收藏
下载资源

管理组策略ppt课件

上传人:公**** 文档编号:567525926 上传时间:2024-07-21 格式:PPT 页数:30 大小:556.50KB
返回 下载 相关 举报
管理组策略ppt课件_第1页
第1页 / 共30页
管理组策略ppt课件_第2页
第2页 / 共30页
管理组策略ppt课件_第3页
第3页 / 共30页
管理组策略ppt课件_第4页
第4页 / 共30页
管理组策略ppt课件_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《管理组策略ppt课件》由会员分享,可在线阅读,更多相关《管理组策略ppt课件(30页珍藏版)》请在金锄头文库上搜索。

1、第五章第五章 管理组策略管理组策略1学习要求及能力目的学习要求及能力目的 组策略用来在用户或计算机集合上强制设置一些配组策略用来在用户或计算机集合上强制设置一些配置,这在多台计算机需要统一的工作界面时很有实用意置,这在多台计算机需要统一的工作界面时很有实用意义。组策略为管理员提供了进一步控制和集中管理用户义。组策略为管理员提供了进一步控制和集中管理用户工作环境、实现软件部署以及安全性管理。工作环境、实现软件部署以及安全性管理。 掌握组策略的管理与配置方法掌握组策略的管理与配置方法 掌握利用组策略管理资源与对象掌握利用组策略管理资源与对象 掌握域安全策略及域控制器安全策略的配置掌握域安全策略及域

2、控制器安全策略的配置管理方法管理方法2组策略组策略 组策略是从组策略是从Windows 2000Windows 2000开始有的一个新特点。开始有的一个新特点。组策组策略用来在用户或计算机集合上强制设置一些配置,这在多略用来在用户或计算机集合上强制设置一些配置,这在多台计算机需要统一的工作界面时很有实用意义台计算机需要统一的工作界面时很有实用意义。例如用户。例如用户的桌面环境、计算机启动的桌面环境、计算机启动/ /关机所执行的脚本文件、用户关机所执行的脚本文件、用户登录登录/ /注销所执行的脚本文件等。注销所执行的脚本文件等。Windows Server 2003Windows Server

3、2003系系统赋予组策略更新的功能和特性,通过组策略可以更容易统赋予组策略更新的功能和特性,通过组策略可以更容易管理网络上的资源。管理网络上的资源。 31. 1. 组策略简介组策略简介 组策略是组策略是一组配置设置一组配置设置,是组策略管理员应用于活,是组策略管理员应用于活动目录存储中的一个或多个对象。利用它组策略管理员动目录存储中的一个或多个对象。利用它组策略管理员可以为用户提供一个完全总装的桌面环境。这个环境包可以为用户提供一个完全总装的桌面环境。这个环境包括定制的【开始】菜单,自动安装的应用程序和对文件、括定制的【开始】菜单,自动安装的应用程序和对文件、文件夹和文件夹和Windows S

4、erver 2003Windows Server 2003系统设置的限制访问。系统设置的限制访问。 41) 1) 组策略的组件组策略的组件 (1 1)组策略对象)组策略对象 组组策策略略对对象象(GPOGPO,Group Group Policy Policy ObjectObject)是是组组策策略略的的载载体体,要要想想实实现现组组策策略略管管埋埋,必必须须创创建建组组策策略略对对象象。在在活活动动目目录录中中可可以以把把组组策策略略对对象象应应用用于于特特定定的的目目标标,如如站站点点、域域和和OUOU以以实实现现组组策策略略管理的目的。组策略对象的内容存储在管理的目的。组策略对象的内容

5、存储在GPCGPC和和GPTGPT中。中。在对这些对象设置组策略时有以下特点:在对这些对象设置组策略时有以下特点:一一个个GPOGPO可可以以与与多多个个站站点点、域域和和OUOU相相链链接接,这这样样当当需需要要对对不不同同的对象执行相同策略管理时可以减轻管理员的工作负担。的对象执行相同策略管理时可以减轻管理员的工作负担。每个站点、域和每个站点、域和OUOU也可以应用多个也可以应用多个GPOGPO。5(2 2)组策略容器)组策略容器 组组策策略略容容器器(GPCGPC,Group Group Policy Policy ContainerContainer)是是包包含含GPOGPO状状态态和

