《{战略管理}windowsserver2008组策略应用》由会员分享,可在线阅读,更多相关《{战略管理}windowsserver2008组策略应用(32页珍藏版)》请在金锄头文库上搜索。
1、第八章 组策略应用,Windows 2008系统管理,课程回顾,域、树、林之间是什么关系? 如何将一台计算机安装成域控制器? 本地域组的特点是什么? 全局组的特点是什么? 如何实现OU的委派功能?,章节目标,理解组策略的作用 理解组策略的应用顺序 会配置组策略的继承 会配置组策略的强制生效 会配置组策略实现软件分发,组策略的作用2-1,方便管理AD中用户和计算机的工作环境 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 软件分发 安全设置,域,组策略的作用2-2,通过组策略可以 对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 降低布置用户和计算机环
2、境的总费用 只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 推行公司使用计算机的规范 桌面环境规范 安全策略 组策略适用的操作系统,组策略的结构3-1,组策略的具体设置数据保存在GPO中,默认GPO 默认域策略,默认域控制器策略,GPO所链接的对象 SDOU GPO控制 用户和计算机,组策略的结构3-2,站点的概念 活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速链路连接在一起的IP子网组成 站点和域的关系 一个站点中可以有多个域 一个域中可以有多个站点 站点的主要作用 优化复制 使用户能够使用可靠、高速的连接登录到域控制器上,组策略的结构3-
3、3,GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构,计算机配置与用户配置2-1,计算机配置 策略 软件设置 Windows设置 管理模板 首选项 Windows设置 控制面板设置,计算机配置与用户配置2-2,用户配置 策略 软件设置 Windows设置 管理模板 首选项 Windows设置 控制面板设置,案例:组策略的简单应用,需求: 公司的网络采用域结构进行管理,销售部员工的用户账户都位于Sales_OU中,现要求销售部的员工统一使用公司指定的桌面背景,而且不能随
4、意更改成其它桌面背景 实现思路: 创建并链接组策略 配置组策略 用户配置策略管理模板桌面桌面桌面墙纸,小结,请思考: 组策略能够链接在哪些对象上? 请举一个组策略应用的实例。,组策略的应用规则,继承与阻止继承 累加 应用顺序 强制生效 筛选,继承与阻止继承,在默认情况下,下层容器会继承来自上层容器的GPO 子容器可以阻止继承上级的组策略 右击容器阻止继承,继承Sales_OU的组策略,继承域的组策略,累加,容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和 容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略,应用顺序,组策略按以下顺序被应用: LSDOU 首先应
5、用本地组策略对象 如果有站点组策略对象,则应用之 然后应用域组策略对象 如果计算机或用户属于某个OU,则应用OU上的组策略对象 如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象 如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用,强制生效,强制生效是上级容器强制下级容器执行其GPO设置,强制的,筛选,筛选可以阻止一个GPO应用于容器内的特定计算机和用户,Sales_OU,ManagerA,Sales,GPO 设置: 阻止更改墙纸,小结,请思考: 如果OU上的组策略设置与域上的组策略设置冲突,OU的有效策略是什么? 如果OU上的组策略设置与域上的组策略设置不冲
6、突,OU的有效策略是什么? 组策略的应用顺序是什么?,利用组策略实现软件分发,分发软件 修复软件 删除软件 升级软件,分发软件,分发软件的步骤 获取Windows安装程序包文件;该软件包包含一个.msi文件以及必要的相关安装文件 将软件安装文件放到一个软件分发点 创建或修改GPO 分配与发布的区别 分配:分配到用户或计算机 发布:发布给用户 分配比发布更具强制性,修复软件,用户的软件发生文件丢失或损坏时,自动重新复制正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏 在服务器上修复该软件的源文件 重新部署一次,删除软件,不再需要分发的软件,可以在GPO中删除软件设置 下一次用户和计
7、算机登录或启动时,软件会被强制删除 用户和计算机仍可继续执行使用软件,但不允许重新安装,升级软件,强制升级 强制用户将当前软件升级到新的版本 可选升级 允许用户同时使用一个应用程序的两个版本,实验案例1:组策略简单应用,需求描述: 公司搭建了Windows 2008域,域中有多个账户UserA、UserB和计算机账户Client01,如何使域中所有用户使用统一的桌面背景?,域,实验案例1:组策略简单应用,实现思路: 利用组策略统一桌面背景 准备桌面背景图片 规划桌面背景图片的保存位置并共享 注意共享权限与NTFS权限,实验案例1:组策略简单应用,学员: 在DC上共享文件夹并设置共享权限与NTF
8、S权限 将背景图片保存至共享文件夹 在DC上创建并链接组策略 配置组策略 刷新组策略 验证组策略的应用结果,30分钟完成,实验案例2:组策略的应用顺序,需求描述: 公司搭建了Windows 2008域,域中有组织单位Sales_OU,该组织单位中有多个账户和计算机账户,所有的策略为默认状态,现在需要: 所有计算机在关闭时会显示“关闭事件跟踪程序” 所有经典开始菜单的用户不显示“注销” 所有Sales_OU中使用经典开始菜单的用户显示“注销”,实验案例2:组策略的应用顺序,实现思路: 在域的组策略上设置“关闭事件跟踪程序” 在域组策略和OU组策略上对同一策略做不同设置 验证效果 学员练习: 分别
9、设置组策略 验证组策略的继承与生效顺序,30分钟完成,实验案例3:实现软件分发和升级,需求描述: 公司搭建了Windows 2008域,域中有多个用户账户UserA、UserB和计算机账户Client01,现要将MBSA2.0分发给所有域用户,实验案例3:实现软件分发和升级,实现思路: 利用组策略实现软件的分发与升级 准备软件的.msi安装包 规划安装包的保存位置并共享 注意共享权限与NTFS权限 注意安装软件用户的权限,实验案例3:实现软件分发和升级,学员: 在DC上共享文件夹并设置共享权限与NTFS权限 将软件安装包保存至共享文件夹 在DC上创建并链接组策略 配置组策略软件分配 刷新组策略 在客户机登录检查软件是否已经成功安装 升级软件并验证,30分钟完成,
