《使用组策略管理用户环境讲义资料》由会员分享,可在线阅读,更多相关《使用组策略管理用户环境讲义资料(55页珍藏版)》请在金锄头文库上搜索。
1、使用组策略管理用户环境,主讲: 马永亮,Page 2/55,前一章主要内容回顾,组策略概述 组策略的功能 组策略对象 使用组策略管理单元 计算机和用户的组策略设置 应用组策略的时间 使用组策略对象 创建组策略对象 链接现有组策略对象 指定管理GPO的域控制器 组策略的处理规则 组策略的继承与处理规则 处理未作更改的组策略设置 组策略和慢速网络连接,Page 3/55,本章目标,了解用户环境管理的任务,掌握管理模板的使用方法以及常用的安全设置 掌握使用组策略设置脚本、重定向文件夹、部署软件的方法 学会配置安全策略、使用安全模板、使用安全配置和分析工具 掌握如何设置审核策略,并审核特定的行为,Pa
2、ge 5/55,管理模板概述,管理模板是Windows 2000/XP/Server 2003组策略的一个重要组件 管理模板是Unicode格式的文本文件,扩展名.adm,位于计算机的%windir%inf文件夹下 不同的操作系统默认安装的管理模板不同 可以通过组策略对象编辑器添加/删除管理模板,也可以为某些Microsoft应用程序下载其他模板,甚至可以创建自己的模板,Page 6/55,管理模板设置的类型,Page 7/55,常用的安全设置,常用的安全设置包括: 常用的桌面安全设置 常用的用户访问网络资源的安全设置 用户访问管理工具和应用程序的安全设置,Page 8/55,使用管理模板,使
3、用组策略中管理模板的扩展选项来完成管理模板的设置 选择设置状态,通常有以下三种状态 未配置:忽略该设置,不会改变注册表设置文件内相应的值 启用:采用该设置,并改变相应的注册表设置文件 禁用:禁止采用该设置,不允许改变相应的注册表设置文件 对管理模板设置的访问 右击站点、域或组织单位“属性”“组策略”选项卡创建一个新的GPO,或者选择一个已存在的GPO 单击“编辑”在组策略中展开“计算机设置”或“用户设置”展开“管理模板”,Page 9/55,使用组策略指定脚本,使用组策略的脚本设置可以使脚本自动运行 在组策略的计算机设置和用户设置下都有脚本设置 同其它策略一样,该设置只需进行一次配置,之后就会
4、持续在整个网络内执行,Page 10/55,组策略脚本设置概述,组策略中的脚本设置是指配置在计算机启动/关机时或者用户登录/注销时自动运行脚本 脚本是指在Windows平台上能够运行的、包括批处理文件、可执行程序以及Windows脚本宿主支持的其它脚本,Page 11/55,指定组策略脚本设置,登录/注销脚本的设定 当用户登录时就自动运行的脚本是“登录脚本”; 当用户注销时就自动运行的脚本是“注销脚本”;,Page 12/55,一个脚本样例,用记事本编辑,保存扩展名为.vbs 可用作登录脚本:用户登录后提示用户输入要运行的命令,进而可打开一个工具;如果用户输入错误的命令,则弹出一个警告信息,P
5、age 13/55,登录/注销脚本的设定,把编辑好的脚本文件复制到此目录中,点击“浏览”后选择脚本,Page 14/55,指定组策略脚本设置,开机/关机脚本的设定 当计算机开机时就自动运行的脚本是“开机脚本”; 当计算机关机时就自动运行的脚本是“关机脚本” ;,Page 15/55,使用组策略重定向文件夹,重定向文件夹是指把特殊文件夹的存储位置由用户的本地计算机重定向到网络服务器上的共享文件夹内 通过重定向文件夹,可以保证用户的数据存储在网络服务器上的一个集中位置上,便于集中管理 同时也可以保证用户无论从哪一台计算机登录都可以访问到他们的数据,Page 16/55,文件夹重定向概述,默认情况下
