Upload
galena-faulkner
View
98
Download
4
Embed Size (px)
DESCRIPTION
BENET3.0 第二学期课程. 第八章 组策略应用. —— 理论部分. 课程回顾. 域、树、林之间是什么关系? 如何将一台计算机安装成域控制器? 本地域组的特点是什么? 全局组的特点是什么? 如何实现 OU 的委派功能?. 技能展示. 理解组策略的作用 理解组策略的应用顺序 会配置组策略的继承 会配置组策略的强制生效 会配置组策略实现软件分发. 本章结构. 组策略的作用. 组策略的概念. 组策略结构. 计算机 / 用户配置. 继承与阻止继承. 组策略简单应用. 累加. 组策略. 组策略应用规则. 应用顺序. 强制生效. 分发软件. - PowerPoint PPT Presentation
Citation preview
BENET3.0BENET3.0 第二学期课程第二学期课程BENET3.0BENET3.0 第二学期课程第二学期课程
第八章 组策略应用第八章 组策略应用—— 理论部分
22
课程回顾课程回顾
域、树、林之间是什么关系?如何将一台计算机安装成域控制器?本地域组的特点是什么?全局组的特点是什么?如何实现 OU 的委派功能?
域、树、林之间是什么关系?如何将一台计算机安装成域控制器?本地域组的特点是什么?全局组的特点是什么?如何实现 OU 的委派功能?
33
技能展示技能展示
理解组策略的作用理解组策略的应用顺序会配置组策略的继承会配置组策略的强制生效会配置组策略实现软件分发
理解组策略的作用理解组策略的应用顺序会配置组策略的继承会配置组策略的强制生效会配置组策略实现软件分发
44
本章结构本章结构
组策略的概念组策略的概念
软件分发软件分发
组策略的作用组策略的作用
分发软件分发软件
修复软件修复软件
组策略结构组策略结构
删除软件删除软件
计算机 /用户配置
计算机 /用户配置
组策略组策略 组策略应用规则组策略应用规则
继承与阻止继承继承与阻止继承
累加累加
应用顺序应用顺序
强制生效强制生效
筛选筛选
升级软件升级软件
组策略简单应用组策略简单应用
55
组策略的作用 2-1组策略的作用 2-1
方便管理 AD 中用户和计算机的工作环境用户桌面环境计算机启动 / 关机与用户登录 / 注销时所执行的脚本文件软件分发安全设置
方便管理 AD 中用户和计算机的工作环境用户桌面环境计算机启动 / 关机与用户登录 / 注销时所执行的脚本文件软件分发安全设置
域域
组策略组策略
66
组策略的作用 2-2组策略的作用 2-2
通过组策略可以对域设置组策略影响整个域的工作环境,对 OU 设置组策略影响本 OU 下的工作环境降低布置用户和计算机环境的总费用只须设置一次,相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性
推行公司使用计算机的规范桌面环境规范安全策略
组策略适用的操作系统
通过组策略可以对域设置组策略影响整个域的工作环境,对 OU 设置组策略影响本 OU 下的工作环境降低布置用户和计算机环境的总费用只须设置一次,相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性
推行公司使用计算机的规范桌面环境规范安全策略
组策略适用的操作系统
77
组策略的结构 3-1组策略的结构 3-1
组策略的具体设置数据保存在 GPO 中 组策略的具体设置数据保存在 GPO 中 默认 GPO
默认域策略 默认 GPO
默认域策略 默认域控制器策略 默认域控制器策略
GPO 所链接的对象 SDOU
GPO 控制用户和计算机
GPO 所链接的对象 SDOU
GPO 控制用户和计算机
组策略组策略
GPOGPO
SDOUSDOU
计算机计算机 用户用户
88
组策略的结构 3-2组策略的结构 3-2
站点的概念 活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速链路连接在一起的 IP 子网组成
站点和域的关系一个站点中可以有多个域 一个域中可以有多个站点
站点的主要作用 优化复制使用户能够使用可靠、高速的连接登录到域控制器上
站点的概念 活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速链路连接在一起的 IP 子网组成
站点和域的关系一个站点中可以有多个域 一个域中可以有多个站点
站点的主要作用 优化复制使用户能够使用可靠、高速的连接登录到域控制器上
99
组策略的结构 3-3组策略的结构 3-3
GPC (组策略容器)与 GPT (组策略模板) GPC : GPC 是包含 GPO 属性和版本信息的活动目录对象 GPT : GPT 在域控制器的共享系统卷( SYSVOL )中,是一种文件夹层次结构
GPC (组策略容器)与 GPT (组策略模板) GPC : GPC 是包含 GPO 属性和版本信息的活动目录对象 GPT : GPT 在域控制器的共享系统卷( SYSVOL )中,是一种文件夹层次结构
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
1010
计算机配置与用户配置 2-1计算机配置与用户配置 2-1
