收藏
下载资源

组策略培训课程

上传人:F****n 文档编号:95704231 上传时间:2019-08-21 格式:PPT 页数:81 大小:618KB
返回 下载 相关 举报
组策略培训课程_第1页
第1页 / 共81页
组策略培训课程_第2页
第2页 / 共81页
组策略培训课程_第3页
第3页 / 共81页
组策略培训课程_第4页
第4页 / 共81页
组策略培训课程_第5页
第5页 / 共81页
点击查看更多>>
资源描述

《组策略培训课程》由会员分享,可在线阅读,更多相关《组策略培训课程(81页珍藏版)》请在金锄头文库上搜索。

1、2019/8/21,组策略,2019/8/21,主要内容,8.1 组策略概述 8.2 组策略对象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序,2019/8/21,8.1 组 策 略 概 述,组策略就是修改注册表中的配置。 组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。,2019/8/21,组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内(域控制器“%systemroot%SYSVOLsysvol域名Polici

2、es”目录下)。,2019/8/21,8.1.1 组策略简介,计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有计算机。,2019/8/21,用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略,则此组策略会被应用到站点、域或组织单位内的所有用户。,2019/8/21,本地组策略: 它是针对每一台Windows 2000 Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%system32GroupPolic

3、y” 目录内,只针对本地计算机和本地用户。,2019/8/21,8.1.2 组策略的应用顺序与规则 如果在本地计算机、站点、域和组织单位内分别设置了组策略,则这些组策略的应用顺序为: 本地组策略(即本地安全策略,存储在本地计算机内); 站点的组策略; 域的组策略; 组织单位的组策略(后3项的数据存储在活动目录内)。,2019/8/21,具体的应用规则说明如下: (1)如果在父容器内建立了一个组策略,但是并未在子容器建立组策略,则子容器会继承在父容器内所建立的组策略。 (2)如果另外在子容器内建立了组策略,在默认情况下子容器的组策略则要取代父容器的组策略。,2019/8/21,(3)如果父容器未

4、被设置组策略,则子容器不会继承父容器的组策略。 (4)如果父容器设置了组策略,但是子容器内的组策略并未设置,则子容器会继承父容器的组策略。,2019/8/21,存在这样一些机制:用户可以强制继承或阻止组策略对象影响用户组和计算机组,这可以通过“禁止替代”和“阻止策略继承”的设置来实现。 特别要指出的是,组策略不影响安全组。但是可以使用安全组来过滤组策略,也就是改变它的范围。,组策略的特性,2019/8/21,8.1.3 组策略的继承 一、阻止组策略继承 在子容器组策略内,可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容器的组策略为其设置。,2019/8/2

5、1,二、强迫继承策略 在父容器的组策略内,可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置,而不管子容器的组策略内是否设置了“阻止策略继承”,即“强迫继承”策略的优先级要高于“阻止策略的继承”。,2019/8/21,8.1.4 组策略和AD,GPO是一种与域、地址或组织单元相联系的物理策略,GPO包括文件和AD对象,要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Windows Server 2003服务器和工作站都可以采用它。,2019/8/21,访问本地GPO的方法: MS-DOS命令窗口:gpedit.msc MMC控制台中选择

6、GPO插件,2019/8/21,8.2 组策略对象,一、根据不同的计算机,设置不同的组策略 1域控制器 开始程序管理工具域控制器安全策略 2成员服务器、独立服务器 控制面板管理工具本地安全策略 3Windows XP/2000 Professional 控制面板管理工具本地安全策略,2019/8/21,二、利用“Active Directory用户和计算机”设置组策略,图8-1 组策略,2019/8/21,8.2.1 更改组策略 在默认情况下,只有某些组内的用户账户(如administrators组内的账户)才可以在域控制器上登录,而一般用户无法在域控制器上登录。,图8-2 更改组策略,201

7、9/8/21,8.2.2 测试“在本地登录”策略是否正常 策略设置好后,并不是立即生效,因为针对域所设置的策略,此域内的计算机(包括域控制器)往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效,必须利用以下3种方式之一来达到目的。,2019/8/21,8.2.2 测试“在本地登录”策略是否正常,一、使组策略生效 运行命令: Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police 重新启动/注销计算机 等待此策略应用到计算机,2019/8/21,图8-3 打开组策略,2019/8/21,测试组

8、策略的效果,利用administrator账号登录 “开始” “程序” “管理工具” “Active Directory用户和计算机” 在User组织单位上右键“新建”普通用户账户 使策略应用到计算机 用新建账号重新登录,2019/8/21,8.3 管理模板策略的设置,管理模板策略的设置: (1)隐藏用户桌面的“网上邻居”和“我的文档”图标。 (2)将“开始”菜单中的“运行”、“文档”等命令删除。 (3)在“开始”菜单中添加“注销”的功能。,2019/8/21,8.3.1 建立组织单位与用户账户,管理工具 Active Directory用户和计算机 新建 组织单元(Beijing) 在新建和

9、组织单元中新建用户(john)。,2019/8/21,图8-4 新建对象,2019/8/21,8.3.2 设置与测试组策略的替代功能,设置与测试组策略的功能,可以先在“Beijing”组织单位内建立一个GPO,然后利用“Beijing”组织内的用户账户“John”来验证GPO的设置是否有效,然后再利用“School”子组织单位中的用户账户“Lili”登录,来验证“School”子组织单位是否会继承“Beijing”组织单位的GPO设置。,2019/8/21,然后再在“School”子组织单位中建立一个新的GPO,利用“Lili”登录来验证在子容器中设置的组策略是否替代了父容器中的组策略。,20

