使用组策略配置用户环境

微思网络，福建IT精英的发源地！第四章使用组策略配置用户环境章节概述组策略概述组策略的处理规则利用组策略来管理计算机与用户环境组策略建模与组策略结果组策略的委派管理第1节：组策略概述组策略的功能组策略对象策略设置与首选项设置组策略的应用时限组策略的功能组策略的功能：•账户策略的设置•本地策略的设置•脚本的设置组策略使IT管理员能实现用户和计算机的一对多管理自动化。组策略使IT管理员能实现用户和计算机的一对多管理自动化。•用户工作环境的设置•软件的安装与删除•限制软件的运行•文件夹重定向•限制访问“可移动存储设备”•其他众多的系统设置组策略对象（GroupPolicyObject）组策略是通过组策略对象来设置的，只要将GPO链接到指定的站点、域或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户和计算机组策略是通过组策略对象来设置的，只要将GPO链接到指定的站点、域或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户和计算机•内置的GPO•DefaultDomainPolicy•DefaultDomainControllerPolicy•GPO的组件•GPC（GroupPolicyContainer）•GPT（GroupPolicyTemplate）组策略对象（续）组策略对象组策略对象•存储在ADDS中•提供版本信息组策略容器组策略容器•存储在共享SYSVOL文件夹中•配置组策略设置•支持ADM和ADMX模板组策略模板组策略模板•包含组策略设置•在两个位置存储内容策略设置与首选项设置组策略的设置可分为策略设置与首选项设置，主要区别如下：•只有域内的组策略才有首选项设置功能，本地计算机策略无此功能•策略设置是强制性设置，首选项设置属于非强制性•若要过滤策略设置，必须针对整个GPO，而首选项可以针对单一设置项目来过滤•如果在策略设置与首选项设置内有相同的设置项目，但值冲突了，则以策略设置优先•要应用首选项设置的客户端计算机必须安装支持首选项设置的client-sideextension（CSE）组策略的应用时限计算机配置的应用时限：•计算机启动时自动应用•若计算机已经启动，系统会每隔一段时间自动应用•域控制器：默认每隔5分钟自动应用一次•非域控制器：默认每隔90~120分钟之间自动应用一次•不论策略设置是否变动，系统每隔16小时应用一次安全性设置策略•手动应用：gpupdate/target:computer/force组策略的应用时限（续）用户配置的应用时限：•用户登录时自动应用•若用户已经登录，系统会每隔一段时间自动应用•默认每隔90~120分钟之间自动应用一次•不论策略设置是否变动，系统每隔16小时应用一次安全性设置策略•手动应用：gpupdate/target:user/force第2节：组策略的处理规则组策略处理顺序多重本地组策略对象修改组策略处理的选项组策略处理顺序站点域OUOUOUOUOUGPO2GPO2GPO3GPO3GPO4GPO4GPO5GPO5GPO1GPO1本地组本地组设置冲突处理：•最后处理的组策略设置生效•同一OU上的组策略设置冲突时，位置最高的组策略设置生效多重本地组策略对象•适用于所有用户的一个计算机配置层•各层只应用于个体用户，而不应用于组•有三层用户配置：•管理员•非管理员•特定于用户修改组策略处理的选项修改GPO默认处理的五种方法：•阻止继承•强制•使用安全组或WMI筛选器进行筛选•禁用GPO•环回处理环回处理的工作方式第3节：利用组策略来管理计算机与用户环境计算机配置的管理模板策略用户配置的管理模板策略账户策略用户权限分配策略安全选项策略登录/注销、启动/关机脚本文件夹重定向计算机配置的管理模板策略2个常用设置：•显示“关闭事件追踪程序”•显示用户以前交互式登录的信息（客户端计算机必须vista以上才支持）用户配置的管理模板策略常用设置：•限制用户值可以或不可以运行指定的windows应