《第4章利用组策略管理用户工作环境》由会员分享,可在线阅读,更多相关《第4章利用组策略管理用户工作环境(54页珍藏版)》请在金锄头文库上搜索。
1、第四章利用组策略管理用户工作环境概述l介绍组策略l组策略结构l处理组策略对象l组策略设置是如何应用在活动目录l修改组策略的继承性l组策略的委派管理控制l监控和解决组策略冲突l最佳方案介绍组策略组策略是Win2008操作系统提供的一种重要的配置管理技术,用来批量控制计算机和用户的环境,包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中,通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一,正确高效组策略应用可以最大化提高工作效率,节约大量时间和精力。但如果部署了不正确的组策略,排错过程往往会使人抓狂。通过使用组策略,可以:1.设置集中的和
2、分散的管理2.确保用户有适合完成他们工作的环境3.降低控制用户和计算机环境的总费用,因此要减少用户需要的技术支持的级别和由于用户的错误操作带来的损失4.推行公司策略,包括商业准则,目标和保密需要SiteDomainOUWindows 2008 Applies ContinuallyUsersComputersAdministrator Sets Group Policy OnceGroup Policy组策略结构l组策略设置的类型l组策略的目标l针对计算机和用户的组策略设置l组策略目标和活动目录容器组策略设置的类型Types of Group Policy SettingsTypes of G
3、roup Policy SettingsAdministrativeTemplates基于注册的设定应用设置和桌面环境的设置Security配置本地的计算机、域以及网络安全性设置的设置Software Installation软件安装、升级、卸载的集中化管理的设置Scripts运行特定的命令时的设置值,如关机、退出登录Internet Explorer Maintenance管理和定制计算机的IE设置Folder Redirection在网络服务器上存储用户个性化文件夹的设置(重定向)组策略对象和活动目录容器GPO的设置将对站点、域或组织单位的用户和计算机产生影响1.管理员可将GPO和多个站点
4、、域以及组织单位连接2.也可将多个GPO和单个站点、域以及组织单位连接管理员不能将GPO和默认的活动目录容器计算机、用户和Binltin相连,因为他们不是OUSiteDomainOUOUOUOU GPOOU GPOSite GPODomain GPO计算机和用户的组策略设置计算机的组策略设置1.指的是操作系统行为、桌面行为、安全性设置等等2.计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。3.通常计算机组策略在和用户组策略冲突时有优先权。用户的组策略设置1.用户的组策略设置指定特定的操作系统行为.2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。UsersCompu
5、ters组策略对象包含组策略设置存储于两个不同位置组管理对象(GPO)存储在域控的sysvol共享中存储组策略设置的地方:包括:管理模板、脚本、软件安装、文件夹重定向等设置组策略模板(GPT)存储在活动目录数据库提供版本信息、状态信息和相关属性信息组策略容器(GPC)处理组策略对象l创建已连接的组策略目标l创建未连接的组策略目标l连接已存在的组策略目标创建已连接的组策略目标创建未连接的组策略目标连接已存在的组策略目标组策略设置与首选项设置组策略首选项的特点:l只有域内的组策略可以设置首选项l首选项设置非强制,用户可以更改l首选项可以针对单一设置项目进行过滤l首选项优先级低于策略设置l客户端需安
6、装客户端扩展集(CSE)DEMOl策略设置实战演练:计算机配置l策略设置实战演练:用户配置l首选项设置实战演练1l首选项设置实战演练2组策略的应用规则l一般的继承与处理规则l特殊的处理规则l特殊的处理设置l指定管理组策略目标的域控制器l更改组策略的应用间隔时间一般的继承与处理规则 有高到底,层层应用,低级的覆盖有高到底,层层应用,低级的覆盖高级的高级的SiteDomainOU 子容器从母容器继承子容器从母容器继承GPO设置值设置值ComputersUsersPayrollDomainDomain GPO解决组策略之间的冲突l策略是积累的,如果策略之间没有冲突将全部应用l如果策略之间存在冲突,将
7、采用最新的设置l计算机的设置,高于用户的设置冲突发生时,执行哪个的原则:来自母容器的GPO设置和来自子容器的GPO设置冲突。子容器的设置后执行并发挥作用。连接到同一容器上的不同的GPO的设置发生冲突时。在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。课堂讨论:如何执行组策略的设置nGPO1 确认收藏夹出现在开始菜单确认收藏夹出现在开始菜单中中 nGPO2 and GPO3 要求要求11位字符的位字符的密码并将密码并将Update icon移除开始菜移除开始菜单单nGPO4 从开始菜单移除收藏夹并让从开始菜单移除收藏夹并让update icon出现出现What are th
