Embed Size (px)
DESCRIPTION
组策略. 本章目标. 利用组策略管理域中的计算机和用户工作环境,实现软件分发 理解组策略作用 掌握组策略继承与阻止继承操作 理解组策略应用顺序 掌握组策略强制生效、筛选组策略设置 掌握软件分发方式:指派与发布. 本章结构. 组策略作用. 组策略结构. 组策略概念. 组策略简单应用. 计算机配置 / 用户配置. 继承与阻止继承. 累加. 应用顺序. 组策略. 应用规则. 分发软件. 强制生效. 修复软件. 筛选. 软件设置. 删除软件. 升级软件. 组策略的作用 2-1. 方便地管理 AD 中的计算机和用户 用户桌面环境 - PowerPoint PPT Presentation
Citation preview
Chapter 1
组策略组策略组策略组策略
Chapter 2
本章目标• 利用组策略管理域中的计算机和用户工作
环境,实现软件分发– 理解组策略作用 – 掌握组策略继承与阻止继承操作 – 理解组策略应用顺序 – 掌握组策略强制生效、筛选组策略设置 – 掌握软件分发方式:指派与发布
Chapter 3
本章结构
组策略概念组策略概念
应用规则应用规则
软件设置软件设置
组策略作用组策略作用
组策略结构组策略结构
组策略简单应用组策略简单应用
继承与阻止继承继承与阻止继承
累加累加
应用顺序应用顺序组策略组策略
计算机配置 / 用户配置计算机配置 / 用户配置
强制生效强制生效
筛选筛选
分发软件分发软件
修复软件修复软件
删除软件删除软件
升级软件升级软件
Chapter 4
组策略的作用 2-1• 方便地管理 AD 中的计算机和用户
– 用户桌面环境– 计算机启动 / 关机与用户登录 / 注销时所
执行的脚本文件– 软件分发– 安全设置 域域
域控制器域控制器
组策略组策略
活活动动目目录录
Chapter 5
组策略的作用 2-2• 使用组策略可以
– 对域设置组策略影响整个域的工作环境,对OU 设置组策略影响本 OU 下的工作环境
– 降低布置用户和计算机环境的总费用• 因为只须设置一次,相应的用户或计算机即可全部
使用规定的设置• 减少用户不正确配置环境的可能性
– 推行公司使用计算机规范• 桌面环境规范• 安全策略
• 组策略适用哪些操作系统
Chapter 6
组策略结构 3-1 • 组策略的具体设置数据保存在
GPO 中 • 默认的 2 个 GPO
– 默认域策略 – 默认域控制器策略
• GPO 所链接的对象 – SDOU
• GPO 控制– SDOU 中的计算机和用户
SDOUSDOUSDOUSDOU
GPOGPOGPOGPO
计算机计算机计算机计算机 用户用户用户用户
组策略组策略
Chapter 7
组策略结构 3-2• 站点的概念
– 活动目录中的站点是从物理上抽象的概念 – 由一个或几个通过高速联接在一起的 IP 子网组成
• 站点和域的关系– 一个站点中可以有多个域 – 一个域中可以有多个站点
• 站点的主要作用 • 优化复制 • 使用户能够使用可靠、高速的连接登录到域控制器上
Chapter 8
组策略结构 3-3• GPC (组策略容器)与 GPT (组策略
模板) – GPC : GPC 是包含 GPO 属性和版本信
息的活动目录对象 – GPT : GPT 在域控制器的共享系统卷
( SYSVOL )中,是一种文件夹层次结构 演示演示演示演示
查看 GPC 和 GPT
Chapter 9
组策略简单应用 • BENET 公司要求销售部的员工不能随意
更改桌面背景 • 步骤
– 1 )右击销售部 OU| 【属性】 | 【组策略】,单击【新建】,输入 GPO 的名字为“销售部GPO”
– 2 )打开【组策略编辑器】,选择“阻止更改墙纸”
– 3 )双击“阻止更改墙纸”,启用该策略,然后关闭【组策略编辑器 】
Chapter 10
计算机配置与用户配置 2-1 • 计算机配置
– 软件设置– Windows 设置
