组策略在企业网络管理中的应用第六小组实训汇报组策略介绍•组策略将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。•本质上,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,远比手工修改注册表方便、灵活,功能也更加强大。使用组策略实现统一企业桌面(一)•使用背景:可以使用组策略实现所有员工的电脑桌面统一标准以提高公司的品牌效应。使用组策略实现统一企业桌面(二)用“用户配置”-“管理模板”-“桌面”-“ActiveDesktop”和“ActiveDesktop墙纸”。要注意的是①墙纸路径要用网络路径(UNC路径)②要用gpupdate刷新组策略但以上只解决了桌面背景的一致,要使桌面图标也一样,还要使用漫游配置文件和文件夹重定向技术。用组策略实现对某些软件的限制(一)•应用背景:有时为了管理需要,需要对员工的使用电脑行为进行一些限制。这时就可用组策略来对软件的运行做出限制。•为了让整个系统运行更稳健安全,可以对可以修改系统设置的软件进行限制(如cmd.exe、regedit.exe)•为了让员工在工作时不玩游戏,可以对一些游戏程序进行限制(如蜘蛛纸牌spider.exe、扫雷winmine.exe等)•为了防止员工恶意下载占用宽带,可以限制一些下载程序(如迅雷、网际快车等)•还可限制QQ等与工作无关软件用组策略实现对某些软件的限制(二)有4种限制规则①哈希规则②证书规则③路径规则④网络区域规则哈希规则只要程序文件的内容不变,无论它的位置在哪儿,都会受到限制。而路径恰好相反,只要程序文件的路径不变,它都会受到限制。使用组策略隐藏一些东西(一)•使用背景:我们可以隐藏一些东西,用于限制普通员工对系统高级设置的使用,让系统更加安全保险,也可用于统一用户界面。•如桌面上的“我的电脑”,“我的文档”和“回收站”图标,“开始”菜单里的一些项目,如“网络连接”、“搜索”、“运行”等都可以根据需要隐藏。使用组策略隐藏一些东西(二)•也可以隐藏“我的电脑”里的一些驱动器•很多时候,我们在网吧上网时,会发现Windows键不起作用,Windows+D(很实用的显示桌面的快捷键)、Windows+R(显示“运行”)也不起作用,这其实是因为网吧电脑作了限制,不过它是通过本地组策略进行限制的,在企业里,我们也可以限制Windows键的使用。这样可以限制用户对系统高级功能的使用。限制Windows+X形式的快捷键(一)限制Windows+X形式的快捷键(二)•要注意的是:•但这只能禁用Windows+X形式的快捷键。如果仅按Windows键,还是可以弹出“开始”菜单。•要使单独按Windows键时,不弹出“开始”菜单,可以通过修改注册表的方式得到解决。利用组策略部署软件(一)使用背景:有时公司需要给公司电脑上安装一些软件,若一个一个地装,显然不太现实。用组策略部署软件可方便的实现以上功能。利用组策略部署软件(二)可以有几种不同的方法,它们的区别如下:•指派到计算机——登录到域,软件直接安装•指派到用户——①“开始”菜单②控制面板有提示③文档激活•发布给用户——只能在控制面板的“添加删除程序”中看到。利用组策略部署软件(三)•需要注意的是安装文件格式只能为“.msi”或“.mst”格式,如果没有这个格式的安装文件,可以用AdvancedInstaller来制作MSI安装包。•AdvancedInstaller是一个Windows下的安装程序制作软件,它能使系统管理员方便地制作MSI安装包。使用组策略指派登录、注销、启动关机脚本(一)•应用背景:可以在用户登录、注销时,在计算机启动、关机时应用脚本,来执行一些提示或设置操作。使用组策略指派登录、注销、启动关机脚本(二)•登录、注销脚本要在用户配置里设置•启动、关机脚本要在计算机配置里设置•脚本可以是VB脚本,也可以是批处理(即BAT)脚本。•脚本其实是一种解释性的程序代码,别看它语法简单,但可以完成或简单或复杂的几乎所有的Windows配置。•比如可以在用户登录到系统时,弹出欢迎消息或公司的一些通知。使用组策略设置IE(一)•运用背景:•IE是微软自带的、也是目前使用范围最广的浏览器,所以公司用的浏览器一般也是IE。可用组策略对IE进行一些设置,让它更符合我们的管理需要。•常用的设置有:禁止修改主页、禁用“Internet选项”和修改IE浏览器标题。使用组策略设置IE(二)•可以限制禁止更改主页设置•禁用“Internet选项”菜单项。•修改IE浏览器的标题组策略设置的心得体会(一)•关于组策略很常见的问题就是:“我设置了一个策略,为什么它不生效?”•这一方面是由于我们在日常操作时不慎引起的,另一方面是由于策略相互影响而造成最终的结果与设想不一致。具体见下页。组策略设置的心得体会(二)1.不要删除两条默认的策略2.组策略是不能够链接在用户组上的。3.组策略的生效问题①生效顺序正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU策略。②生效时间自动刷新(DC—5min非DC—90min)手工刷新(gpupdate命令)•如何实现OU内的GPO只对OU内的特定人员生效?(比如:GPO只对财务部OU和销售部OU的经理生效)•使用安全过滤:在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中,删除默认的AuthenticatedUsers组,将新建的安全组添加进来。组策略设置的心得体会(三)组策略设置的心得体会(四)•可用组策略建模来模拟策略的结果集根据所给的计算机和用户信息在服务器上模拟出最终的配置结果。•使用组策略结果来确定策略的结果集通过查询目标计算机并检索应用于该计算机的RSoP数据来获得配置结果集。组策略设置的心得体会(五)•对于需要共享的文件夹可用以$结尾命名方式,实现隐藏共享。•用简洁的名字描述GPO的意图,一般用三个关键字来命名:范围、目的、谁管理,这样方便以后的维护。如:Offices_ForbidGames_Admin组策略设置的心得体会(六)•最好通过哈希值的方法限制软件因为这样不管员工怎么改名、改路径都可以限制。•可以用StarterGPO的方式建立GPO,这样可以方便组策略对象的创建。组策略设置的心得体会(七)•文件夹重定向允许管理员将文件夹的路径重定向到新位置,该位置可以是本地计算机的一个文件夹,也可以是网络文件共享上的目录。用户能够使用服务器上的文档,如同文档就在本地驱动器上一样。谢谢!THEEND