8、e resultant Group Policy settings for the OU? OUSiteDomainGPO1GPO2GPO3GPO4特殊的继承设置l阻止继承策略l强制继承策略l筛选组策略设置l课堂讨论:改变组策略的继承性阻止继承阻止继承1.阻止所有的GPO继承到子容器2.应用配置为不重写的连接阻止继承将无效3.阻止组策略设置将允许活动目录有唯一的组策略设置GPOs SalesProductionDomainNo GPO settings apply强制继承策略1.将不顾其它的GPO的设置而发挥作用2.在活动目录的较高层次连接GPO以保证能对多个OU起作用3.必须保证强制重要的G
9、POSalesProductionDomainDomain GPO settings applyConflicting GPO SettingsNo Override GPO Settings筛选组策略设置筛选组策略设置1.明确的拒绝申请对于包含OU管理员在内的安全组的组策略许可2.删除验证的用户DomainSalesMengphKimyoGroupDeny Apply Group PolicyAllow Read and Apply Group Policy课堂讨论:改变组策略的继承性Settings That Are Neededn在域中的所有计算机上必须安装防病毒程在域中的所有计算机上必
10、须安装防病毒程序序n除工资部门的用户外所有域里的计算机必除工资部门的用户外所有域里的计算机必须安装微软的须安装微软的office套件套件n除工资部门的管理员计算机外,工资部门除工资部门的管理员计算机外,工资部门的所有计算机都必须安装系列商用财务应的所有计算机都必须安装系列商用财务应用程序用程序如何设置你的如何设置你的 GPOs?PayrollSalesCTraining组策略的处理时限在计算机启动的时候,将决定哪个计算机的GPO设置被应用在用户登录的时候,将决定哪个用户的GPO设置被应用Computer startsUser logs onn Computer settings applied
11、n Startup scripts runn User settings appliedn Logon scripts run更改组策略的应用间隔时间特殊的处理设置l强制处理GPOl慢速链接的GPO处理l环回处理模式l禁用GPO强制组策略的处理如何在客户端强制刷新组策略语法:GPUpdate/Target:Computer|User/Force/Target:Computer|User指定只有用户或计算机策设置已被刷新。在默认情况下,用户和计算机策略设置都被刷新。/Force重新运用所有策略设置。在默认情况下,只有已经改变了的策略设置被应用。组策略和慢速网络连接l组策略能接收慢速连接l组策略使
12、用一种运算法则来确定连接是否为慢速连接l默认设置如果=500k,为慢速连接默认的慢速连接处理客户端扩展客户端扩展慢速连接慢速连接基于注册的设置基于注册的设置打开打开(不能关闭不能关闭)IE界面设置界面设置关闭关闭软件安装设置软件安装设置关闭关闭文件夹重定向设置文件夹重定向设置关闭关闭命令设置命令设置关闭关闭EFS覆盖设置覆盖设置关闭关闭磁盘配额设置磁盘配额设置关闭关闭安全性和加密文件系统覆盖设置安全性和加密文件系统覆盖设置关闭关闭IP安全性设置安全性设置打开打开(不能关闭不能关闭)指定管理组策略目标的域控制器当创建一个新的GPO或编辑一个已存在的GPO时,默认的操作在承担PDC主控的域控制器上
13、执行选择域控制器的选项1.操作主控遵循PDC的竞争原则。2.使用活动目录插件形式。3.使用任何可能的域控制器。指定域控制器方式1.使用在组策略快照中的查看菜单下的DC选项2.在组策略设置中指定使用什么域控制器Windows管理规范()过滤器Windows管理规范过滤使管理员可以基于配置,角色或其他标准决定是否在指定计算机或用户上应用一个组策略对象管理组策略l拷贝GPOl备份GPOl还原GPOl导入GPOl组策略结果集利用组策略管理用户环境什么是管理模板管理模板设置修改控制用户环境的注册设置设置在注册子目录树下修改注册设置1.计算机设置HKEY_LOCAL_MACHINE2.用户设置HKEY_C
14、URRENT_USER如果GPO不再使用,将删除组策略Win2008将同时实现组策略和本地预设注册设置,除非两者之间存在冲突计算机如何实现管理模板设置计算机如何实现管理模板设置GPO List1 1计算机启动时,它重新获得包含计算机配置的计算机启动时,它重新获得包含计算机配置的GPO设置和执行顺序设置和执行顺序计算机连接到指定域控的计算机连接到指定域控的sysvol文件夹和确定文件夹和确定Registry.pol文件位文件位置置SysvolRegistry.polRegistry.polGPT2 2客户机把客户机把Registry.pol文件中的注册设置值写到适当的子目录树下文件中的注册设置值
15、写到适当的子目录树下Registry.polHKCURegistry.polHKLM3 3 在注册设置实施以后,将显示桌面在注册设置实施以后,将显示桌面4 4注册设置的值包含在注册设置的值包含在Registry.pol文件夹中文件夹中使用组策略中的管理模板管理模板设置类型禁闭桌面的设置禁闭用户访问网络资源的设置禁闭用户访问管理工具和应用程序的设置组策略中的回环处理模式设置实现管理模板管理模板设置的类型Setting typesSetting typesControlsControlsAvailable forAvailable forWindowsComponents用户何以访问的Win200
