AD域-组策略

第3章组策略学习目标v在完成本章的学习后，您将能够：v共同组策略集中管理网络第3章组策略企业需求v企业的员工都使用计算机办公，为了管理上的方便，需要对全部的计算机在某些配置上强制性实施统一的配置。例如：密码设置原则、统一安装办公软件。第3章组策略什么是组策略v“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。v组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。第3章组策略第3章组策略各种组策略v计算机是否加入到域对策略的影响是很大的v没有加入到域中的计算机只有本地策略在起作用v而如果计算机加入到域中，牵涉的组策略就复杂得多了，包括本地策略、默认域策略、默认域控制器策略，还有组织单元上（OU）的策略等第3章组策略本地策略、本地安全策略v没有加入到域中的计算机只有本地策略在起作用v本地安全策略是本地策略的一部分第3章组策略本地安全策略：在管理工具中第3章组策略本地策略：在MMC中添加第3章组策略添加管理单元：组策略对象编辑器第3章组策略本地安全策略是本地策略的一部分第3章组策略两种配置选项v计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。v用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。第3章组策略默认域策略v域策略会应用到整个域，域策略存储在域控制器上。v在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。第3章组策略默认域控制器策略v默认域控制器策略是应用到域中的域控制器的。v在“ActiveDirectory用户和计算机”窗口中的左边选中“DomainControllers”，右击鼠标选择“属性”项，选择“组策略”选项卡。v域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。v默认域控制器策略是安装Windows2003时自动创建的、应用到域控制器上的策略。第3章组策略17.1.4各种策略存在的位置第3章组策略各种策略并存时，哪个在起作用？v作用顺序：q首先是本地策略q然后是域策略q域控制器策略（域控制器上才有）v如果发生不同组策略对同一策略项设置了不同的值，后者将替代前者v也就是说本地策略的优先级是最低的。第3章组策略创建组策略n每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略n而域上可以有多个组策略，我们可以在一个域上同时应用多个组策略第3章组策略也可以在原有的策略上直接进行修改第3章组策略创建新的组策略，则域上有多个策略存在n有多个策略时，排在列表上面的组策略具有较高的优先级n对于同一策略设置，上面的组策略会替代下面的组策略第3章组策略修改域控制器上的默认策略第3章组策略设置密码策略第3章组策略在成员服务器上刷新组策略：gpupdate第3章组策略在成员服务器上检查本地安全策略是否被更新可以看到策略已经更新为在域上面设置的策略了第3章组策略测试策略是否生效更改用户密码时，要求满足设置的密码策略了第3章组策略配置桌面第3章组策略阻止更改“任务栏”和“开始”菜单第3章组策略不要保留打开文档的记录不想让人知道自己浏览过哪些网页和打开过哪些文件。第3章组策略关闭一些不需要的服务第3章组策略控制用户或组访问注册表的权限第3章组策略用户或组访问注册表的权限第3章组策略v公司的不少员工使用office，可是有好几个版本的office，我能用组策略统一安装一个版本的office吗？q可以，组策略中的用户配置à软件设置à软件安装就是为了完成这个用途。可以在域中统一使用某一软件。v我是否可以使用组策略把员工的计算机都设成一个模样？q完全一样很难做到，如果真做到，估计员工会造反，管理员要在个性和统一之间做个平衡。不过可以做到大同小异。问题第3章组策略第3章组策略组策略扩展1.组策略结构2.组策略创建管理3.利用组策略管理用户桌面4.利用组策略发布软件第3章组策略组策略结构v组策略设置的类型v组策略的目标v针对计算机和用户的组策略设置v组策略目标和活动目录容器第3章组策略组策略对象v组策略对象q包含组策略的设置q组件被存储在两个不同的场所v组策略容器q被定位在活动目录中q提供域控制器所需的版本信息v组策略模版q域控制器上到GPT的的路径是：systemroot\SYSVOL\sysvolq运行Windows2000的客户机获得或应用的组策略设置组策略对象（GroupPolicyobject，简称GPO）GPT，全局唯一标识分区表(GUIDPartitionTable)，第3章组策略组策略对象和活动目录容器v在将GPO和站点，域或组织单元链接后。GPO的设置将应用在站点，域或组织单元的用户和计算机上q可以将GPO和多个站点，域以及组织单元链接q也可以将多个GPOs和单个站点，域以及组织单元链接v管理员不能将GPOs和默认的活动目录容器——计算机，用户和builtin相连第3章组策略处理组策略对象v创建已连接的组策略目标v创建未连接的组策略目标v连接一已存在的组策略目标v指定管理组策略目标的域控制器第3章组策略创建已连接的组策略目标v为了把组策略应用到容器上,首先要创建连接到容器的GPO:q使用“ActiveDirectoryUsersandComputers”创建连接到域和OU的GPOq使用“ActiveDirectorySitesandServices”创建连接到站点的GPO第3章组策略创建未连接的组策略目标第3章组策略连接一已存在的组策略目标第3章组策略指定管理组策略目标的域控制器v当创建一新的GPO或编辑一已存在的GPO时，默认的，具有操作主控的域控制器将