第4章 组策略

组策略V1.98By:zjike内容»容器与组织单位»组策略概论»组策略实例»组策略的处理规则»利用组策略管理用户环境»组策略的委派管理容器与组织单位容器»容器»可以含其他对象，如：用户、计算机»也可以包含其他容器组织单位（OU）»OU»容器»组策略功能组策略概论组策略的功能»能控制与管理网络上用户的工作环境与计算机环境»减轻网络管理的负担»降低网络管理成本组策略»组策略包含两部分计算机配置用户配置组策略»计算机的组策略设置:»指定操作系统的行为,桌面的行为,安全性设置,计算机的启动、关机脚本,计算机的应用程序设置»在计算机启动时被周期性的运用»用户的组策略设置:»指定操作系统的行为,桌面的行为,安全性设置,用户的登录、注销脚本,分配和发布应用程序,文件夹的重定向»在用户登录时被周期性的运用组策略的功能»组策略是通过“组策略对象”（GPO）来设定的»组策略对象可以链接到Site(终端),Domain(域)和OU(组织单元)上»管理员可以将一个GPO和多个SDOU链接»也可以将多个GPO与一个Site、Domain、OU链接»不能将GPO与计算机、用户、AD默认的容器链接»内建GPO»DefaultDomainPolicy(默认域策略)»DefaultDomainControllerPoliy(默认域控制器策略)GPO的内容GroupPolicyObject存放在活动目录数据库中提供GPO属性和版本信息GroupPolicyContainer(GPC)存储在DC活动目录的页面文件Sysvol文件夹中存储GPO的配置值和相关文件GroupPolicyTemplate(GPT)组策略容器组策略模板组策略的应用时机»计算机配置的启用时间:»计算机开机时自动启用»每隔一段时间自动启用»域控制器：默认每隔5分钟自动启用»非域控制器：默认每隔90~120分钟自动启用»无论策略配置是否有变动，系统仍会每隔16小时自动启用一次»手动启用：»gpupdate/target:computer/force组策略的应用时机»用户配置的启用时间:»用户登录时自动启用»即使用户注销、登录，系统默认每隔90~120分钟自动启用»无论策略配置值是否有变动，系统仍会16小时自动启用一次»手动启用：»gpupdate/target:user/force组策略实例实例演示1：15普通用户在DC上登录•在abc.com的域控制器中创建一个名为Einsun的OU•在该OU中创建一个用户叫Tom•让Tom能够在DC上正常登录实例演示2：16配置开始菜单•在abc.com的域控制器中创建一个名为Einsun的OU•在该OU中创建一个用户叫Tom•Tom在域中任何一台PC登录，都不能使用开始菜单里的“运行”菜单组策略的处理规则默认的域控制器策略»DefaultDomainControllerPolicy:»此设定的值会被应用到域控制器组织单位内的所有用户与计算机实例演示3：19DomainControllersOU•在DomainControllersOU的GPO中，禁止用户使用菜单中的“搜索”功能•OU名为“市场部”的Tom用户登录察看是否可以使用菜单中的“搜索”功能•将Tom用户移动到DomainControllersOU中，并登录察看是否可以使用菜单中的“搜索”功能组策略的继承ComputersUsersPayrollDomainDomainGPO•组策略的配置是有累加性的•父容器的GPO设置和子容器的GPO设置冲突，子容器的GPO设置生效•同一个容器上的不同GPO的设置发生冲突，列在最高的GPO设置生效优先顺序SiteDomainOU•当域、站点与OU之间的GPO发生冲突时，则以处理顺序在后的GPO优先实例演示4：22GPO应用优先顺序实验•在DC的GPO中，禁止用户使用“关机”菜单•OU名为“市场部”的Tom用户登录察看是否可以使用“关机”菜单•在OU名为“市场部”的GPO中，允许用户使用“关机”菜单•Tom用户登录察看是否可以使用“关机”菜单特殊情况计算机配置用户配置•系统先处理“计算机配置”，再处理“用户配置”•当有冲突时，以“计算机配置”优先阻止策略继承实例演示5：25阻止策略继承•在DC的GPO中，禁止用户访问C盘•OU名为“市场部”内的Tom用户登录察看是否可以访问C盘•在OU名为“市场部”的GPO中，选择“阻止策略继承”•Tom用户再次登录察看是否可以访问C盘强制策略继承实例演示6：27强制策略继承•在DC的GPO中，禁止用户访问C盘•在OU名为“市场部”的GPO中，选择“阻止策略继承”•在DC的GPO中，选择“禁止替代”选项•Tom用户再次登录察看是否可以访问C盘禁用GPO禁用GPO实例演示7：30思考•在名为“市场部”的OU中，用户Tom和Jim的策略配置是否一定会是相同的？