件设置

务删除桌面上的“我的文档”图标未被配置

加删除桌面上的“我的电脑”图标未被配置

o」管理模板

国从桌面删除回收站未被配置

{+}一|Windows蛆件

渝从“我的文档”上下文菜单中删除“属性”

_J仟条档和「开始Ji未被配置

:斗从“我的电脑”上下文菜单中删除“屋性”

&V桌面未被配置

由」控制面板国册赊“回收站”上下文菜单的属性未被配置

,隐藏桌乌上“网上邻居”图标

CJ共享文件夹未被配置

商1隐藏桌面上的InternetExplorer图标未被配置

,不要将最近打开的文档的共享添加到“网上邻居”未被配置

哥禁止用尸更改“我的文档"路径未被配置

彳争禁止添加、抱、放和关闭任务栏的工具栏

国禁用调整桌面工具栏未被配置

期退出时不保存设置未被配置

甑删除清理桌面向导未被配置

201：15

利用GPO实现安全设置

777文件⑥操作⑥查看9帮助电）

文件Q：-------；——尸=；-云----------

Domain

19蛆金安全策略设詈

国」软件设置

El_jWindows设置

⑤|脚本CS动/关机）

日百安全设置

ffi湎受限制的组

而因系统服务

®LS注册表确定

田逢文件系统

田Y无线网络（IEEE8C

国_|公钥策略

田」软件限制策略

田曷IP安全策略，在

S一］管理模板

由_］软件设置

S」Windows设置

国」管理模板

2012^16

管理模板

■定义系统中所有涉及到注册数据的设置

■计算机配置

■用户配置

%组策略给辑器-ln|x|

文件（V模作⑧造看（V）湘助（M）

设置|说明I

节阴止更改墙纸

臼国讦曾机配置

S_）软件设置

Wiwindzv港罟r弁eg©

『臼管理模被

6已启用©;

二犯件

5JWindowsr已禁用也）

S口系技

电口网络

C1打印机—.；'/

日啰用户配置

图」软件设置

国沿罟

-臼,J管理模板

S：LJWindows姐件

任务栏和「开始」菜单

田口京面

色：_!控制面极

□共享文件夹

网口网络

国口系统支持于至少Microsoft阴ndows2000

上一设置化）|下一设置理）

确定|取消|三臣V.

、外展/｛诟推7

2012年6月21日1时55分17

文件夹重定向

a凶!□1x|

文件口操作，

MyGPOforDomain可以4淀我的文档文件夹的位置

原计菖机配置

出口软件设置

3口Windows设呈

®U管理模板

这个组策略:

国□软件设置1这个文件夹的位置没有影响

；.要保证这£文件夹重定

白！_)Windows设善:定向到本地，户配置文件位置”选项.

拶远程安装

堂脚本遢

国序安全设置

：Bl_J文件夹重

_JAppli

图片增

应用®

2012^18

同步和异步处理

■默认的组策略处理是同步的

■可以通过使用组策略设置将默认的行为3

在选定的时间间隔内刷新组策略

在运行Windows2003Sever但没有配置成域控制器的

计算机和运行WindowsXP的计算机上每90~120分钟刷

新一次

■域控制器每5分钟刷新一次

■不论策略配置值是否有变化，系统仍然会每隔16小时

自动启用一次

■手动强制刷新组策略

■gpupdate/force

未发生变更的组策略设置的处理

■你可以配置每一个客户端的扩展来处理所有可用的组

策略设置

2012年6月21日1时55分19

间的冲突

应用组策略的结果是那些除了发生冲突以外设置的

应用

组策略的配置具有累加性

如果发生冲突，默认的状态下，实施最后的设置

来自父容器的GPO设置和来自子容器的GPO设置发生冲突。

子容器的设置后执行并发挥作用

当站点、域、0U的GPO策略发生冲突时，则以处理顺序在

后的GPO优先。

处理优先顺序为：站点的GPO、域的GPO、0U的GPO

当用户设置和计算机设置发生冲突时，忽略用户设置而

执行计算机设置

如果多个GPO链接到同一个0U,那么所有GPO的配置将被

累加作为最后的有效配置。如果这些GPO配置有冲突，则

以排在GPO列表最上面的GPO配置为优先。

“本地计算机策略”的优先权最低，也就是在其策略配

置与站点、域、0U的策略配置发生冲突时，本地计算机

策略无效。

监控和解决组策略冲突

■监控组策略

■组策略解决工具

■解决组策略冲突

2012年6月21日1时55分21

监控组策略

■组策略可通过下列方式被监控:

■启用诊断记录

■启用组策略的诊断记录将在计算机启动和用户

登录时生成大量事件

■启用详细记录

■详细记录将记录所有的变更和应用到本地计算

机和登录计算机的用户的设置

■启用详细记录将涉及添加详细记录的注册关键

词

2012年6月21日1时55分22

组策略解决工具

■Windows2003支持的解决组策略问题

工具：

■Netdiag.exe

■Replmon.exe

■上面两个程序都是在安装光盘的1386文件

夹内的adminpak.msi里面

2012年6月21日1时55分23

组策略解决工具

■解决组策略问题的Windows2003资源

工具箱工具：

■Gpotool.exe

■Gpresult.exe

2012年6月21日1时55分24

解决组策略冲突

在试图打开或编辑组策略时，接受到错误信息表明

r一组策略对象不能被访问或打开

组策略设置不能发挥预设的功能

2012年6月21日1时55分25

最佳方案

2012年6月21日1时55分26

委派管理

〈上一步里“下一步国）》取消|

2012年6月21127

利用GPO实现软件分发

■软件分发的好处

■自动安装

■自动修复

■自动升级

■远程删除

■软件分发的方式

■发布给用户

■指派给用户

2012年6用1指派给计算机28

软件部署概论

29

Windows安装程序

WindowsInstallerserviceWindowsInstallerpackagecontains

由使用软件安装和配置完全u包含安装和卸载应用程序的安

自动化装服务所需的所有信息

u修改或修补现有的应用程3由.msi文件和其它所需文件组

序成

o包含应用程序的概述信息

。包含产品文件的参考

使用Windows［，定制安装

安装程序I.□弹性应用程序

2()12年6川211I1时55分。卸载彻底30

部署软件

■软件部署概述

■建立软件分发点

■指派软件&发布软件

■使用组策略部署软件包

■设置软件安装默认值

2012年6月21日1时55分31

软件布署概述

Bl四国

Property1Property2Property3

指派软件&发布软件

在用户配置中指

派软件

2012年6月21日1时55分33

建立软件分发点

ead

Permissions

创建共享文件夹

在其中创建相应的应用程序文件夹

3Copy包文件到相应的程序文件夹

为用户设置只读的权限

henCreatingaSoftwareDistributionP(

用Dfs创建单一共享点,可以冗余和平衡负载

防止别人浏缆分布点的文件，可以使用隐含共享

2012年6/为应用程序创建.MSI包及并放在共享文件夹卜34

使用组策略部署软件包

部署软件包

为用户或计算机建立/编辑GPO来部署软

1件包

2选择要部署的软件包

选择部署方式：发布、指派、或配置包属

3性

配置软件包属性选项

[■部署类型

U部署选项

安装选项

建立软件分发点

-Jglxl

-11X]

msiexecMicrosoftOffice2000位于：转到

将在以下位置安装Office.要改变位置，话单击“浏览”按钮.（1）

i

l管理员安装|D：\Softwai-ePackageVMSOffice2K\

-用户信息

如

「许可和支持信息

而安装位置

鼎正在安装Office

出

文件

这是Office的安装向导.它将引导您完成安装过程.

2012年6月21日1日36

建立部署软件的组策略

2012年£37

发布软件

2012年6月38

指派软件（1）

Ad*inPak属性

AdainPak星件2J凶

常规|链接安全|WMJ筛选器|2J凶回凶

建立二文件⑥编

J后退二祖或田口冬的上）

蝇@）日

[AuthenticatedUser

文件夹或CREATOROWNER

msiex面桌面S1

王□我的女DomainAdmins®UPT\DomainAdmins)

日y我的隹EnterpriseAdminsCBUPTVEnterpriseAdmins)

a43」三禁用

国3本:或ENTERPRISEDOMAINCONTROLLERS

日3本:

CrCTTM.二I

0添加地）.|删除国）|

AuthenticatedUsers的权限(P)允许拒绝

+□

完全控制

□

读取

□

写入

9□

创建所有子对象

口

册1除所有子对象―

「|

二

应用姐策略二

S)~±Q±J

田4XQ/—nf?H

特别权限或高级设置，语单击“高级”■高级9I

国.dCD

a臼网上令

•IfnliRy^l

11_________

4个对象向生福一I取消I遍⑴

2012年6月21日1时凭分美闭：?：应用IA）139