• 脚本• 安全设置
– 管理模板• Windows 组件• 系统• 网络• 打印机
演示演示演示演示
查看计算机配置
Chapter 11
计算机配置与用户配置 2-2 • 用户配置
– 软件设置– Windows 设置
• 远程安装服务• 脚本(登录 / 注销)• 安全设置• 文件夹重定向• IE 浏览器维护
– 管理模板• Windows 组件• 任务栏和【开始】菜单
• 桌面• 控制面板• 共享文件夹• 网络• 系统
演示演示演示演示
查看用户配置
Chapter 12
阶段总结组策略有哪些作用组策略适用哪些操作系统默认的 2 个 GPO 是什么站点和域的关系组策略包含哪些内容
Chapter 13
阶段练习背景
BENET 公司为了统一公司的桌面设置,所有域用户不能随意修改背景
如何利用组策略实现此功能目标
组策略的作用修改 GPO组策略的用户配置
Chapter 14
组策略应用规则 • 继承与阻止继承 • 累加 • 应用顺序 • 强制生效 • 筛选
Chapter 15
继承与阻止继承• 在默认情况下,下层容器会继承来自上层容器的
GPO (组策略对象)– 例如
• 销售部 OU 的 GPO 中设置 IE 主页 URL 为 http://www.benet.com.cn
• 北京销售部 OU 中的用户登录客户机后, IE 的主页地址为“ http://www.benet.com.cn”
• 子容器可以阻止继承上级的组策略– 例如
• 销售部 OU 的 GPO 中设置主页 URL 为 http://www.benet.com.cn
• 右击北京销售部 | 【属性】 | 【组策略】选项卡,选中【阻止策略继承】选项
• 北京销售部 OU 中的用户登录客户机后, IE 的主页地址不是“ http://www.benet.com.cn”
演示演示演示演示
验证继承和阻止继承
Chapter 16
累加• 容器的多个组策略设置如果不冲突,则最终的有
效策略是所有组策略设置的总和• 容器的多个组策略设置如果冲突,则后应用的组
策略覆盖先应用的组策略
组策略设置 是否冲突 OU的有效设置
域: IE主页设置为http://www.benet.com.cnOU “:已启用 阻止更改墙”纸
否IE主页设置为 http://www.benet.com.cn阻止更改墙纸
“域:已启用 阻止更改墙”纸
OU “:已禁用 阻止更改墙”纸
是 可以更改墙纸
演示演示演示演示验证累加效果
Chapter 17
应用顺序• 本地组策略对象
– 每台运行 Windows XP/2000/2003 的计算机都只有一个本地组策略对象
– 打开本地 GPO 的 2 种方法• MMC 和 gpedit.msc
• 组策略按以下顺序被应用: LSDOU1 )首先本地组策略对象 2 )如果有站点组策略,则应用之 3 )然后应用域组策略对象4 )如果计算机或用户属于某个 OU ,则应用之5 )如果计算机或用户属于某个 OU 的子 OU ,则应用之
Chapter 18
销售部
工程部
域
强制生效
冲突 GPO 设置
冲突 GPO 设置
“强制生效”的 GPO 设置
“强制生效”的 GPO 设置
• 强制生效是上级容器强制下级容器执行其GPO 设置– 如果销售部 OU 阻止
继承域的策略– 或者销售部 OU 与域
的 GPO 设置冲突
销售部应用域的 GPO设置
演示演示演示演示验证强制生效效果
强制生效强制生效
Chapter 19
域
销售部
salemanager
Sales
不受 GPO影响不受 GPO影响
受 GPO 影响受 GPO 影响
筛选组策略设置筛选组策略设置
GPO 设置GPO 设置
• 筛选可以阻止一个 GPO 应用于容器内的特定计算机和用户
演示演示演示演示
验证筛选效果
– 设置读取和应用组策略的权限 • 允许• 拒绝
Chapter 20
阶段总结下层容器默认继承来自上层容器的 GPO子容器可以阻止继承上级的组策略如果不冲突,则最终的有效策略是所有组