计算机配置策略软件设置Windows 设置管理模板
首选项Windows 设置控制面板设置
计算机配置策略软件设置Windows 设置管理模板
首选项Windows 设置控制面板设置
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
1111
计算机配置与用户配置 2-2计算机配置与用户配置 2-2
用户配置策略软件设置Windows 设置管理模板
首选项Windows 设置控制面板设置
用户配置策略软件设置Windows 设置管理模板
首选项Windows 设置控制面板设置
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
1212
案例:组策略的简单应用案例:组策略的简单应用案例:组策略的简单应用案例:组策略的简单应用
需求:公司的网络采用域结构进行管理,销售部员工的用户账户都位于 Sales_OU 中,现要求销售部的员工统一使用公司指定的桌面背景,而且不能随意更改成其它桌面背景
实现思路:创建并链接组策略配置组策略用户配置→策略→管理模板→桌面→桌面→桌面墙纸
需求:公司的网络采用域结构进行管理,销售部员工的用户账户都位于 Sales_OU 中,现要求销售部的员工统一使用公司指定的桌面背景,而且不能随意更改成其它桌面背景
实现思路:创建并链接组策略配置组策略用户配置→策略→管理模板→桌面→桌面→桌面墙纸
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
1313
小结小结
请思考:组策略能够链接在哪些对象上?请举一个组策略应用的实例。
请思考:组策略能够链接在哪些对象上?请举一个组策略应用的实例。
1414
组策略的应用规则组策略的应用规则
继承与阻止继承 累加 应用顺序 强制生效 筛选
继承与阻止继承 累加 应用顺序 强制生效 筛选
1515
继承与阻止继承继承与阻止继承
在默认情况下,下层容器会继承来自上层容器的 GPO
子容器可以阻止继承上级的组策略右击容器→阻止继承
在默认情况下,下层容器会继承来自上层容器的 GPO
子容器可以阻止继承上级的组策略右击容器→阻止继承
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
继承 Sales_OU的组策略
继承 Sales_OU的组策略
继承域的组策略继承域的组策略
1616
累加累加
容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略
容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略
组策略设置 是否冲突 OU的有效设置域: IE主页设置为 http://www.benet.com.cnOU:已启用“阻止更改墙纸”
否IE主页设置为 http://www.benet.com.cn阻止更改墙纸
域:已启用“阻止更改墙纸”OU:已禁用“阻止更改墙纸”
是 可以更改墙纸
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
1717
应用顺序应用顺序
组策略按以下顺序被应用: LSDOU首先应用本地组策略对象如果有站点组策略对象,则应用之然后应用域组策略对象如果计算机或用户属于某个 OU ,则应用 OU 上的组策略对象如果计算机或用户属于某个 OU 的子 OU ,则应用子OU 上的组策略对象如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用
组策略按以下顺序被应用: LSDOU首先应用本地组策略对象如果有站点组策略对象,则应用之然后应用域组策略对象如果计算机或用户属于某个 OU ,则应用 OU 上的组策略对象如果计算机或用户属于某个 OU 的子 OU ,则应用子OU 上的组策略对象如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用
1818
强制生效强制生效
强制生效是上级容器强制下级容器执行其 GPO设置强制生效是上级容器强制下级容器执行其 GPO设置
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
强制的强制的
1919
筛选筛选
筛选可以阻止一个 GPO 应用于容器内的特定计算机和用户筛选可以阻止一个 GPO 应用于容器内的特定计算机和用户
benet.com.cn
Sales_OU
ManagerA
SalesGPO 设置 :阻止更改墙纸GPO 设置 :阻止更改墙纸
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
2020
小结小结
请思考:如果 OU 上的组策略设置与域上的组策略设置冲突, OU 的有效策略是什么?如果 OU 上的组策略设置与域上的组策略设置不冲突,OU 的有效策略是什么?组策略的应用顺序是什么?
请思考:如果 OU 上的组策略设置与域上的组策略设置冲突, OU 的有效策略是什么?如果 OU 上的组策略设置与域上的组策略设置不冲突,OU 的有效策略是什么?组策略的应用顺序是什么?
