《使用组策略管理用户环境》由会员分享,可在线阅读,更多相关《使用组策略管理用户环境(55页珍藏版)》请在金锄头文库上搜索。
1、使用组组策略管理 用户环户环 境主讲: 马永亮Page 2/55前一章主要内容回顾顾v 组组策略概述 T 组组策略的功能 T 组组策略对对象 T 使用组组策略管理单单元 T 计计算机和用户户的组组策略设设置 T 应应用组组策略的时间时间 v 使用组组策略对对象 T 创创建组组策略对对象 T 链链接现现有组组策略对对象 T 指定管理GPO的域控制器 v 组组策略的处处理规则规则 T 组组策略的继继承与处处理规则规则 T 处处理未作更改的组组策略设设置 T 组组策略和慢速网络连络连 接Page 3/55本章目标标v 了解用户环户环 境管理的任务务,掌握管理模板的使用方法以 及常用的安全设设置 v
2、掌握使用组组策略设设置脚本、重定向文件夹夹、部署软软件的 方法 v 学会配置安全策略、使用安全模板、使用安全配置和分析 工具 v 掌握如何设设置审审核策略,并审审核特定的行为为Page 4/55用户环户环 境管理概述v 用户环户环 境管理是指系统统管理员员通过组过组 策略来管理用户户使 用计计算机的工作环环境,如管理用户户的桌面、网络连络连 接等 v 常用来管理用户环户环 境的组组策略类类型包括: T 管理模板设设置 T 脚本设设置 T 文件夹夹重定向 T 安全设设置Page 5/55管理模板概述v 管理模板是Windows 2000/XP/Server 2003组组策略的 一个重要组组件 v
3、 管理模板是Unicode格式的文本文件,扩扩展名.adm,位于 计计算机的%windir%inf文件夹夹下 v 不同的操作系统统默认认安装的管理模板不同 v 可以通过组过组 策略对对象编辑编辑 器添加/删删除管理模板,也可以 为为某些Microsoft应应用程序下载载其他模板,甚至可以创创建 自己的模板Page 6/55管理模板设设置的类类型设置类型可以管理的内容可用于Windows组件管理用户可以访问的Windows工具和组件。计算机和用户系统管理登录和注销,管理组策略、刷新间隔以 及是否启用磁盘配额。计算机和用户网络管理网络连接和拨号连接的属性,包括共享 网络的访问。计算机和用户打印机可
4、以强制在Active Directory内自动发布打 印机,或者禁用网络打印机。计算机任务栏和“开始”菜单管理用户可以通过“开始”菜单访问的项目。用户桌面管理用户对网络、Internet Explorer、我 的文档等桌面项目的操作。用户控制面板管理对“控制面板”内的“添加/删除程序”、“ 显示器”和“打印机”的使用。用户共享文件夹管理发布共享文件夹、DFS根目录等。用户Page 7/55常用的安全设设置v 常用的安全设设置包括: T 常用的桌面安全设设置 T 常用的用户访问户访问 网络资络资 源的安全设设置 T 用户访问户访问 管理工具和应应用程序的安全设设置 Page 8/55使用管理模板
5、使用组组策略中管理模板的扩扩展选项选项 来完成管理模板的设设置 v 选择设选择设 置状态态,通常有以下三种状态态 T 未配置:忽略该设该设 置,不会改变变注册表设设置文件内相应应的 值值 T 启用:采用该设该设 置,并改变变相应应的注册表设设置文件 T 禁用:禁止采用该设该设 置,不允许许改变变相应应的注册表设设置文 件 v 对对管理模板设设置的访问访问 T 右击击站点、域或组织单组织单 位“属性”“组组策略”选项选项 卡创创 建一个新的GPO,或者选择选择 一个已存在的GPO T 单击单击 “编辑编辑 ”在组组策略中展开“计计算机设设置”或“用户设户设 置 ”展开“管理模板” Page 9/