16、8及其工具和组件部分,包括控制用户对MMC 的访问System登录、退出过程,组策略,更新区间,启用磁盘限额和实现回环处理Network网络连接和拨号连接的属性,包括共用网络访问Printers打印机设置,可以是打印机自动公布在活动目录中,并使基于网络的打印机无效Start Menu &Taskbar用户可以从开始菜单中访问的功能部件Desktop活动桌面。通过隐藏某些桌面图标并控制用户对My Documents文件夹的使用,可以控制用户对网络的访问Control Panel控制面板上的一些应用程序。包括限制对添加/删除程序,显示和打印机的使用禁闭桌面的设置l隐藏桌面上的所有图标隐藏桌面上的所
17、有图标l在退出时不会保存设置在退出时不会保存设置l隐藏我的电脑下具体指定的驱动器隐藏我的电脑下具体指定的驱动器 l从开始菜单中删除从开始菜单中删除“RUN”菜单菜单 l禁止用户运行控制面板中的显示功能禁止用户运行控制面板中的显示功能l删除删除Windows Update 菜单菜单l使工具栏和开始菜单设置的修改无效使工具栏和开始菜单设置的修改无效l使关闭命令无效或删除该命令使关闭命令无效或删除该命令Group Policy Settings to Lock Down the DesktopGroup Policy Settings to Lock Down the Desktop禁闭用户访问网络
18、资源的设置禁闭用户访问网络资源的设置l隐藏隐藏My Network Places 图标图标l删除删除“Map Network Drive” 和和 “Disconnect Network Drive” l工具菜单:禁用工具菜单:禁用Internet选项选项Group Policy Settings to Lock Down User Group Policy Settings to Lock Down User Access to Network ResourcesAccess to Network Resources禁闭用户访问管理工具和应用程序的设置禁闭用户访问管理工具和应用程序的设置l从开
19、始菜单删除从开始菜单删除“Search”菜单菜单 l从开始菜单删除从开始菜单删除“Run”菜单菜单l禁用任务管理器禁用任务管理器l只运行允许的只运行允许的Windows应用程序应用程序 l在开始菜单删除在开始菜单删除 Documents 菜单菜单l禁用对工具栏和开始菜单设置的修改禁用对工具栏和开始菜单设置的修改l隐藏开始菜单中的普通程序组隐藏开始菜单中的普通程序组 Group Policy Settings to Lock Down User AccessGroup Policy Settings to Lock Down User Accessto Administrative Tools
20、and Applicationsto Administrative Tools and Applications设计管理模板未配置Windows2008忽略该设置,不产生对计算机产生任何变化启用Windows2008实现该设置,并把引起的变化添加到合适的Registry.pol文件中禁用Windows2008防止实现该设置,并把引起的变化添加到合适的Registry.pol文件中OrOrOrOr启用启用禁用禁用未配置未配置(默认默认)练习:编辑组策略设置Inthispractice,youwilleditGroupPolicysettings什么是组织策略脚本设置什么是组织策略脚本设置组策略脚
21、本设置允许你:执行不能通过其它组策略设置配置任务的脚本运行预先已经存在的用来管理用户环境的脚本,直到建立其它组策略设置来代替这些脚本执行的任务Scripts计算机设置启动启动/ /关机关机用户设置登录登录/ /注销注销启动启动/ /关机关机计算机用户登录登录/ /注销注销分配组策略脚本设置练习:利用组策略分配脚本Inthispractice,youwilluseGroupPolicytoassignscripts利用组策略重定向文件夹什么是文件夹重定向选择需要重定向的文件夹把文件夹重定向到服务器位置什么是文件夹重定向重定向文件夹的优点:不管用户从哪个计算机上登录都可以访问到文件夹文件夹的数据文
22、件夹中的数据集中存储减少网络通信量重定向文件夹上的文件,与漫游用户配置文件中的文件不一样,不在用户登录的计算机上拷贝和保存Redirected Personal FoldersRedirected Personal FoldersDocuments Are Stored on the Server but Appear to Be Stored LocallyMyDocumentsMyDocuments选择重定向的文件夹文件夹文件夹文件夹文件夹内容内容内容内容重定向到服务器的原因重定向到服务器的原因重定向到服务器的原因重定向到服务器的原因My Documents 用户存储个人数据的预设位置Start Menu开始菜单中的文件夹和快捷方式Desktop包含用户放置在桌面上的所有快捷方式ApplicationData由应用程序存储的具体用户的数据,用户可以从任何计算机上访问数据,这些数据可以集中的管理和备份,在用户配置文件中保存的数据会减少用户的 Start menus 是标准化的用户桌面是标准化的应用程序使用相同的具体用户的数据,不管用户从什么计算机上登录练习:配置文件夹重定向软件限制策略证书规则哈稀规则Internet区域规则路径规则总结:管理用户环境简介管理模板介绍在组策略中使用管理模板用组策略分配脚本利用组策略重定向文件夹利用组策略确保用户环境安全