10、19/8/21,一、设置“Beijing”组织单位的“GPO” 二、测试组策略的应用 三、测试组策略在子组织单位中的应用 四、设置School的组策略 五、测试School子组织单位组策略的应用,2019/8/21,8.3.3 拒绝继承组策略 在子组织单位的GPO内,若有些策略被设置为“未被配置”,则子组织单位内的这些设置将继承父组织单位内的设置。但是却可以在子组织单位的GPO内,通过“阻止策略继承”复选框,将子组织单位的GPO设置为不要继承父组织单位的设置。,2019/8/21,8.3.4 强迫继承组策略 用户可以在父组织单位内,设置强迫其所有的子组织单位必须继承父组织单位的GPO设置。那就

11、是父组织单位的“禁止替代”功能。通过GPO的“选项”按钮打开如图8-5所示的对话框,进行设置。,2019/8/21,图8-5 继承组策略,2019/8/21,8.4 账户策略的设置,一、账户策略设置的注意事项 (1)若针对域设置的账户策略,则这个策略会应用到域内的所有计算机。 (2)若针对某个组织单位设置账户策略,则这个策略只会应用到这个组织单位内的计算机而已,不会影响到其他的计算机。,2019/8/21,二、设置账户策略的步骤 开始程序管理工具Active Directory用户和计算机 在域或组织单位右键属性组策略选定GPO编辑,2019/8/21,图8-6 账户策略,2019/8/21,

12、8.4.1 密码策略 密码策略包含多个与用户账户的密码有关的选项,如图8-7所示:,图8-7 密码策略,2019/8/21,8.4.2 账户锁定策略 单击图8-7窗口中的“账户锁定策略”,显示如图8-8所示的窗口:,图8-8 账户锁定策略,2019/8/21,8.5 本地策略的设置,8.5.1 用户权利指派策略 开始程序管理工具Active Directory用户和计算机 域或组织单位上单击鼠标右键属性组策略选定GPO编辑 计算机配置Windows设置安全设置本地策略用户权利指派用户权利指派。,2019/8/21,图8-9 安全选项,2019/8/21,常用的用户权力指派中包括以下选项: (1

13、)在本地登录:允许用户在本台计算机上按CTRL+ALT+DEL键登录。 (2)域中增加工作站:允许用户将Windows NT/Windows 2000计算机加入到域内。 (3)关闭系统:允许用户关闭此计算机。,2019/8/21,(4)从网络访问此计算机。 (5)从远端计算机来关闭此计算机。 (6)备份文件和目录。 (7)还原文件和目录。,2019/8/21,(8)管理审核和安全日志。 (9)更改系统的时间。 (10)装载和卸载设备驱动程序。 (11)取得文件或其他对象的所有权。,2019/8/21,8.5.2 安全选项策略 设置步骤: 打开“Active Directory用户和计算机”对话

14、框 在域或组织单位上单击鼠标右键 在弹出的快捷菜单中选择“属性”在对话框中选择“组策略”,2019/8/21,选定GPO 单击“编辑”按钮 在打开的窗口中单击“计算机配置” “Windows设置”,2019/8/21,“安全设置” “本地策略” “安全选项”,2019/8/21,图8-10 安全选项,2019/8/21,常用的安全策略包括以下选项: (1)登录屏幕上不要显示上次登录的用户名。 (2)允许在未登录前关机。 (3)在密码到期前提示用户更改用户密码。 (4)禁用按Ctrl+Alt+Del进行登录的设置。 (5)只有在本地登录的用户才能访问CD-ROM。,2019/8/21,8.6 登

15、录/注销、启动/关闭脚本,8.6.1 登录/注销脚本的设置 登录/注销脚本用于指定用户登录或注销计算机时运行的脚本。 登录/注销脚本是可选的。,2019/8/21,8.6.2 启动/关闭脚本的设置 启动/关闭脚本是针对计算机进行的设置,当所有使用此计算机的用户启动和关闭计算机时,预先设置好的启动或关闭脚本就可以执行。启动/关闭脚本的设置与登录/注销脚本的设置步骤十分相似。,2019/8/21,启动脚本文件名称为:startup.vbs 文件内容为:wscript.echo “Welcome to Windows Server 2000”。,2019/8/21,关闭脚本文件名称为:shutdow

16、n.vbs 文件内容为:wscript.echo “Windows 2000 will be shut down, goodbye”。,2019/8/21,8.7 部署应用程序,部署应用程序包括如下内容: (1)将应用程序发布(发行)给用户 (2)将应用程序指派给用户或计算机 (3)自动修复应用程序 (4)删除用户应用程序,2019/8/21,8.7.1 发布应用程序 一、发布应用程序 二、安装被发布的应用程序 三、测试自动修复应用程序功能,2019/8/21,8.7.2 给用户指派应用程序 给用户指派应用程序与给用户发布应用程序的方法基本一致: 首先建立包含Windows安装程序包的文件夹 接下来设置默认程序包位置 最后给用户指派应用程序 只需要将给用户发布应用程序中的步骤部署软件的类型由“已发行”改为“已指派”即可。,2019/8/21,图8-11 指派应用程序,2019/8/21,8.7.3 给计算机指派应用程序,图8-12 新建程序包,2019/8/21,8.7.

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号