6、和版版本本信信息息的的活活动动目目录录对对象象,存存储储在在活活动动目目录录中中。计计算算机机使使用用GPCGPC来来定定位位组组策策略略模模板板,而而且且域域控控制制器器可可以以通通过过访访问问GPCGPC来来获获得得GPOGPO的的版版本本信信息息。如如果果一一台台域域控控制制器器没没有有最最新新的的GPOGPO版版本本信信息息,那那么么就就会会引引发发为为了了获获得得最最新新GPOGPO版版本本信信息息的的活动目录复制。活动目录复制。6(3 3)组策略模板)组策略模板 组策略模板(组策略模板(GPTGPT,Group Policy TemplateGroup Policy Templat

7、e)存储在域控存储在域控制器上的制器上的SYSVOLSYSVOL共享文件夹共享文件夹中,中,用来提供所有的组策略设置和用来提供所有的组策略设置和信息信息,包括管理模板、安全性、软件安装、脚本、文件夹重定包括管理模板、安全性、软件安装、脚本、文件夹重定向设置等。向设置等。当创建一个当创建一个GPOGPO时,时,Windows Server 2003Windows Server 2003创建相应创建相应的的GPTGPT。客户端计算机能够接受组策略的配置就是因为它们和客户端计算机能够接受组策略的配置就是因为它们和DCDC的的SYSVOLSYSVOL文件夹链接,获得并应用这些设置。文件夹链接,获得并应

8、用这些设置。 72) 2) 组策略的配置类型组策略的配置类型 每个组策略的配置类型都包括两部分内容:每个组策略的配置类型都包括两部分内容:计算机配置和计算机配置和用户配置用户配置 图图5-1 5-1 组策略编辑器窗口组策略编辑器窗口8(1 1)计算机的组策略配置)计算机的组策略配置 在在计计算算机机的的组组策策略略配配置置中中可可以以指指定定操操作作系系统统的的行行为为、桌桌面面行行为为、安安全全性性设设置置、计计算算机机的的启启动动和和关关机机命命令令、计计算算机机赋赋予予的的应应用用程程序序选选项项以以及及应应用用程程序序设设置置。在在计计算算机机启启动动时会应用计算机的组策略设置。时会应

9、用计算机的组策略设置。2) 2) 组策略的配置类型组策略的配置类型 9(2 2)用户的组策略配置)用户的组策略配置 在在用用户户的的组组策策略略配配置置中中可可以以指指定定操操作作系系统统行行为为、桌桌面面行行为为、安安全全性性设设置置、赋赋予予的的和和公公布布的的应应用用程程序序选选项项、应应用用程程序序设设置置、文文件件夹夹的的重重定定向向选选项项以以及及用用户户登登录录和和退退出出登登录录的的命命令令等等。当当用用户户登登录录计计算算机机时时会会应应用用与与该该用用户户相相关关的的组组策策略设置。略设置。注意:注意:当同一个组策略的计算机配置和用户配置发生冲突当同一个组策略的计算机配置和

10、用户配置发生冲突时,时,计算机的组策略配置优先计算机的组策略配置优先。 103) 3) 组策略的功能类型组策略的功能类型 (1 1)软件设置)软件设置 影影响响用用户户可可以以访访问问的的应应用用程程序序,应应用用程程序序自自动动安安装装的的策策略略有有两两种种方方法法实实现现:指指派派应应用用程程序序,组组策策略略直直接接在在用用户户计计算算机机上上安安装装或或升升级级应应用用程程序序,或或为为用用户户提提供供应应用用程程序序的的连连接接,指指派派的的应应用用程程序序用用户户无无法法删删除除;发发布布应应用用程程序序,组组策策略略管管理理员员通通过过活活动动目目录录服服务务发发布布应应用用程

11、程序序。应应用用程程序序出出现现在在用用户户的的控控制制面面板板的的【添添加加/ /删删除除程序】的安装组件列表中,用户可以卸载这些应用程序。程序】的安装组件列表中,用户可以卸载这些应用程序。11(2 2)脚本)脚本 组组策策略略管管理理员员可可以以设设定定脚脚本本和和批批处处理理文文件件在在指指定定时时间间运运行行,如如在在系系统统启启动动、关关闭闭、用用户户登登录录或或注注销销时时。脚脚本本可可以以自自动动执执行行重复性任务,如映射网络驱动器。重复性任务,如映射网络驱动器。(3 3)安全设置)安全设置 组策略管理员可以限制用户访问文件和文件夹,配置账户限组策略管理员可以限制用户访问文件和文

12、件夹,配置账户限制(如在制(如在Windows Server 2003Windows Server 2003锁定用户账户之前允许用户输锁定用户账户之前允许用户输入多少次错误的口令),设置本地策略(如用户权力和审计),入多少次错误的口令),设置本地策略(如用户权力和审计),控制服务操作,限制注册表和事件日志文件的访问,设置公钥控制服务操作,限制注册表和事件日志文件的访问,设置公钥访问和配置访问和配置IPSecIPSec策略。策略。 12(4 4)管理模板)管理模板 包包括括基基于于注注册册表表的的组组策策略略,可可以以利利用用它它来来强强制制注注册册表表设设置置,控制桌面的外观和状态,包括操作系