策略设置的总和如果冲突,则后应用的组策略覆盖先应用
的组策略组策略按以下顺序被应用: LSDOU上级容器的 GPO 强制生效
Chapter 21
利用 GPO 实现软件设置• 分发软件 • 修复软件• 删除软件 • 升级软件
Chapter 22
分发软件• 分发软件的步骤
– 1 )获取Windows 安装程序包文件;该软件包包含一个 .msi 文件以及必要的相关安装文件
– 2 )将软件安装文件放到一个软件分发点– 3 )创建或修改 GPO
• 指派与发布的区别– 指派, 程序在【开始】菜单中– 发布, 程序显示在【控制面板】 | 【添加 /删除程序】中
演示演示演示演示分发 Windows2003 管理工具包软件
Chapter 23
修复软件• 如果用户的软件发生文件丢失或损坏时,自动
重新复制正确的文件来修复• 如果原来软件分发点上的安装文件发生丢失或损坏– 在服务器上修复该软件的源文件– 重新部署一次
Chapter 24
删除软件• 【立即从用户和计算机卸载软件】:下
一次用户登录或计算机启动时,软件会被强制删除
• 【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装
Chapter 25
升级软件• 举例
– Office2000升级到Office2003
– Visio2000升级到visio2002
• 强制升级– 会强制用户将当前软
件升级到新的版本• 可选升级
– 允许用户同时使用一个应用程序的两个版本
Chapter 26
阶段总结软件设置分为:分发、修复、删除、升级分发软件 :指派与发布的区别删除软件的两种方法是什么升级软件的两种方法是什么
Chapter 27
阶段练习背景
BENET 公司需要为域中的每个用户安装“ Windows Server 2003 管理工具包”
如何使用组策略实现此功能目标:
组策略的软件设置修改 GPO指派软件与发布软件
Chapter 28
本章总结组策略概念组策略概念
应用规则应用规则
软件设置软件设置
组策略作用组策略作用
组策略结构组策略结构
组策略简单应用组策略简单应用
继承与阻止继承继承与阻止继承
累加累加
应用顺序应用顺序组策略组策略
计算机配置 / 用户配置计算机配置 / 用户配置
强制生效强制生效
筛选筛选
分发软件分发软件
修复软件修复软件
删除软件删除软件
升级软件升级软件
GPO,SDOUGPC,GPTGPO,SDOUGPC,GPT
计算机配置对容器中的计算机起作用用户配置对容器中的用户起作用
计算机配置对容器中的计算机起作用用户配置对容器中的用户起作用
LSDOULSDOU上级容器的GPO 强制生效 上级容器的GPO 强制生效 筛选可以实现阻止一个 GPO 应用于容器内部的特定计算机和用户
筛选可以实现阻止一个 GPO 应用于容器内部的特定计算机和用户
1. 获取Windows 安装程序包文件2. 将软件安装文件放到一个软件分发点 3. 创建或修改GPO
1. 获取Windows 安装程序包文件2. 将软件安装文件放到一个软件分发点 3. 创建或修改GPO
Chapter 29
实验• 任务 1 组策略简单应用 • 任务 2 利用 GPO 分发 Windows 2003 管
理工具包
Chapter 30
任务 1 组策略简单应用 • 背景
– BENET 公司为了统一公司的桌面设置,所有域用户不能随意修改背景
– 如何利用组策略实现此功能• 完成标准
– 编辑默认域策略– 管理员账户登录成员计算机不能修改桌面背景
Chapter 31
任务 2 利用 GPO 分发管理工具包 • 背景
– BENET 公司需要为域中的每个用户安装“ Windows Server 2003 管理工具包”
– 如何使用组策略实现此功能• 完成标准
– 编辑 GPO ,实现指派方式的软件分发– 在成员计算机上的【开始】菜单的【管理工
具】中增加了许多服务管理工具
