Download
1 / 31
310 likes | 539 Views
组策略. 本章目标. 利用组策略管理域中的计算机和用户工作环境,实现软件分发 理解组策略作用 掌握组策略继承与阻止继承操作 理解组策略应用顺序 掌握组策略强制生效、筛选组策略设置 掌握软件分发方式:指派与发布. 本章结构. 组策略作用. 组策略结构. 组策略概念. 组策略简单应用. 计算机配置 / 用户配置. 继承与阻止继承. 累加. 应用顺序. 组策略. 应用规则. 分发软件. 强制生效. 修复软件. 筛选. 软件设置. 删除软件. 升级软件. 组策略的作用 2-1. 方便地管理 AD 中的计算机和用户 用户桌面环境
E N D
组策略 Chapter
本章目标 • 利用组策略管理域中的计算机和用户工作环境,实现软件分发 • 理解组策略作用 • 掌握组策略继承与阻止继承操作 • 理解组策略应用顺序 • 掌握组策略强制生效、筛选组策略设置 • 掌握软件分发方式:指派与发布 Chapter
本章结构 组策略作用 组策略结构 组策略概念 组策略简单应用 计算机配置/用户配置 继承与阻止继承 累加 应用顺序 组策略 应用规则 分发软件 强制生效 修复软件 筛选 软件设置 删除软件 升级软件 Chapter
组策略的作用2-1 方便地管理AD中的计算机和用户 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 软件分发 安全设置 活 动 目 录 域控制器 域 组策略 Chapter
组策略的作用2-2 使用组策略可以 对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 推行公司使用计算机规范 桌面环境规范 安全策略 组策略适用哪些操作系统 Chapter
组策略结构3-1 • 组策略的具体设置数据保存在GPO中 • 默认的2个GPO • 默认域策略 • 默认域控制器策略 • GPO所链接的对象 • SDOU • GPO控制 • SDOU中的计算机和用户 组策略 GPO SDOU 计算机 用户 Chapter
组策略结构3-2 站点的概念 活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速联接在一起的IP子网组成 站点和域的关系 一个站点中可以有多个域 一个域中可以有多个站点 站点的主要作用 优化复制 使用户能够使用可靠、高速的连接登录到域控制器上 Chapter
组策略结构3-3 GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构 查看GPC和GPT Chapter
组策略简单应用 BENET公司要求销售部的员工不能随意更改桌面背景 步骤 1 )右击销售部OU|【属性】|【组策略】,单击【新建】,输入GPO的名字为“销售部GPO” 2 )打开【组策略编辑器】,选择“阻止更改墙纸” 3)双击“阻止更改墙纸”,启用该策略,然后关闭【组策略编辑器】 Chapter
计算机配置与用户配置2-1 计算机配置 软件设置 Windows设置 脚本 安全设置 管理模板 Windows 组件 系统 网络 打印机 查看计算机配置 Chapter
计算机配置与用户配置2-2 用户配置 软件设置 Windows设置 远程安装服务 脚本(登录/注销) 安全设置 文件夹重定向 IE浏览器维护 • 管理模板 • Windows 组件 • 任务栏和【开始】菜单 • 桌面 • 控制面板 • 共享文件夹 • 网络 • 系统 查看用户配置 Chapter
阶段总结 • 组策略有哪些作用 • 组策略适用哪些操作系统 • 默认的2个GPO是什么 • 站点和域的关系 • 组策略包含哪些内容 Chapter
阶段练习 • 背景 • BENET公司为了统一公司的桌面设置,所有域用户不能随意修改背景 • 如何利用组策略实现此功能 • 目标 • 组策略的作用 • 修改GPO • 组策略的用户配置 Chapter
组策略应用规则 继承与阻止继承 累加 应用顺序 强制生效 筛选 Chapter
继承与阻止继承 在默认情况下,下层容器会继承来自上层容器的GPO(组策略对象) 例如 销售部OU的GPO中设置IE主页URL为http://www.benet.com.cn 北京销售部OU中的用户登录客户机后,IE的主页地址为“http://www.benet.com.cn” 子容器可以阻止继承上级的组策略 例如 销售部OU的GPO中设置主页URL为http://www.benet.com.cn 右击北京销售部|【属性】|【组策略】选项卡,选中【阻止策略继承】选项 北京销售部OU中的用户登录客户机后,IE的主页地址不是“http://www.benet.com.cn” 验证继承和阻止继承 Chapter