13、统组件和应用程序。控制桌面的外观和状态,包括操作系统组件和应用程序。(5 5)远程安装服务()远程安装服务(RISRIS) 当运行用户安装向导时,控制显示给用户的当运行用户安装向导时,控制显示给用户的RISRIS安装选项。安装选项。(6 6)文件夹重定向)文件夹重定向 可可以以重重定定向向Windows Windows Server Server 20032003指指定定的的文文件件夹夹从从用用户户配配置置文文件缺省位置到另一个网络位置,从而对这些文件夹集中管理。件缺省位置到另一个网络位置,从而对这些文件夹集中管理。132. 2. 组策略对象的管理组策略对象的管理 2 2)在图在图5-25-2

14、中除中除【新建新建】按钮以外的其他各按钮作用如下:按钮以外的其他各按钮作用如下:添添加加:把把已已经经存存在在的的一一个个组组策策略略对对象象链链接接到到站站点点、域域或者组织单位上。或者组织单位上。编编辑辑:打打开开组组策策略略对对象象编编辑辑器器来来对对组组策策略略对对象象进进行行编编辑。辑。选项:进行组策略对象的替代控制。选项:进行组策略对象的替代控制。 1 1)创建组策略)创建组策略 ( (新建新建) )图图5-2 5-2 域属性域属性【组策略组策略】选项卡选项卡 【案例案例1 1】创建域的组策略。创建域的组策略。 14删除:断掉组策略对象的链接或删除一个组策略对象。删除:断掉组策略对

15、象的链接或删除一个组策略对象。向上、向下:修改组策略对象应用在同一活动目录对象向上、向下:修改组策略对象应用在同一活动目录对象上的优先级。上的优先级。属性:对选中的组策略对象进行有关属性参数的设置。属性:对选中的组策略对象进行有关属性参数的设置。图图5-25-2中中【阻止策略继承阻止策略继承】单选项是用于防止父容器定义单选项是用于防止父容器定义的策略在自身传递。的策略在自身传递。【案例案例2 2】验证组策略的继承性。验证组策略的继承性。153 3)委托)委托GPOGPO管理控制管理控制 在在创创建建GPOGPO以以后后,要要确确定定哪哪些些用用户户和和组组对对GPOGPO拥拥有有访访问问权限。

16、默认的权限。默认的GPOGPO权限如下所示。权限如下所示。v CREATOR OWNER CREATOR OWNER组:拥有特别的权限。组:拥有特别的权限。v Authrnticated Authrnticated UsersUsers组组 :拥拥有有读读、拥拥应应用用组组策策略略和和特特别的权限。别的权限。v Domain Domain AdminsAdmins组组:拥拥有有读读、写写、创创建建所所有有子子对对象象、删删除除所有子对象、特别的权限。所有子对象、特别的权限。v SYSTEMSYSTEM组组:拥拥有有读读、写写、创创建建所所有有子子对对象象、删删除除所所有有子子对象、特别的权限。

17、对象、特别的权限。16【案例案例3 3】实现委托,使某用户对组策略有访问权限。实现委托,使某用户对组策略有访问权限。174 4)设置组策略)设置组策略 在在创创建建了了组组策策略略对对象象以以后后,还还需需要要对对组组策策略略对对象象进进行行配配置置。配配置组策略对象的步骤如下:置组策略对象的步骤如下:(1 1)打打开开活活动动目目录录,右右击击域域名名,单单击击【属属性性】,选选择择【组组策策略】标签。略】标签。(2 2)选择组策略,单击【编辑】按钮,打开组策略编辑器。)选择组策略,单击【编辑】按钮,打开组策略编辑器。 183. 3. 组策略的应用组策略的应用 1 1)指派应用程序)指派应用

18、程序 可以将一个软件通过组策略指派给用户或者计算机,这样可以将一个软件通过组策略指派给用户或者计算机,这样当当用户登录时,软件会被通告给用户,但是软件并没有真正安装用户登录时,软件会被通告给用户,但是软件并没有真正安装在该计算机上,而只是安装了与软件有关的部分信息,当用户在该计算机上,而只是安装了与软件有关的部分信息,当用户运行软件的快捷方式或者双击该软件的文档时,该软件才会被运行软件的快捷方式或者双击该软件的文档时,该软件才会被自动安装自动安装。软件指派应用程序既可以用于计算机配置,也可用。软件指派应用程序既可以用于计算机配置,也可用于用户配置。于用户配置。 192 2) 发布应用程序发布应

