《Windows Server 2008 R2网络配置与管理 教学课件 ppt 作者 张博 编著 第15章 使用组策略》由会员分享,可在线阅读,更多相关《Windows Server 2008 R2网络配置与管理 教学课件 ppt 作者 张博 编著 第15章 使用组策略(27页珍藏版)》请在金锄头文库上搜索。
1、第15章 使用组策略,windows server 2008 R2网络管理与配置 张 博 编著 人民邮电出版社,15.1 组策略知识,15.1.1 组策略概述 15.1.2 组策略的配置内容 15.1.3 将组策略应用于对象 15.1.4 组策略的处理规则,15.1.1 组策略概述,1组策略的概念 组策略是一种允许通过用户设置和计算机设置定义用户桌面环境的技术,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。 管理员可以根据需要设置组策略,然后将组策略作用于活动目录中的容器,如站点、域、组织单位等等,最终组策略将影响这些容器中的计算机和用户对象。,组策略对象
2、GPO(Group Policy Object)是组策略的集合。组策略的设置结果是保存在GPO中的,GPO中包含用于特定用户或计算机的策略信息和配置。 在Windows系统中,共有两种类型的GPO。 (1)本地GPO 一台运行Windows Server 2008的计算机,都存在一个本地GPO,在活动目录环境下,本地GPO将被活动目录中的GPO所覆盖,在非网络环境中,本地GPO将发挥作用。 (2)非本地GPO 是Active Directory环境中使用的GPO,它们仅在Active Directory环境中可用。它们应用于组策略对象所链接的站点、域或组织单位中的用户和计算机。,2组策略对象(
3、GPO),账户策略的设置:例如设置用户的密码长度、密码使用期限、账户锁定策略等。 本地策略的设置:例如审核策略的设置、用户权限的分配、安全性的设置等。 脚本的设置:例如登录与注销、启动与关机脚本的设置。 用户工作环境的设置:例如隐藏用户桌面上所有的图标、删除开始菜单中的运行搜索关机等功能、在开始菜单中添加注销选项、删除浏览器内部分选项、强制通过指定的代理服务器上网等。 软件的安装与删除:用户登录或计算机启动时,自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。 限制软件的运行:通过各种不同的软件限制规则来限制域用户只能运行指定的软件。 文件夹的重定向:例如改变文件、开始菜单等文件夹的
4、存储位置。 限制访问可移动存储设备:例如限制将文件写入U盘,以免企业内的机密丈件轻易地被带离公司。 其他系统设置:例如让所有的计算机都自动信任指定的CA、限制安装设备驱动程序等。,3组策略的功能,15.1.2 组策略的配置内容,1计算机配置与用户配置 (1)计算机配置 当计算机开机时,系统会根据计算机配置的属性来设置计算机的环境。 计算机策略在计算机开机时自动应用。 (2)用户配置 当用户登录时,系统会根据用户配置的属性来配置用户的工作环境。 用户策略在用户登录时自动应用。 当用户策略与计算机策略发生冲突时,计算机策略优先于用户策略。,(1)软件设置。能够帮助用户安装和维护程序,可以用分配和发
5、布的方法让计算机或用户使用某个程序。 (2)Windows设置 Windows设置包含了脚本和安全设置。脚本设置包括启动/关闭脚本和登录/注销脚本。 安全模板允许管理员手动的为本地或非本地的GPO对象设置安全级别。 (3)管理模板 包含了所有基于注册表的组策略设置,不论是用户配置还是计算机配置,都包括Windows组件、系统和网络的设置三个模块。“Windows组件”可以管理Windows2008组件;“系统”可以用来管理登陆及注销时执行的策略;“网络”用来配置网络及拨号连接策略以及控制脱机文件。 计算机配置中还包含打印机设置,用户配置中还包含任务栏和开始菜单设置、桌面设置控制面板设置等内容。
6、,2组策略设置内容,组策略内的设置可以再分为策略设置和首选设置。二者的区别如下: (1)只有域的组策略才有首选设置功能,本地计算机策略并无此功能。 (2)策略设置是强制性设置,客户端应用这些设置后就无法更改;首选设置是非强制性设置,客户端可自行更改设置值,因此首选设置适合于用来当作默认值。 (3)过滤策略设置,必须针对整个GPO来过滤,首选设置可以针对单一设置项目来过滤。 (4)如果在策略设置与首选设置内有相同的设置项目,而且都已做了设置,但是其设置值却不相同时,则以策略设置优先。,3策略设置和首选设置,在安装了活动目录后,在域中已经自动建立了两个内置的组策略对象。 (1)Default Do