累加 容器的多个组策略设置如果不冲突,则最终的有效策略是所有组策略设置的总和 容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略 验证累加效果 Chapter
应用顺序 本地组策略对象 每台运行 Windows XP/2000/2003 的计算机都只有一个本地组策略对象 打开本地GPO的2种方法 MMC和gpedit.msc 组策略按以下顺序被应用: LSDOU 1)首先本地组策略对象 2)如果有站点组策略,则应用之 3)然后应用域组策略对象 4)如果计算机或用户属于某个OU,则应用之 5)如果计算机或用户属于某个OU的子OU,则应用之 Chapter
域 工程部 冲突 GPO 设置 “强制生效”的 GPO 设置 销售部 强制生效 • 强制生效是上级容器强制下级容器执行其GPO设置 • 如果销售部OU阻止继承域的策略 • 或者销售部OU与域的GPO设置冲突 销售部应用域的GPO设置 强制生效 验证强制生效效果 Chapter
域 销售部 GPO 设置 Sales salemanager 筛选组策略设置 • 筛选可以阻止一个GPO应用于容器内的特定计算机和用户 • 设置读取和应用组策略的权限 • 允许 • 拒绝 验证筛选效果 受GPO影响 不受GPO影响 Chapter
阶段总结 • 下层容器默认继承来自上层容器的GPO • 子容器可以阻止继承上级的组策略 • 如果不冲突,则最终的有效策略是所有组策略设置的总和 • 如果冲突,则后应用的组策略覆盖先应用的组策略 • 组策略按以下顺序被应用: LSDOU • 上级容器的GPO强制生效 Chapter
利用GPO实现软件设置 分发软件 修复软件 删除软件 升级软件 Chapter
分发软件 分发软件的步骤 1)获取Windows安装程序包文件;该软件包包含一个.msi文件以及必要的相关安装文件 2)将软件安装文件放到一个软件分发点 3)创建或修改GPO 指派与发布的区别 指派, 程序在【开始】菜单中 发布, 程序显示在【控制面板】|【添加/删除程序】中 分发Windows2003管理工具包软件 Chapter
修复软件 如果用户的软件发生文件丢失或损坏时,自动重新复制正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏 在服务器上修复该软件的源文件 重新部署一次 Chapter
删除软件 【立即从用户和计算机卸载软件】:下一次用户登录或计算机启动时,软件会被强制删除 【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装 Chapter
升级软件 举例 Office2000升级到Office2003 Visio2000升级到visio2002 强制升级 会强制用户将当前软件升级到新的版本 可选升级 允许用户同时使用一个应用程序的两个版本 Chapter
阶段总结 • 软件设置分为:分发、修复、删除、升级 • 分发软件:指派与发布的区别 • 删除软件的两种方法是什么 • 升级软件的两种方法是什么 Chapter
阶段练习 • 背景 • BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” • 如何使用组策略实现此功能 • 目标: • 组策略的软件设置 • 修改GPO • 指派软件与发布软件 Chapter
本章总结 组策略作用 计算机配置 对容器中的计算机起作用 用户配置 对容器中的用户起作用 GPO,SDOU GPC,GPT 组策略结构 组策略概念 组策略简单应用 计算机配置/用户配置 继承与阻止继承 累加 1.获取Windows安装程序包文件 2.将软件安装文件放到一个软件分发点 3.创建或修改GPO 应用顺序 LSDOU 组策略 应用规则 上级容器的GPO强制生效 分发软件 强制生效 筛选可以实现阻止一个GPO应用于容器内部的特定计算机和用户 修复软件 筛选 软件设置 删除软件 升级软件 Chapter
实验 • 任务1 组策略简单应用 • 任务2 利用GPO分发Windows 2003管理工具包 Chapter
任务1 组策略简单应用 • 背景 • BENET公司为了统一公司的桌面设置,所有域用户不能随意修改背景 • 如何利用组策略实现此功能 • 完成标准 • 编辑默认域策略 • 管理员账户登录成员计算机不能修改桌面背景 Chapter
任务2 利用GPO分发管理工具包 • 背景 • BENET公司需要为域中的每个用户安装“Windows Server 2003管理工具包” • 如何使用组策略实现此功能 • 完成标准 • 编辑GPO,实现指派方式的软件分发 • 在成员计算机上的【开始】菜单的【管理工具】中增加了许多服务管理工具 Chapter