6、55使用组组策略指定脚本v 使用组组策略的脚本设设置可以使脚本自动动运行 v 在组组策略的计计算机设设置和用户设户设 置下都有脚本设设置v 同其它策略一样样,该设该设 置只需进进行一次配置,之后就会 持续续在整个网络络内执执行Page 10/55组组策略脚本设设置概述v 组组策略中的脚本设设置是指配置在计计算机启动动/关机时时或者 用户户登录录/注销时销时 自动动运行脚本 v 脚本是指在Windows平台上能够够运行的、包括批处处理文 件、可执执行程序以及Windows脚本宿主支持的其它脚本Page 11/55指定组组策略脚本设设置v 登录录/注销销脚本的设设定 T 当用户户登录时录时 就自动
7、动运行的脚本是“登录录脚本”; T 当用户户注销时销时 就自动动运行的脚本是“注销销脚本”;Page 12/55一个脚本样样例v 用记记事本编辑编辑 ,保存扩扩展名为为.vbs v 可用作登录录脚本:用户户登录录后提示用户输户输 入要运行的命 令,进进而可打开一个工具;如果用户输户输 入错误错误 的命令, 则弹则弹 出一个警告信息Page 13/55登录录/注销销脚本的设设定把编辑好的脚本 文件复制到此目 录中点击“浏览”后 选择脚本Page 14/55指定组组策略脚本设设置v 开机/关机脚本的设设定 T 当计计算机开机时时就自动动运行的脚本是“开机脚本”; T 当计计算机关机时时就自动动运行
8、的脚本是“关机脚本” ;Page 15/55使用组组策略重定向文件夹夹v 重定向文件夹夹是指把特殊文件夹夹的存储储位置由用户户的本 地计计算机重定向到网络络服务务器上的共享文件夹夹内 v 通过过重定向文件夹夹,可以保证证用户户的数据存储储在网络络服 务务器上的一个集中位置上,便于集中管理 v 同时时也可以保证证用户户无论论从哪一台计计算机登录录都可以访访 问问到他们们的数据Page 16/55文件夹夹重定向概述v 默认认情况下,“我的文档”、“开始菜单单”等文件夹夹存储储在本 地计计算机内,这这些文件夹夹都是自动动生成的,它们们是每个 用户帐户户帐户 的用户户配置文件的一部分 v 可以利用组组
9、策略重定向的特殊文件夹夹包括:Page 17/55文件夹夹重定向概述(2)v 重定向文件夹夹,有以下好处处: T 用户户从不同的客户户端计计算机登录录都可以访问访问 到文件夹夹内的 数据 T 文件夹夹内的数据被集中存储储,利于对对数据进进行集中管理, 例如,管理员员在进进行日常维护时维护时 就可以备备份这这些数据,可 以利用组组策略设设置磁盘盘配额额,限制用户户特殊文件夹夹所占的 磁盘盘空间间等 T 重定向文件夹夹内的文件在用户户登录录的计计算机上没有副本, 不占用客户户端计计算机的存储储空间间,而且一些机密的数据也 不会留在客户户端计计算机上Page 18/55重定向“我的文档”v 步骤骤:
10、 T 在域中任何一台计计算机上建立文件夹夹,设设置SYSTEM和 CREATE OWNER用户户具有NTFS的“完全控制”权权限 T 共享此文件夹夹,并设设置Everyone组组具有“完全控制”权权限 T 通过过“AD用户户和计计算机”工具中相应应容器的组组策略编辑编辑 器设设 置”我的文档“的“属性” T 设设置“我的文档”重定向的属性(点击击右侧侧按键键演示) T 利用此容器中的用户户登录录来又验验正设设置结结果Page 19/55设设置“我的文档”重定向的属性Page 20/55为为重定向的文件夹夹指定“设设置”v 可以在重定向某文件夹夹(如前面的“我的文档”)后为为其指定 重定向的属性
11、“设设置”选择此项时, 用户对自己的 文件夹具有完 全控制权限, 其他用户均无 权访问;否则 ,将继承父文 件夹权限将相应的文件全部 移动至新位置;否 则,全部复制到新 位置;Page 21/55软软件的部署和管理v 软软件部署概述 T 指派软软件给给用户户 T 指派软软件给计给计 算机 T 发发布软软件给给用户户 T 自动动修复软软件 T 删删除软软件 v 部署软软件 v 管理软软件Page 22/55软软件部署概述v 软软件的部署分为为“指派”与“发发布”两种 v 发发布的软软件一般为为“Windows Installer Package”,它包 含一个扩扩展名为为 .msi的文件;其中包