7、main Policy。该GPO默认已经被链接到域,其设置值会被应用到整个域内的所有用户与计算机。 (2)Default Domain Controller Policy。该GPO默认已经被链接到组织单位Domain Controllers,其设置值会被应用到Domain Controllers内所有的用户和计算机。在Domain Controllers内,默认只有域控制器的计算机账户。,4内置的GPO,15.1.3 将组策略应用于对象,1组策略的应用对象 组策略的应用对象可以是站点、域、组织单位。在实际应用中,先设置好GPO,然后将GPO与站点、域或OU链接起来,则GPO中的设置就会影响到站
8、点、域或OU中的用户对象或计算机对象。 可以将一个GPO连接到网络中的多个站点、域或组织单位,其结果是不同容器中的用户或计算机对象应用相同的组策略。 也可以建立多个GPO,多个GPO可以链接到同一个容器上,这样便于实现不同的容器中的用户或计算机对象应用不同的组策略。,可以创建有链接的GPO,也可以创建无链接的GPO。 有链接的GPO是指在创建GPO的同时,将其链接到某个容器(如组织单位)上。 无链接的GPO是指创建GPO,但暂时不与某个容器相连接,以备将来使用。 3将GPO连接到容器 前提是对相应站点、域或组织单位的gPLink和gPOptions两种属性的“读取”和“写入”权限。,2建立组策
9、略对象,15.1.4 组策略的处理规则,1继承规则 (1)继承 子容器可以从它们的父容器继承组策略。 在默认情况下,继承的顺序是从站点域组织单位子组织单位。 (2)应用顺序 本地站点域组织单位子组织单位。 后应用的GPO将覆盖前面的GPO。,通过在子容器上启用“阻止继承”,可以阻止子容器继承其父容器的任何GPO。 3强制继承 通过启用父容器中的“强制”选项,那么该容器的子容器就不能阻止对该GPO的继承。 4组策略过滤 使用筛选能够阻止将某个GPO及其设置应用到某容器中特定的计算机、用户和安全组上。 为了对某个GPO进行筛选,以阻止它应用到特定的计算机、用户或安全组对象上,必须“拒绝”与该GPO
10、有关的“采用组策略”权限。,2阻止继承,15.2 建立组策略,模拟场景: 作为网络管理员,在具体设计组策略之前,需要对组策略的作用和建立方法做出验证,为此,先设置一些简单的策略,如在域中的计算机登录时无需按下“Ctrl+Alt+Del”,让组织单位“业务部”的用户必须使用企业内部的代理服务器上网。所有用户登录时,其驱动器号Z:自动连接到DC1tools文件夹上。,实验环境:,1. 计算机配置,要求:让域中的计算机启动后,用户登录时无需按下“Ctrl+Alt+Del”。,图15-3 组策略管理控制台,15.2.1 计算机配置与用户配置,图15-4 组策略管理编辑器 图15-5 设置安全策略,2.
11、 用户配置,要求:让“业务部”的用户登录后,必须使用代理服务器上网。,15-6 新建GPO,15-7 代理设置,1. 建立无链接对象的GPO,要求:用户登录后,自动将其Z:盘映射到“DC1通知通告”文件夹。,15-8 映射网络驱动器,15.2.2 链接GPO,2. 链接现有组策略对象,要求:将GPO “驱动器映射通知通告”连接到“业务部”。,1利用“首选项”的“项目级别目标”实现筛选。,要求:建立一个 名为“驱动器映射技术标准”的 GPO,“业务部”的张阿里登录时,其Y盘映射到“DC1技术标准”文件夹,业务部其他用户登录时,不做这个映射。,15-10 选择“目标”,15-11 选择“目标”用户,15.2.3 组策略筛选,2利用“过滤组策略”设置进行筛选。,要求:将实验15-3中建立的“业务部的GPO”应用于业务部,但用户“张阿里”不受此组策略限制。,15-12 GPO的委派,15-13 Authenticated User组的权限 15-14 设置用户拒绝“应用组策略”,15.2.4 组策略继承与阻止继承,1继承与阻止继承,15-16 “技术组”继承“业务部”的组策略,15-17 阻止“技术组”继承“业务部”的组策略,3. 强制继承,15-18 “强制继承”高于“阻止继承”,
