《Windows Server 2003组网技术 教学课件 ppt 作者 陈伟达 8-13 第12章》由会员分享,可在线阅读,更多相关《Windows Server 2003组网技术 教学课件 ppt 作者 陈伟达 8-13 第12章(144页珍藏版)》请在金锄头文库上搜索。
1、第 12 章 组 策 略,12.1 组策略的功能 12.2 组策略对象 12.3 组策略的层次结构及其作用 12.4 利用组策略部署软件 12.5 登录/注销脚本和启动/关机脚本 12.6 文件夹重定向 12.7 利用组策略来管理用户环境 本章实训 本章小结 习题,12.1 组策略的功能 组策略是Windows Server 2003默认拥有的功能,本章主要讨论域环境下的组策略功能。实际上,在工作组环境下也有组策略功能。 组策略的主要功能包括: 软件的安装与删除。 设定开机、登录、注销和关机脚本。 文件夹重定向。 控制用户操作系统的属性。 控制用户IE的属性。,Windows Server 2
2、003可运行于工作组环境,也可运行于域环境。在工作组环境下,组策略只能管理本机,不可以管理整个网络中的计算机。但在域环境下,例如Windows Server 2003作为域控制器,在域中有许多客户机,这些客户机可能运行了Windows各种版本的操作系统,也可能域中包含的计算机是Web服务器、文件服务器、打印服务器等其他工作类型的服务器,这时,可以在某一台域中的客户机远程控制域控制器,利用组策略功能实现网络管理及安全管理。,另外,软件升级、打补丁及卸载等,全都不需要在客户端操作,只要利用组策略,就可通过单台计算机实现对整个网络计算机的操作。 有时在网络管理中,需要帮助客户端做一些设置,例如:开机
3、时创建一个域中的帐户,登录时创建某个文件夹。当然,这些操作也可在客户端完成,但如果域中每台计算机均有这些操作要求,将非常繁琐。而利用组策略,只要设置一些脚本即可,用不着用户开机操作,只要用户在登录时,把事先编好的完成某个事务的脚本下载下来,执行需要的操作即可。,在组策略中,可以控制客户机及用户操作系统的诸多属性,如可以控制用户桌面,可以使客户端计算机的“开始”菜单中,不出现“运行”项,可以控制用户控制面板中的某个组件是否出现,可以使某个对话框的某个选项卡不起作用。尽管这些操作可以通过修改注册表来实现,但它只能在单机上实现这些配置,而利用组策略,可以根据需要实现对整个网络的配置。,12.2 组
4、策 略 对 象 组策略是通过“组策略对象”(Group Policy Object,GPO)来设定的,只要将GPO链接到指定的站点、域或组织单位(OU),该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机。,12.2.1 内建的GPO Windows Server 2003系统有两个内建的GPO,分别是Default Domain Policy与Default Domain Controller Policy。 Default Domain Policy已经被链接到域,因此它的设定值会被应用到整个域内的所有用户与计算机。 Default Domain Controller Pol
5、icy已经被链接到Domain Controllers OU,因此它的设定值会被应用到域控制器中组织单位内的所有用户与计算机。在域控制器组织单位内,系统默认情况下只有域控制器的计算机帐户。,12.2.2 GPO的内容 GPO的内容被分为GPC(Group Policy Container)与GPT(Group Policy Template)两部分,并且分别被存储到不同的位置,如图12-1所示。,图12-1 组策略的组成,GPC(Group Policy Container)被存储在Active Directory数据库内,它存放GPO的属性与版本等数据。域内的计算机可以通过GPC属性数据来得
