chap7 组策略.ppt

1、组 策 略,回顾上章内容,密码策略包含哪些选项？ 帐户锁定策略哪些选项？ 本地策略有哪几部分？ 如何实现文件及文件夹审核？ 本地安全策略、域安全策略、域控制器安全策略三者关系？,本章目标,理解组策略的作用 掌握组策略继承与阻止继承 理解组策略应用顺序 掌握组策略强制生效、筛选 掌握软件分发方式,教师讲解本章目标,组策略的作用2-1,方便地管理AD中的计算机和用户 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 软件分发 安全设置,组策略,组策略的作用2-2,使用组策略可以 对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 降低布置用户和计算机环境的总

2、费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 推行公司使用计算机规范 桌面环境规范 安全策略 组策略不适用于早期的Windows操作系统 如Windows 9x/NT,组策略结构3-1,组策略的具体设置数据保存在GPO（Group Policy object）中 默认的2个GPO 默认域策略 默认域控制器策略 GPO所链接的对象 SDOU（Site、Domain、Organizational Unit） GPO控制 SDOU中的计算机和用户,SDOU,GPO,计算机,用户,组策略,组策略结构3-2,站点的概念 活动目录中的站点是从物理上抽象的

3、概念 由一个或多个高速连接的IP子网组成 站点和域的关系 一个站点中可以有多个域 一个域中可以有多个站点 站点的主要作用 优化复制 使用户能够使用可靠、高速的连接登录到域控制器,组策略结构3-3,GPO的组件存储在GPC和GPT中 GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构,组策略简单应用,目标 销售部的员工不能随意更改桌面背景 步骤 单击“开始”“程序”“管理工具”“Active Directory用户和计算机” 右击销售部OU“属性”“组策略”，单击“新建”

4、按钮，输入GPO的名字为“销售部GPO” 打开“组策略编辑器”窗口，选择“阻止更改墙纸” 双击“阻止更改墙纸”，启用策略,计算机配置与用户配置2-1,计算机配置 软件设置 Windows设置 脚本 安全设置 管理模板 Windows 组件 系统 网络 打印机,计算机配置与用户配置2-2,用户配置 软件设置 Windows设置 远程安装服务 脚本（登录/注销） 安全设置 文件夹重定向 IE浏览器维护,管理模板 Windows 组件 任务栏和【开始】菜单 桌面 控制面板 共享文件夹 网络 系统,小结,组策略有哪些作用？ 组策略适用哪些操作系统？ 默认的2个GPO是什么？ 站点和域的关系？,组策略应

5、用规则,继承与阻止继承 累加 应用顺序 强制生效 筛选,继承与阻止继承,在默认情况下，下层容器会继承来自上层容器的GPO（组策略对象） 销售部OU继承域的组策略。 北京销售部OU继承其上级销售部OU的组策略 子容器可以阻止继承上级的组策略,累加,容器的多个组策略设置如果不冲突，则最终的有效策略是所有组策略设置的总和 容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略,教师演示并讲解相关理论,应用顺序,本地组策略对象 每台运行 Windows XP/2000/2003 的计算机都只有一个本地组策略对象 打开本地GPO的2种方法 MMC和gpedit.msc 组策略按以下顺序被应用：

6、 LSDOU 1）首先本地组策略对象 2）如果有站点组策略，则应用之 3）然后应用域组策略对象 4）如果计算机或用户属于某个OU，则应用之 5）如果计算机或用户属于某个OU的子OU，则应用之,强制生效,强制生效是上级容器强制下级容器执行其GPO设置 如果销售部OU阻止继承域的策略 或者销售部OU与域的GPO设置冲突 销售部应用域的GPO设置,验证强制生效效果,强制生效,教师演示并讲解相关理论,筛选,不受GPO影响,受GPO影响,筛选可以阻止一个GPO应用于容器内的特定计算机和用户,设置读取和应用组策略的权限 允许 拒绝,小结,如何理解组策略的继承？ 如何理解组策略的累加？ 组策略的应用顺序？

7、如何使用组策略的强制生效？ 如何使用组策略的筛选？,利用GPO实现软件设置,分发软件 修复软件 删除软件 升级软件,分发软件,分发软件的步骤 1）获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件 2）将软件安装文件放到一个软件分发点 3）创建或修改GPO 指派与发布的区别： “指派” 可以将程序指派到用户或计算机。 指派的程序在客户机的“开始”菜单中 “发布” 可以将一个程序发布给用户 发布的程序显示在“控制面板”“添加/或删除程序”中 “指派”是比“发布”更具强制性的部署方式。,修复软件,如果用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏 在服务器上修复该软件的源文件 重新部署一次,删除软件,立即从用户和计算机卸载软件 下一次用户登录或计算机启动时，软件会被强制删除 允许用户继续使用软件，但禁止新的安装 用户和计算机仍可继续执行使用软件，但不允许重新安装,升级软件,举例 Office2000升级到Office2003 Visio2000升级到visio2002 强制升级 会强制用户将当前软件升级到新的版本 可选升级 允许用户同时使用一个应用程序的两个版本,小结,