6、,“我的文档”、“开始菜单”等文件夹存储在本地计算机内,这些文件夹都是自动生成的,它们是每个用户帐户的用户配置文件的一部分 可以利用组策略重定向的特殊文件夹包括:,Page 17/55,文件夹重定向概述(2),重定向文件夹,有以下好处: 用户从不同的客户端计算机登录都可以访问到文件夹内的数据 文件夹内的数据被集中存储,利于对数据进行集中管理,例如,管理员在进行日常维护时就可以备份这些数据,可以利用组策略设置磁盘配额,限制用户特殊文件夹所占的磁盘空间等 重定向文件夹内的文件在用户登录的计算机上没有副本,不占用客户端计算机的存储空间,而且一些机密的数据也不会留在客户端计算机上,Page 18/55
7、,重定向“我的文档”,步骤: 在域中任何一台计算机上建立文件夹,设置SYSTEM和CREATE OWNER用户具有NTFS的“完全控制”权限 共享此文件夹,并设置Everyone组具有“完全控制”权限 通过“AD用户和计算机”工具中相应容器的组策略编辑器设置”我的文档“的“属性” 设置“我的文档”重定向的属性(点击右侧按键演示) 利用此容器中的用户登录来又验正设置结果,Page 19/55,设置“我的文档”重定向的属性,Page 20/55,为重定向的文件夹指定“设置”,可以在重定向某文件夹(如前面的“我的文档”)后为其指定重定向的属性“设置”,选择此项时,用户对自己的文件夹具有完全控制权限,
8、其他用户均无权访问;否则,将继承父文件夹权限,将相应的文件全部移动至新位置;否则,全部复制到新位置;,Page 21/55,软件的部署和管理,软件部署概述 指派软件给用户 指派软件给计算机 发布软件给用户 自动修复软件 删除软件 部署软件 管理软件,Page 22/55,软件部署概述,软件的部署分为“指派”与“发布”两种 发布的软件一般为“Windows Installer Package”,它包含一个扩展名为 .msi的文件;其中包括安装和删除特定应用程序所需的显式指令,具有用于软件安装和维护的高级功能 也可以部署扩展名为zap(低层应用程序软件包)或msp(用于修补错误的补丁文件)的软件
9、此外,也可以把其它格式的安装包通过额外的工具转换为msi的格式后进行部署,Page 23/55,软件部署概述(2),指派软件给用户 使用组策略指派软件给用户,当用户从域内任何一台计算机登录,该软件就会被通告给该用户;但其并没有真正安装,而只是安装了与这个软件有关的部分信息 只有在以下两种情况下,此软件才会自动安装: 开始运行此软件 利用“文件启动”功能 指派软件给计算机:计算机启动时自动安装该软件 发布软件给用户 软件不会自动安装到用户的计算机内,可采用如下安装方法: 单击“开始”“控制面板”“添加或删除程序”添加程序 利用“文件启动”功能,Page 24/55,软件部署概述(3),自动修复软
10、件 安装完被发布或指派的软件后,如果此软件有关键性的文件损坏、丢失或被用户不小心删除,系统会自动检测到,并且会自动修复、重新安装此软件 删除软件 不想再让用户使用此软件时,只需将该软件从 GPO内发布或指派的软件清单中删除,并设置下次用户登录或计算机启动时,自动将这个软件删除即可,Page 25/55,部署软件,发布软件给用户,步骤: 在域中任何一台计算机上建立一个共享文件夹作为软件发布点 编辑相应容器(站点、域或OU)上的相应的GPO,找到“用户配置” “软件设置” 右击“软件安装” “属性” 在“常规”选项卡上“默认程序包”处输入前面建立的软件件发布点的UNC路径 在组策略编辑器上, 回到
11、“用户配置” “软件设置” 右击“软件安装” “新建” “程序包” 选择相应的程序包 在弹出的对话框中选择“已发布”,Page 26/55,部署软件(2),在客户端安装发布给用户的软件 “控制面板”“添加或删除程序” “添加新程序” “从网络添加程序” 选择要安装的程序包“添加” 测试自动修复功能 在测试的计算机上,登录某管理员帐号,删除“发布”安装的软件后注销 在用户再次用到该软件时会自动安装 删除已发布的软件 找到已经发布的软件包 右击选择“所有任务” “删除”,Page 27/55,部署软件(3),指派软件给用户 可以指派软件给域或OU内的用户 也可以指派“已发布”软件 用户登录域中的计