6、知GPT的存储地址,而域控制器可以利用版本资料来判断其所安装的GPO是否为最新的版本,以便作为是否需要从其他域控制器复制最新GPO的依据。,GPT(Group Policy Template)用来存储GPO的配置值与相关文件,它是一个文件夹,而且是被建立在域控制器的 %systemroot%SYSVOL域名称Policies文件夹内。系统利用GPO的GUID作为GPT的文件夹名称。,12.2.3 GPO的存储位置 在添加、修改或删除组策略的配置时,这些变动默认地被存储到作为“PDC模拟主机”的域控制器内,然后再由“PDC模拟主机”将其复制到其他的域控制器。但是如果用户人在上海,而“PDC模拟主
7、机”却远在北京,此时用户可能希望所有的变动都能够直接存储到位于上海的域控制器内。,系统管理员可以通过使用“组策略编辑器”的“DC选项”命令来改变GPO的存储位置。在“组策略编辑器”对话框中执行以下操作: 选中某个组策略对象“查看”“域控制器选项”,弹出如图12-2所示的“域控制器选项”对话框。,图12-2 “域控制器选项”对话框,图中域控制器的选项有以下三种: 具有PDC模拟器操作主令牌的域控制器:即使用“PDC模拟主机”(Primary Domain Controller Emulator Master)。“PDC模拟主机”又称为“主域控制器模拟主机”。这是默认值,也是建议值。 由Activ
8、e Directory管理单元使用的域控制器:当管理员通过任何一个程序(如“Active Directory用户和计算机”控制台)来启动“组策略编辑器”时,可使用此“组策略编辑器”所链接的域控制器。 使用任何可用的域控制器:可以任意选择一台域控制器。,12.3 组策略的层次结构及作用 12.3.1 组策略的层次结构 组策略有站点组策略、域组策略以及OU组策略(OU下面还可以有OU),并且可根据需要设置相应的组策略,如图12-3所示。,图12-3 组策略的层次结构,最高层是站点组策略,其次是域组策略,再下面是OU组策略。如果在站点中设置了站点组策略,该站点下有多个域,则这些域默认继承站点的组策略
9、。如果在域中建立了域组策略,则该域下面的OU默认继承域组策略。如果在OU下面又创建了OU,则下层的OU继承上层OU的组策略。我们知道,在域中还可以建立子域,但是域和子域之间的组策略不存在任何关系。,组策略的配置具有累加性。举例来说,如果在OU内建立了GPO,同时在域、站点内也都有GPO,则域、站点与OU内的所有GPO配置值都会被累加起来作为OU的最后有效配置值。 但当站点、域与OU之间的GPO配置发生冲突时,则以处理顺序在后的GPO优先。系统处理GPO的顺序是:站点的GPO、域的GPO、OU的GPO。 当修改了站点、域或OU的GPO配置值后,这些配置值并不是立刻就对站点、域或OU内的用户与计算
10、机有效,而是必须等它们被应用到用户或计算机后才有效。,在以上所有层次的组策略配置中,组策略均包含“计算机配置”与“用户配置”两部分。 “计算机配置”:当启动计算机时,系统就会根据“计算机配置”的内容来配置计算机的环境。举例来说,如果针对域配置了组策略,那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机。, 用户配置:当用户登录时,系统就会根据“用户配置”的内容来配置用户的工作环境。举例来说,如果针对OU设定了组策略,那么此组策略内的“用户配置”就会被应用到此OU内的所有用户。,如果在“计算机配置”与“用户配置”中均设置了组策略,则系统先处理“计算机配置”,再处理“用户配置”。如果组策
11、略内的“计算机配置”与“用户配置”冲突,虽然“用户配置”在后,但在大部分情况下却是以“计算机配置”为优先。 除了可以针对站点、域与OU来设定组策略之外,还可以针对每一台计算机配置“本地计算机策略”,这个计算机策略只会应用到本地计算机以及在此计算机登录的所有用户。,12.3.2 组策略更新后的启用 1组策略在计算机配置中的启用 域内的计算机会在以下情况下应用GPO内的计算机配置值: 计算机开机时自动启用。 即使计算机不重新开机,系统仍会每隔一段时间自动启用。 域控制器默认每隔5分钟自动启用。, 非域控制器默认每隔90120分钟自动启用。 不论组策略配置值是否有变动,系统仍然每隔16小时自动启用一