19、用程序和指派软件不同,发布一个软件时计算机并无该软件的快捷方和指派软件不同,发布一个软件时计算机并无该软件的快捷方式,用户需要用【控制面板】式,用户需要用【控制面板】| |【添加或者删除应用程序】选项【添加或者删除应用程序】选项来安装软件。发布应用程序只用于用户配置,在组策略中发布来安装软件。发布应用程序只用于用户配置,在组策略中发布的程序是否被用户安装,取决于用户。的程序是否被用户安装,取决于用户。 20指派或发布应用程序指派或发布应用程序 【案例案例4 4】指派或发布应用程序(以用户配置为例)。指派或发布应用程序(以用户配置为例)。21配置组策略配置组策略 【案例案例5 5】设置设置“本地

20、计算机本地计算机”组策略。组策略。1)1)设置开始菜单设置开始菜单 2)2)设置最近打开文档记录设置最近打开文档记录 3)3)设置系统关机设置系统关机 22配置组策略配置组策略 23配置组策略配置组策略 24对组策略进行设置;对组策略进行设置;注意组策略的执行顺序。注意组策略的执行顺序。 25配置组策略配置组策略 使用脚本使用脚本 文件夹重定向文件夹重定向 安全设置安全设置 安全模板安全模板 26域安全策略及域控制器安全策略域安全策略及域控制器安全策略 域安全策略域安全策略 1 1密码策略密码策略2 2账户锁定策略账户锁定策略 域安全策略的设置影响到域中的每一台计算机,当域安全策略的设置影响到

21、域中的每一台计算机,当非域控制器的某台计算机的非域控制器的某台计算机的【本地安全策略本地安全策略】设置与设置与【域安全策略域安全策略】设置冲突时,以域安全策略为准进行设置冲突时,以域安全策略为准进行应用。应用。27域控制器安全策略域控制器安全策略 【域控制器安全策略域控制器安全策略】是对域控制器设置的安全策略,是对域控制器设置的安全策略,当它与当它与【域安全策略域安全策略】存在冲突时,以存在冲突时,以【域控制器安全域控制器安全策略策略】为准进行应用。为准进行应用。28一练习一练习1 1填空题填空题(1 1)_是一种在用户或计算机集合上强制使用一些是一种在用户或计算机集合上强制使用一些配置的方法

22、。配置的方法。(2 2)组策略配置包含在)组策略配置包含在_中,该对象又与选定的活中,该对象又与选定的活动目录服务容器相关联,不会影响没有加入域的计算机和动目录服务容器相关联,不会影响没有加入域的计算机和用户。用户。(3 3)组策略配置类型有:)组策略配置类型有:_和和_。(4 4)组策略的功能类型有)组策略的功能类型有_、_、_、_、_、_。(5 5)账户策略部分包括)账户策略部分包括3 3个子部分:即个子部分:即_、_和和_。(6 6)打开组策略编辑器的命令是)打开组策略编辑器的命令是_。本章作业本章作业292 2简答题简答题(1 1)什么叫组策略?组策略的作用是什么?)什么叫组策略?组策

23、略的作用是什么?(2 2)组策略的创建位置有哪些?在不同位置创建的组策)组策略的创建位置有哪些?在不同位置创建的组策略的执行顺序是什么?略的执行顺序是什么?二实训二实训1 1在在下创建下创建“学生学生”OUOU(对象有(对象有a1a1,a2a2和和studentstudent),),“学生学生”OUOU委派给委派给a1a1账户有读取用户信息的权账户有读取用户信息的权限。新建限。新建“学生学生”OUOU的组策略,名称为的组策略,名称为“防止学生修改程序防止学生修改程序”,内容为把学生用户下,内容为把学生用户下“控制面板控制面板”下下“添加或删除程序添加或删除程序”选项删除。选项删除。2 2在在下创建下创建“技术部技术部”OUOU(对象有(对象有j1j1,j2j2),),“技术部技术部”OUOU委派给委派给j2j2账户有创建、删除和修改账户和读取用账户有创建、删除和修改账户和读取用户信息的权限。新建户信息的权限。新建“技术部技术部”OUOU的组策略,设置技术部的组策略,设置技术部OUOU中的所有用户的中的所有用户的“我的文档我的文档”重定向到重定向到win2003mydocwin2003mydoc文文件夹。件夹。本章作业本章作业30

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号