《实现组策略》由会员分享,可在线阅读,更多相关《实现组策略(39页珍藏版)》请在金锄头文库上搜索。
1、实现组策略(实训2-4 组策略配置)概述l组策略简介l组策略的构成l实现组策略l组策略继承l修改组策略的继承组策略(GPO)简介l组策略是管理员针对网络中的用户和计算机所 作的一系列设置l通过组策略使管理员可以集中控制用户环境, 减轻管理负担组策略的构成l组策略的组成l策略设置的类型l组策略的设置对象组策略的组成l计算机设置:l提供计算机的基本设置l当计算机启动时生效l用户的设置:l设置用户的环境l当用户登录到计算机时生效组策略设置的类型组策略的设置对象l我们可以针对于站点,域,OU设置组策略可以将一个组策略链接多个站点,域,OU可将多个策略链接到同一个站点、域、OUl不能将组策略链接到活动目
2、录默认容器上组策略的应用l 域模型的三个容器:l 站点(site)l 域(domain)l 组织单位(ou)通过活动目录设置组策略l通过活动目录 用户和计算机 建立链接到域 和OU的策略单条策略的生效l双击该策略l选中该条策略l在设置面板中 选中已启用单条策略的生效l双击该策略l选中该条策 略l在设置面板 中选中已启 用单条策略的生效l双击该策略l选中该条策略l在设置面板中选 中已启用用户和组回顾l用户账号分类用户和组回顾l工作组模型和域模型在域中实现组l组的类型l域中内置组l单域组策略l创建和配置域中的组组的类型和范围域中的内置组l域中内置组在域中有内置权限,用于完成特定任务lAdminis
3、trators(管理员组:保存管理员账号)lServer operators(服务器操作员:完成一部分管理 工作)lBackup operators(备份组:备份和恢复)lGuests(来宾组:保存来宾账号)lUserslAccount operators(账号操作员:创建、设置账号)lPrinter operators(打印机操作员)在单域中使用组的规则组策略的继承关系l默认继承 l阻止继承l强制继承l设置权限组策略的默认继承l组策略不冲 突:子容器 继承父容器 的设置l组策略冲突 :子容器覆 盖父容器的 设置课堂讨论:组策略如何应用?修改组策略继承l启用锁定继承l启用不可替代属性l设置组策
4、略筛选启用阻止继承l禁止从父对象继 承设置l不能停止不可替 代设置启用阻止继承l方法:右击子对象 的属性,在组策略 面板勾选“阻止策 略继承”,则此子 对象将不会继承父 对象的组策略设置启用不可替代属性l不可替代:l强行执行策略设置启用不可替代属性l方法:右击父 对象的属性, 在组策略面板 选中需要进行 不可替代操作 的组策略,点 选项,选中禁 止替代设置组策略筛选设置组策略筛选l方法:右击属 性,在组策略 面板选中需要 进行筛选设置 的组策略,点 击属性,选中 该筛选对象, 选中拒绝应用 组策略域中组策略的应用统一定制桌面环境l步骤1:在域控制器的非系统磁盘建一个文件 夹将准备统一的桌面背景
5、图片文件放入文 件夹中右击该文件夹选【属性】在打 开的【属性】窗口中点击【共享】选项卡 点击【共享此文件夹】单选按钮单击【权 限】按钮。l步骤2:打开设置共享权限对话框,点击【安 全】选项卡对“Domain Users”组设置文件 夹的相应共享权限设置完成后,单击【确 定】按钮。 域中组策略的应用统一定制桌面环境l步骤3:【开始】【管理工具 】【Active Directory 用户和 计算机】在打开的控制台窗 口中,右击要创建组策略对象 的域或组织单位【属性】 【组策略】【新建】输入 组策略对象的名称按【Enter 】键。域中组策略的应用统一定制桌面环境l步骤4:选择“统一桌面”【编辑】打开