12、次。 运行命令gpupdate /force,稍过一会,通过“事件查看器”查看“应用程序”中来源为“SceCli”的事件,来检查组策略是否已经启用成功。,2组策略在用户配置中的启用 域内的用户会在以下情况中启用GPO内的用户配置值: 用户登录时自动启用。 即使用户不注销、登录,系统默认每隔90120分钟自动启用。而且不论组策略配置值是否有变动,系统仍然每隔16小时自动启用一次。 运行命令gpupdate /force,稍过一会,通过“事件查看器”查看“应用程序”中来源为“SceCli”的事件,来检查组策略是否已经启用成功。,12.3.3 组策略的处理规则 域控制器与域内计算机在处理、应用组策略
13、时有一定的程序与规则,只有详细了解这些程序与规则,才能充分地通过组策略来管理用户与计算机的环境。 除了一般的继承与处理规则外,还可以配置以下组策略继承控制。,1) 阻止策略继承 可以通过选择子容器内的“阻止策略继承”选项(如图12-4所示)来设置不继承由父容器传递来的所有GPO配置,也就是直接以子容器的GPO作为配置值。如果子容器的GPO设置为“尚未配置”,则采用默认值。这里的容器即指组织单位。,2) 强制策略继承 强制策略继承是指可以在父容器中通过GPO的“禁止替代”选项强制子容器必须继承此GPO内的组策略设定,而不论子容器是否设置了“阻止策略继承”。如图12-5所示,针对域的“安全防范策略
14、”,设置此域内的所有计算机都必须自动采用安全防范策略。,图12-5 禁止替代,3) 过滤组策略配置 过滤组策略配置(Filtering Group Policy)是指在某个容器(如“计算机学院”OU)内建立GPO后,此GPO的设置将被应用到这个容器内所有的用户与计算机。当然,也可以让此GPO不应用到特定的用户或计算机,例如,在“计算机学院”OU的GPO配置内,可对所有计算机学院工作人员的工作环境做某些限制,但对计算机学院院长不做此限制。,位于容器内的用户与计算机,默认地对该容器的GPO都具有“读取”与“应用组策略”权限,可以通过在图12-6中选择GPO单击“属性”按钮“安全”的方法来查看,图中
15、的Authenticated Users表示所有经过身份确认的用户与计算机。若不想将此GPO的设置应用到此容器内的用户Cph,只需单击“添加”按钮,选择用户Cph,然后将Cph的这两个权限设为“拒绝”即可。,图12-6 Authenticated Users对组策略的权限,4) 禁用GPO 如有需要,可以将整个GPO禁用,也可以只禁用GPO内的“计算机配置”或“用户配置”。若要将整个GPO禁用,则选择如图12-7所示的复选项,将“计算机学院策略对象”禁用。,图12-7 禁用组策略,如果要将GPO内的“计算机配置”或“用户配置”单独禁用,则可执行操作:选择该GPO,单击“属性”,然后在图12-8
16、所示对话框中勾选“禁用计算机配置设置”或“禁用用户配置设置”选项。,图12-8 “禁用计算机配置设置”和“禁用用户配置设置”选项,5) 组策略的委派管理 网络管理员可以将GPO的链接、添加与编辑等管理工作分派给不同的用户负责,以分散、减轻对GPO的管理负担。 系统默认Domain Administrators或Enterprise Administrators组内的用户可以将GPO链接到站点、域或OU。一般用户没有这个权限,但可以通过“委派控制”的方式来赋予一般用户这些权限。其操作步骤如下: (1) 选择“开始”“管理工具”“Active Directory用户和计算机”,右击“计算机学院”OU,选择“委派控制”,如图12-9所示。,图12-9 对组策略的委派控制,(2) 在弹出的“欢迎使用委派控制向导”对话框中单击“下一步”按钮。 (3) 在图12-10所示的对话框中,单击“添加”按钮,选择事先已经创建好的用户或直接输入用户帐户名称,单击“下一步