执行该操作v制定管理GPO的域控制器的可选项包括:q操作主控遵循PDC竞争原则q使用活动目录插件的形式q使用任何可能得域控制器v制定管理GPO的域控制器:q使用在组策略快照中的查看菜单下的DC选项命令q在组策略设置中指定使用什么域控制器PDC主域控制器PrimaryDomainController第3章组策略如何在活动目录中应用组策略设置v组策略是如何处理的v控制组策略的处理v组策略和慢速网络连接v解决组策略间的冲突第3章组策略组策略生效时机计算机启动计算机设置应用启动脚本运行计算机设置应用启动脚本运行用户登录用户设置生效登录脚本应用用户设置生效登录脚本应用第3章组策略控制组策略的处理v同步和异步处理q默认的组策略处理是同步的q可以通过使用组策略设置将默认的行为改为异步v在特定的时间间隔内刷新组策略:q域环境中的非域控制器计算机每隔90分钟就会刷新策略，有随机的延迟。q域控制器每5分钟刷新一次v未发生变更的组策略设置的处理q可以配置每一个客户端扩展用于处理所有可用的组策略设置第3章组策略组策略和慢速网络连接v组策略能够接受慢速连接v组策略使用一种运算法则来确定连接是否为慢速v组策略给客户端扩展设定标志指出是慢速连接第3章组策略解决组策略间的冲突v除非组策略设置冲突，否则所有的组策略设置都将被执行v如果发生冲突，默认的是执行最新的设置q来自父容器的GPO设置和来自子容器的GPO设置冲突时，子容器的设置后执行并发挥作用q当连接到同一容器上的不同的GPO的设置发生冲突时，在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用v当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置第3章组策略课堂讨论：如何执行组策略设置nGPO1确保“Favorites”出现在“start”菜单中的组策略设置nGPO2andGPO3要求输入一个至少含有11个字符的密码的组策略设置和从开始菜单中移去windows更新图标的组策略设置nGPO4从开始菜单中移去“Favorites”图标并添加“WindowsUpdate”图标在OU中用户对象的最终组策略设置是什么?在OU中用户对象的最终组策略设置是什么?OUOUSiteSiteDomainDomainGPO1GPO1GPO2GPO2GPO3GPO3GPO4GPO4第3章组策略课堂讨论：如何执行组策略设置在OU中用户对象的最终组策略设置是什么?在OU中用户对象的最终组策略设置是什么?n用户密码至少11个子符长nWindows更新图标在“start”菜单中出现n“Favorites”不出现在“start”菜单中n用户密码至少11个子符长nWindows更新图标在“start”菜单中出现n“Favorites”不出现在“start”菜单中OUOUSiteSiteDomainDomainGPO1GPO1GPO2GPO2GPO3GPO3GPO4GPO4第3章组策略修改组策略的应用选项v允许阻止继承v允许不重写v筛选组策略设置v课堂讨论：改变组策略的继承性第3章组策略组策略的继承性vWindows2003按照一定的顺序应用GPO设置v子容器继承父容器的GPO设置第3章组策略允许阻止继承v阻止继承:q阻止子容器从所有父容器处继承任一个GPOq无法选择阻止哪个GPOq不能阻止不重写选项第3章组策略使用“禁止替代”选项v禁止替代选项：q可以优先于拒绝继承和下层的策略冲突而生效q应当在活动目录服务数型结构的上层q应用到它链接的范围内的q用来强化公司的管理策略第3章组策略筛选组策略设置v筛选组策略设置:q明确拒绝申请对组策略的许可q忽略一验证过的申请组策略许可第3章组策略课堂讨论：改变组策略的继承性确定网络中具备以下条件：n在域中的所有计算上安装防病毒程序n除了工资部门的用户外所有域中的计算机必须安装微软的办公套件n除了工资部门的管理员的计算机外工资部门的所有计算机都必须安装系列商务说明应用程序确定网络中具备以下条件：n在域中的所有计算上安装防病毒程序n除了工资部门的用户外所有域中的计算机必须安装微软的办公套件n除了工资部门的管理员的计算机外工资部门的所有计算机都必须安装系列商务说明应用程序如何配置GPO来满足上述条件?如何配置GPO来满足上述条件?PayrollSalesContoso.comTraining第3章组策略课堂讨论：改变组策略的继承性如何配置GPO来满足上述条件?如何配置GPO来满足上述条件?n创建一连接到域的安装防病毒程序的GPO，将该连接设置为不重写n创建可连接另一个域的GPO来安装办公套件n在工资部门，允许阻止继承n创建和连接到工资部门的GPO在客户机上来安装说明应用程序n修改GPO的DACL使得工资管理员使用的计算机说明拒绝申请组策略许可n创建一连接到域的安装防病毒程序的GPO，将该连接设置为不重写n创建可连接另一个域的GPO来安装办公套件n在工资部门，允许阻止继承n创建和连接到工资部门的GPO在客户机上来安装说明应用程序n修改GPO的DACL使得工资管理员使用的计算机说明拒绝申请组策略许可PayrollSalesNwtraders.comTraining第3章组策略委派组策略的管理控制v允许一用户管理一站点，域或OU的组策略连接，通过如下方式:q赋予用户站点，域或OU的GPOPtions属性的读写权限q使用委派控制向导v允许用户或小组创建GPO，通过如下方式:q将用户或小组添加到组策略创建拥有者小组v允许用户编辑GPO，通过以下方式:q赋予用户该GPO的读写权限q将用户标注为域管理员，企业管理员或GPO创建拥有者小组q通过使用GPO属性对话框中的安全性表来保证用户访问GPO第3章组策略监控组策略通过以下方法可以监控组策略:v启用事件日志的诊断记录q使组策略在事件薄中产生具体事件v启用详细记录q详细记录将记录所有的变更和应用到本地计算机和登录计