用程序•隐藏或只显示在控制面板内指定的项目•删除按ctrl+Alt+Del键后所出现画面中的选项•隐藏和禁用桌面上所有的项目•删除InternetExplore的Internet选项中的部分标签•删除开始菜单中的关机、重新启动、睡眠和休眠命令账户策略注意事项：•针对域用户所设置的账户策略必须通过域级别来设置才有效•账户策略不但会被应用到所有的域用户账户，也会被应用到所有域成员计算机内的本地用户账户•如果针对某个OU设置账户策略，则这个账户策略只会被应用到该OU内计算机内的本地用户账户，位于此OU内的域用户不受影响账户策略用来设置用户的密码使用策略与账户锁定方式。账户策略用来设置用户的密码使用策略与账户锁定方式。用户权限分配策略用户权限分配可以将执行特殊工作的权限分配给用户或组。用户权限分配可以将执行特殊工作的权限分配给用户或组。常用设置：•允许本地登录•拒绝本地登录•将工作站添加到域•关闭系统•从网络访问此计算机•拒绝从网络访问此计算机•更改系统时间安全选项策略通过安全选项途径可以启用计算机的一些安全设置。通过安全选项途径可以启用计算机的一些安全设置。常用设置：•交互式登录：无须按Ctrl+Alt+Del•交互式登录：不显示最后的用户名•交互式登录：之前登录到缓存的次数（域控制器不可用时）•交互式登录：提示用户在密码过期之前更改密码•交互式登录：试图登录的用户的信息文本，试图登录的用户的信息标题•关机：允许系统在未登录的情况关闭登录/注销、启动/关机脚本注意事项：•脚本必须放置正确位置，如登录脚本%systemroot%\SYSVOL\sysvol\域名\Policied\{GUID}\User\Scripts\Logon•如果设计的脚本需要输入参数，请在“脚本参数”文本框中输入•如果针对某个OU设置账户策略，则这个账户策略只会被应用到该OU内计算机内的本地用户账户，位于此OU内的域用户不受影响可以设置让域用户登录时，其系统就自动运行某些脚本。可以设置让域用户登录时，其系统就自动运行某些脚本。文件夹重定向文件夹重定向可实现，文件夹实际位于网络服务器上，但是看似位于本地驱动器中文件夹重定向可实现，文件夹实际位于网络服务器上，但是看似位于本地驱动器中可重定向的文件夹有：•我的文档（Windows®Vista中的“文档”）•ApplicationData（WindowsVista中的AppData）•桌面•「开始」菜单WindowsVista中可重定向的其他文件夹有：•联系人•下载•收藏夹•搜索•链接文件夹重定向配置选项AccountingUsersAccountsN-ZAccountsA-MAccountingManagersAnneMisty私有私有•当所有用户将其文件保存到同一个位置时，使用基本文件夹重定向•使用高级文件夹重定向时，承载文件夹位置的服务器基于组成员身份•目标文件夹位置选项：•重定向到用户的主目录•在根目录路径下为每一用户创建一个文件夹•重定向到下列位置•重定向到本地用户配置文件位置保护重定向文件夹的选项完全控制——只有子文件夹和文件Administrators将数据放入共享的用户的安全组LocalSystemCreator/Owner•无•列出文件夹/读取数据，创建文件夹/附加数据——只有该文件夹•完全控制根文件夹的NTFS权限完全控制——仅限子文件夹和文件Creator/Owner将数据放入共享的用户的安全组•完全控制根文件夹的共享权限%Username%•完全控制，文件夹所有者•无•完全控制每个用户的重定向文件夹的NTFS权限AdministratorsLocalsystem完全控制——只有子文件夹和文件Creator/Owner演示：配置文件夹重定向在本演示中，你将看到如何配置“文档”文件夹的文件夹重定向。第4节：组策略建模与组策略结果•组策略建模可以针对用户或计算机模拟可能的状况•组策略结果可以查看用户登录到某台计算机后，实际应用的组策略情况第5节：组策略的委派管理演示：站点、域或组织单位的GPO链接委派编辑GPO的委派添加GPO的委派