12、算机后,系统会自动建立被指派给用户的软件的快捷方式,并将相关扩展名与此软件关联;但没有真正安装该软件,只有在用户通过“打开”或用“文件启动”打开该软件时才会自动安装 指派软件给计算机 可以通过组策略中的“计算机配置”指派软件给计算机 计算机启动时就会自动安装指派的软件 只能“指派”软件给计算机,无法“发布”软件给计算机,Page 28/55,管理软件,通过强制升级、可选升级或者重新部署等管理功能,可确保用户总是使用最新版本的软件 软件升级 强制升级 选择升级 说明:指派给计算机的软件, 只可以选择“强制升级”,Page 29/55,管理软件(2),重新部署软件 对于已经部署的软件,如果软件厂商
13、新发行了service pack或补丁,则可以通过重新部署为此软件安装service pack或补丁 要重新部署软件,要先更新软件发布点文件夹内的文件。根据service pack或补丁文件的类型不同,更新的方法有以下两种: 后缀为.msi的文件 ,可直接用新文件覆盖旧文件 后缀为.msp 的补丁文件 ,运行命令 ,形如:msiexec /p 文件路径和文件名 /a 文件路径和文件名,Page 30/55,计算机安全策略,安全策略概述 使用安全模板 审核策略 审核策略的设置 审核登录事件 审核文件夹的访问行为 审核打印机的访问行为 审核活动目录对象的访问行为 规则审核策略,Page 31/55
14、,计算机安全策略,使用组策略中的安全设置策略,可以防止用户破坏计算机的各种设置,保障用户环境和网络的安全 实现安全策略最有效的方式是使用安全模板,安全模板是一系列安全设置的集合,并可根据需要调整其设置 使用安全模板可以简化定义和实现一组标准的组策略的过程 Windows Server 2003还提供了审核功能,管理员要以通过分析安全日志查看资源被访问的情况,Page 32/55,安全策略概述,实施安全策略可以设置每台计算机的本地安全策略来配置单台计算机,也可以设置域中的组策略来配置多台计算机,使用何种方式则取决于实际的需求 在小规模的或者不使用AD服务的网络中,可以为每台计算机配置本地安全策略
15、(非域控制器上) 可以为采用AD服务的较大规模网络分层次(域、OU)实施安全策略 域安全策略会影响域中的工作站和成员服务器(在DC上设置) 组织单位安全策略会影响该组织单位内的所有用户和计算机等对象 域控制器安全策略就是在Active Directory的Domain Controllers组织单位上实施的安全策略(在DC上设置),Page 33/55,本地安全策略的设置,”管理工具“”本地安全策略“,Page 34/55,帐户策略的设置,Page 35/55,本地策略,Page 36/55,域安全策略,Page 37/55,域控制器安全策略,Page 38/55,使用安全模板,Windows
16、 Server 2003有一系列的安全模板,每个模板预定义的安全设置不同,这些模板可以应用于从要求较低安全性的客户端到要求高安全性的域控制器 可以直接应用这些预定义的安全模板,也可以在这些安全模板的基础上创建自定义的安全模板,Page 39/55,使用安全模板管理单元,通过MMC打开 管理员可以添加安全模板、设置安全模板描述、刷新安全模板列表、删除安全模板 安全模板中的安全性设置可以应用于本地计算机,也可以将其导入到Active Directory的组策略对象(GPO)中,当将安全模板导入GPO时,其设置会影响该GPO中的用户或计算机对象,Page 40/55,使用预定义的安全模板,系统提供了四种安全级别的预定义的安全模板:基本、兼容、安全和高度安全,这些模板包含在%systemroot%securitytemplates路径中 基本 兼容 安全 高安全,Page 41/55,创建自定义安全模板,有两种方法: 直接创建一个新的安全模板 复制现有的预定义的安全模板,对复制的副本进行修改,Page 42/55,安全配置和分析,将安全模板正式