6、【组策略编辑器】【用户配 置】【管理模板】【桌面】【Active Desktop】在右侧子窗口 中,右击【启用Active Desktop】在快捷菜单中选择【属性】。 域中组策略的应用统一定制桌面环境l步骤5:在打开的【启用Active Desktop属性】窗口中,点击【已启 用】点击【确定】。l步骤6:在图3-43所示的右侧子窗口 中,双击【Active Desktop墙纸】 在打开的【Active Desktop墙纸属性 】窗口中,点击【已启用】在“墙 纸名称”输入框中输入存放桌面背景 文件的完整路径(如: server1share文件名)在“墙纸 样式”下拉框中选择样式点击【确 定】。
7、域中组策略的应用统一定制桌面环境l步骤7:在域控制器上,点击【开始】【运行】输入 “gpupdate /force”命令强制刷新组策略。再到客户端用 “gpupdate /force”命令强制刷新组策略或者注销客户端再登录 ,此后客户端桌面就会自动换成指定的桌面背景了。文件夹重定向l在“组策略对象编辑器”中,可以使用“文件夹重 定向”将某些特殊文件夹重定向到网络位置。l特殊文件夹是指 Documents and Settings 之 下诸如“我的文档”及 My Pictures 这样的文件 夹。“文件夹重定向”位于“组策略对象编辑器” 控制台树中的“用户配置”下。文件夹重定向的好处1. 对用户
8、来说,文件夹重定向的过程却是透明的,他 在桌面上仍然可以看到【我的文档】的图标,仿佛 My Documents文件夹还是在本地一样。将文件夹重 定向到网络上之后,用户可以从域中任何一台成员服 务器上访问到相同的My Documents、桌面、【开始 】菜单以及Applicaton Data文件夹。同时,如果在企 业中帮员工重装系统,就会大大降低系统管理员的备 份数据的时间。 2. 而对系统管理员而言,可以统一管理和维护用户的 数据。文件夹重定向l注意:在创建共享文件夹重定向目录时,应将访问权 限仅授予那些需要访问的用户。重定向的文件夹可以 包含诸如保密文档和 EFS 证书这样的个人信息,所 以
9、应该特别注意保护对该共享文件夹的访问。应将对 共享文件夹的访问权限仅授予那些需要访问的用户。 还可以为那些需要某些特殊共享文件夹权限的用户创 建一个安全组,并将访问权仅授予这些用户。创建共享文件夹时,可以通过在共享名后加上“$”来隐 藏共享。这样将会在普通浏览器中隐藏共享文件夹, 并且共享文件夹在“网上邻居”中不可见。域中组策略的应用文件夹重定向l步骤1:在域控制器或域中其它计算 机上建立一个共享文件夹作为重定向 的目标文件夹设置该文件夹为每个 人都有完全控制的共享权限和NTFS 权限。l步骤2:在需要设置文件夹重定向的 OU上打开组策略编辑器展开【用 户配置】【Windows配置】【文 件夹
10、重定向】右击【我的文档】选【属性】。 域中组策略的应用文件夹重定向l步骤3:在打开的“我的文档属性”窗 口中选择【目标】标签在【设置】 下拉列表框中按照需要选择“基本-将 每个人的文件夹重定向到同一个位置 ”在【目标文件夹位置】下拉列表 框中选择“在根目录路径下为每一用 户创建一个文件夹”在【根路径】 文本框中输入重定向后的目标位置的 路径单击【应用】点击【设置】 选项卡,如图所示。l步骤4:弹出【设置】对话框,按需 要勾选有关设置项单击【应用】 【确定】。 域中组策略的应用文件夹重定向l步骤5:在域控制上,执行刷新组 策略命令“gpupdate /force”。l步骤6:在客户机上,注销重新登 陆系统右击桌面上“我的文档”图 标在打开的“我的文档属性”窗口 中,可以看到对应存储位置发生 了变化。