12、括安装和删删除特定 应应用程序所需的显显式指令,具有用于软软件安装和维护维护 的 高级级功能 v 也可以部署扩扩展名为为zap(低层应层应 用程序软软件包)或msp (用于修补错误补错误 的补补丁文件)的软软件 v 此外,也可以把其它格式的安装包通过额过额 外的工具转换转换 为为msi的格式后进进行部署 Page 23/55软软件部署概述(2)v 指派软软件给给用户户 T 使用组组策略指派软软件给给用户户,当用户户从域内任何一台计计算 机登录录,该软该软 件就会被通告给该给该 用户户;但其并没有真正安 装,而只是安装了与这这个软软件有关的部分信息 T 只有在以下两种情况下,此软软件才会自动动安
13、装: 开始运行此软软件 利用“文件启动动”功能 v 指派软软件给计给计 算机:计计算机启动时动时 自动动安装该软该软 件 v 发发布软软件给给用户户 T 软软件不会自动动安装到用户户的计计算机内,可采用如下安装方 法: 单击单击 “开始”“控制面板”“添加或删删除程序”添加程序 利用“文件启动动”功能Page 24/55软软件部署概述(3)v 自动动修复软软件 T 安装完被发发布或指派的软软件后,如果此软软件有关键键性的文 件损损坏、丢丢失或被用户户不小心删删除,系统统会自动检测动检测 到, 并且会自动动修复、重新安装此软软件 v 删删除软软件 T 不想再让让用户户使用此软软件时时,只需将该软
14、该软 件从 GPO内发发 布或指派的软软件清单单中删删除,并设设置下次用户户登录录或计计算 机启动时动时 ,自动动将这这个软软件删删除即可Page 25/55部署软软件v 发发布软软件给给用户户,步骤骤: T 在域中任何一台计计算机上建立一个共享文件夹夹作为软为软 件发发 布点 T 编辑编辑 相应应容器(站点、域或OU)上的相应应的GPO,找到“用 户户配置” “软软件设设置” 右击击“软软件安装” “属性” T 在“常规规”选项选项 卡上“默认认程序包”处输处输 入前面建立的软软件件 发发布点的UNC路径 T 在组组策略编辑编辑 器上, 回到“用户户配置” “软软件设设置” 右 击击“软软件
15、安装” “新建” “程序包” 选择选择 相应应的程序包 T 在弹弹出的对话对话 框中选择选择 “已发发布”Page 26/55部署软软件(2)v 在客户户端安装发发布给给用户户的软软件 T “控制面板”“添加或删删除程序” “添加新程序” “从网 络络添加程序” T 选择选择 要安装的程序包“添加” v 测试测试 自动动修复功能 T 在测试测试 的计计算机上,登录录某管理员帐员帐 号,删删除“发发布”安装 的软软件后注销销 T 在用户户再次用到该软该软 件时时会自动动安装 v 删删除已发发布的软软件 T 找到已经发经发 布的软软件包 右击选择击选择 “所有任务务” “删删除”Page 27/5
16、5部署软软件(3)v 指派软软件给给用户户 T 可以指派软软件给给域或OU内的用户户 T 也可以指派“已发发布”软软件 T 用户户登录录域中的计计算机后,系统统会自动动建立被指派给给用户户 的软软件的快捷方式,并将相关扩扩展名与此软软件关联联;但没 有真正安装该软该软 件,只有在用户户通过过“打开”或用“文件启动动 ”打开该软该软 件时时才会自动动安装 v 指派软软件给计给计 算机 T 可以通过组过组 策略中的“计计算机配置”指派软软件给计给计 算机 T 计计算机启动时动时 就会自动动安装指派的软软件 T 只能“指派”软软件给计给计 算机,无法“发发布”软软件给计给计 算机Page 28/55管理软软件v 通过过强制升级级、可选选升级级或者重新部署等管理功能,可 确保用户总户总 是使用最新版本的软软件 T 软软件升级级 强制升级级 选择选择 升级级 T 说说明:指派给计给计 算机的软软件,只可以选择选择 “强制升级级” Page 29/55管理软软件(2)T 重新部署软软件 对对于