2121
利用组策略实现软件分发利用组策略实现软件分发
分发软件 修复软件删除软件 升级软件
分发软件 修复软件删除软件 升级软件
2222
分发软件分发软件
分发软件的步骤 获取Windows 安装程序包文件;该软件包包含一个 .msi 文件以及必要的相关安装文件将软件安装文件放到一个软件分发点创建或修改 GPO
分配与发布的区别分配:分配到用户或计算机发布:发布给用户分配比发布更具强制性
分发软件的步骤 获取Windows 安装程序包文件;该软件包包含一个 .msi 文件以及必要的相关安装文件将软件安装文件放到一个软件分发点创建或修改 GPO
分配与发布的区别分配:分配到用户或计算机发布:发布给用户分配比发布更具强制性
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
2323
修复软件修复软件
用户的软件发生文件丢失或损坏时,自动重新复制正确的文件来修复如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件重新部署一次
用户的软件发生文件丢失或损坏时,自动重新复制正确的文件来修复如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件重新部署一次
2424
删除软件删除软件
不再需要分发的软件,可以在 GPO 中删除软件设置
下一次用户和计算机登录或启动时,软件会被强制删除用户和计算机仍可继续执行使用软件,但不允许重新安装
不再需要分发的软件,可以在 GPO 中删除软件设置
下一次用户和计算机登录或启动时,软件会被强制删除用户和计算机仍可继续执行使用软件,但不允许重新安装
2525
升级软件升级软件
强制升级强制用户将当前软件升级到新的版本
可选升级允许用户同时使用一个应用程序的两个版本
强制升级强制用户将当前软件升级到新的版本
可选升级允许用户同时使用一个应用程序的两个版本
教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程
2626
本章总结本章总结
组策略的概念组策略的概念
软件分发软件分发
组策略的作用组策略的作用
分发软件分发软件
修复软件修复软件
组策略结构组策略结构
删除软件删除软件
计算机 /用户配置
计算机 /用户配置
组策略组策略 组策略应用规则组策略应用规则
继承与阻止继承继承与阻止继承
累加累加
应用顺序应用顺序
强制生效强制生效
筛选筛选
升级软件升级软件
组策略简单应用组策略简单应用
BENET3.0BENET3.0 第一学期课程第一学期课程BENET3.0BENET3.0 第一学期课程第一学期课程
第八章 组策略应用第八章 组策略应用—— 上机部分
2828
实验案例 1 :组策略简单应用实验案例 1 :组策略简单应用
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有多个账户 UserA 、 UserB… 和计算机账户Client01… ,如何使域中所有用户使用统一的桌面背景?
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有多个账户 UserA 、 UserB… 和计算机账户Client01… ,如何使域中所有用户使用统一的桌面背景?
域域
2929
实验案例 1 :组策略简单应用实验案例 1 :组策略简单应用
实现思路:利用组策略统一桌面背景准备桌面背景图片规划桌面背景图片的保存位置并共享注意共享权限与 NTFS权限
实现思路:利用组策略统一桌面背景准备桌面背景图片规划桌面背景图片的保存位置并共享注意共享权限与 NTFS权限
3030
实验案例 1 :组策略简单应用实验案例 1 :组策略简单应用
学员练习:在 DC 上共享文件夹并设置共享权限与 NTFS权限将背景图片保存至共享文件夹在 DC 上创建并链接组策略配置组策略刷新组策略验证组策略的应用结果
学员练习:在 DC 上共享文件夹并设置共享权限与 NTFS权限将背景图片保存至共享文件夹在 DC 上创建并链接组策略配置组策略刷新组策略验证组策略的应用结果
30 分钟完成
3131
实验案例 2 :组策略的应用顺序 实验案例 2 :组策略的应用顺序
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有组织单位 Sales_OU ,该组织单位中有多个账户和计算机账户,所有的策略为默认状态,现在需要:所有计算机在关闭时会显示“关闭事件跟踪程序”所有经典开始菜单的用户不显示“注销”所有 Sales_OU 中使用经典开始菜单的用户显示“注销”
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有组织单位 Sales_OU ,该组织单位中有多个账户和计算机账户,所有的策略为默认状态,现在需要:所有计算机在关闭时会显示“关闭事件跟踪程序”所有经典开始菜单的用户不显示“注销”所有 Sales_OU 中使用经典开始菜单的用户显示“注销”
3232
实验案例 2 :组策略的应用顺序实验案例 2 :组策略的应用顺序
实现思路:在域的组策略上设置“关闭事件跟踪程序”在域组策略和 OU 组策略上对同一策略做不同设置验证效果
学员练习:分别设置组策略验证组策略的继承与生效顺序
实现思路:在域的组策略上设置“关闭事件跟踪程序”在域组策略和 OU 组策略上对同一策略做不同设置验证效果
学员练习:分别设置组策略验证组策略的继承与生效顺序
30 分钟完成
3333
实验案例 3 :实现软件分发和升级 实验案例 3 :实现软件分发和升级
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有多个用户账户 UserA 、 UserB… 和计算机账户Client01… ,现要将 MBSA2.0 分发给所有域用户
需求描述:公司搭建了Windows 2008 域 benet.com ,域中有多个用户账户 UserA 、 UserB… 和计算机账户Client01… ,现要将 MBSA2.0 分发给所有域用户
3434
实验案例 3 :实现软件分发和升级实验案例 3 :实现软件分发和升级
实现思路:利用组策略实现软件的分发与升级准备软件的 .msi 安装包规划安装包的保存位置并共享注意共享权限与 NTFS权限注意安装软件用户的权限
实现思路:利用组策略实现软件的分发与升级准备软件的 .msi 安装包规划安装包的保存位置并共享注意共享权限与 NTFS权限注意安装软件用户的权限
3535
实验案例 3 :实现软件分发和升级实验案例 3 :实现软件分发和升级
学员练习:在 DC 上共享文件夹并设置共享权限与 NTFS权限将软件安装包保存至共享文件夹在 DC 上创建并链接组策略配置组策略软件分配刷新组策略在客户机登录检查软件是否已经成功安装升级软件并验证
学员练习:在 DC 上共享文件夹并设置共享权限与 NTFS权限将软件安装包保存至共享文件夹在 DC 上创建并链接组策略配置组策略软件分配刷新组策略在客户机登录检查软件是否已经成功安装升级软件并验证
30 分钟完成
3636