过滤组策略配置环回处理模式DCOU环回处理模式»替代模式»合并模式环回处理模式OU-GPOServerPCServer-GPO利用组策略来管理用户环境利用组策略来管理用户环境»账户策略»用户权限分配策略»安全选项策略»登录、注销、启动、关机脚本»文件夹重定向账户策略»对域用户来说，整个域只可以有一个账户策略»账户策略»密码策略»账户锁定策略用户权限分配策略用户权限分配策略安全选项策略登录、注销、启动、关机脚本文件夹重定向文件夹重定向我的文档我的文档我的文档域控制器TOMTOMTOM？文件夹重定向我的文档我的文档我的文档域控制器TOMTOMTOMTOM的文档组策略的委派管理委派管理委派管理域控制器市场部技术部账务部TOMJIMMichaelAdmin，我部门来了一位新员工，请给他加一个账号…Admin，我部门的“云龙”离职了，请把他的账号删除…Admin，我部门的“成刚”休长假回来了，请恢复他的账号…AdminAdmin，!@#$%^&*...........Admin，!@#$%^&*...........Admin，!@#$%^&*...........Admin，!@#$%^&*...........Admin，!@#$%^&*...........Admin，!@#$%^&*...........思考：如果你刚接手管理某个公司的域环境，你怎么熟悉他的策略配置情况？附：GPMC（组策略管理控制台）©2008-11ZJIKEPPT51实验实验1：52隐藏C盘•管理员为了防止“市场部”的员工损坏C盘系统文件，想让市场部的员工无论哪一台计算机上登录时都看不到C盘，并且也不能用其它方式访问到C盘里的内容•你该怎么来实现？经验值增加：3点实验2：53隐藏“设置”选项卡•最近发现有些员工不小心修改了显卡分辨率，导致屏幕显示太小或太模糊，常常让你去帮助他们恢复。•如何才能防止用户随意更改显示设置呢？•完成这个要求经验值增加：3点实验3：54更改IE选项•将用户Tom的IE浏览器工具栏更改为只有“后退”、“前进”和“刷新”三个按钮•将用户Tom的IE浏览器“收藏夹”功能关闭经验值增加：3点实验4：55隐藏右键菜单•利用组策略，让Tom用户不使用鼠标右键菜单•桌面右键菜单、任务栏右键菜单都不能打开经验值增加：4点实验5：56更改桌面墙纸•利用组策略将Tom用户的桌面墙纸更改为“魔兽争霸”图片•利用组策略将Jim用户的桌面墙纸更改为“张学友”图片经验值增加：5点实验6：57更改账户策略•利用GPO配置名为Einsun的OU，使该OU内用户的密码最小长度为10，并且取消密码复杂性要求经验值增加：4点实验7：58登录、注销脚本•利用GPO配置名为Einsun的OU，使该OU内的用户在登录和注销时，运行不同的脚本文件经验值增加：4点实验8：59实现“我的文档”重定向•利用GPO配置名为Einsun的OU，使该OU内的TOM用户实现在不同计算机登录时，其“我的文档”内的文件都是一样的经验值增加：5点实验9：60委派管理•利用GPO配置名为Einsun的OU，使该OU内的TOM用户（隶属于默认的“DomainUsers”组）具有在该OU内创建、删除用户的能力•并要求说明，如何再取消TOM的创建、删除用户的能力经验值增加：5点附加实验1：61组策略管理控制台•随着公司部门的增加，需要更高效的管理活动目录组策略，请将组策略管理工具升级到高版本（GPMC）经验值增加：1点附加实验2：62优化客户机服务•公司有100多台计算机作为客户机，操作系统有XP和2003•为了更有效的利用每台客户机的系统资源，管理员需要对每一台客户机进行后台服务优化工作（即：禁用不必要的服务）•请通过组策略对所有客户机禁用以下几个服务：•ErrorReportingService•HelpandSupport•ShellHardwareDetection经验值增加：1点附加实验3：63定义IE收藏夹内容•为了方便员工访问常用网页，请利用组策略将以下网址添加到所有用户的IE收藏夹中•百度•腾讯•谷歌•并将主页网址，且用户不能修改经验值增加：1点附加实验4：64定义磁盘配额•为了让员工不浪费硬盘空间，现管理员要让所有员工登录后所有磁盘的可使用空间为100MB经验值增加：1点附加实验5：65定义磁盘权限•D盘为公司员工公共文件储存区，请通过策略让所有员工在登录计算机后可以直接在D盘下存放文件（即：不需要先创建文件夹）经验值增加：1点66课后作业作业2671.请你谈一谈Windows域环境中组的分类有哪些？与Windows工作组环境中的组有什么不同的地方？域环境中的各个组各自有什么特点?2.组策略中包含哪两部分？系统内建有两条组策略对象（GPO）分别是哪几条？刷新组策略配置信息的命令是什么？3.谈一谈组策略的继承与处理规则？作业3681.请你说明活动目录组策略中，“阻止策略继承”和“强制策略继承”的作用各是什么?2.活动目录中“过滤组策略配置”的作用是什么？3.谈一谈活动目录中组策略“环回处理模式”有什么作用？4.如何防止恶意“远程关机”？5.举例说明组策略“委派管理”的作用？