活動(dòng)目錄組策略1ppt課件

1、組戰(zhàn)略主要內(nèi)容8.1 組戰(zhàn)略概述8.2 組戰(zhàn)略對(duì)象 8.3 管理模板戰(zhàn)略的設(shè)置8.4 賬戶戰(zhàn)略的設(shè)置8.5 本地戰(zhàn)略的設(shè)置8.6 登錄/注銷、啟動(dòng)/封鎖腳本 8.7 部署運(yùn)用程序8.1 組 策 略 概 述組戰(zhàn)略就是修正注冊(cè)表中的配置。組戰(zhàn)略運(yùn)用本人更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)展管理和配置，遠(yuǎn)比手工修正注冊(cè)表方便、靈敏，功能也更加強(qiáng)大。組戰(zhàn)略可以針對(duì)站點(diǎn)、域和組織單位設(shè)置。這些組戰(zhàn)略的數(shù)據(jù)存儲(chǔ)在活動(dòng)目錄內(nèi)域控制器“%systemroot%SYSVOLsysvol域名Policies目錄下。8.1.1 組戰(zhàn)略簡(jiǎn)介計(jì)算機(jī)配置：當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，就會(huì)根據(jù)“計(jì)算機(jī)配置的內(nèi)容來設(shè)置計(jì)算機(jī)的

2、環(huán)境。針對(duì)站點(diǎn)、域或組織單位設(shè)置組戰(zhàn)略，那么此組戰(zhàn)略會(huì)被運(yùn)用到站點(diǎn)、域或組織單位內(nèi)的一切計(jì)算機(jī)。用戶配置：當(dāng)用戶登錄時(shí)，就會(huì)根據(jù)“用戶配置的內(nèi)容來設(shè)置用戶的任務(wù)環(huán)境。針對(duì)站點(diǎn)、域或組織單位設(shè)置組戰(zhàn)略，那么此組戰(zhàn)略會(huì)被運(yùn)用到站點(diǎn)、域或組織單位內(nèi)的一切用戶。本地組戰(zhàn)略:它是針對(duì)每一臺(tái)Windows 2000 Serve所進(jìn)展的設(shè)置。本地組戰(zhàn)略數(shù)據(jù)存儲(chǔ)在本地計(jì)算機(jī)的“%systemroot%system32GroupPolicy 目錄內(nèi)，只針對(duì)本地計(jì)算機(jī)和本地用戶。8.1.2 組戰(zhàn)略的運(yùn)用順序與規(guī)那么 假設(shè)在本地計(jì)算機(jī)、站點(diǎn)、域和組織單位內(nèi)分別設(shè)置了組戰(zhàn)略，那么這些組戰(zhàn)略的運(yùn)用順序?yàn)椋罕镜亟M戰(zhàn)略即本

3、地平安戰(zhàn)略，存儲(chǔ)在本地計(jì)算機(jī)內(nèi)；站點(diǎn)的組戰(zhàn)略；域的組戰(zhàn)略；組織單位的組戰(zhàn)略后3項(xiàng)的數(shù)據(jù)存儲(chǔ)在活動(dòng)目錄內(nèi)。 詳細(xì)的運(yùn)用規(guī)那么闡明如下:1假設(shè)在父容器內(nèi)建立了一個(gè)組戰(zhàn)略，但是并未在子容器建立組戰(zhàn)略，那么子容器會(huì)承繼在父容器內(nèi)所建立的組戰(zhàn)略。2假設(shè)另外在子容器內(nèi)建立了組戰(zhàn)略，在默許情況下子容器的組戰(zhàn)略那么要取代父容器的組戰(zhàn)略。3假設(shè)父容器未被設(shè)置組戰(zhàn)略，那么子容器不會(huì)承繼父容器的組戰(zhàn)略。4假設(shè)父容器設(shè)置了組戰(zhàn)略，但是子容器內(nèi)的組戰(zhàn)略并未設(shè)置，那么子容器會(huì)承繼父容器的組戰(zhàn)略。 存在這樣一些機(jī)制：用戶可以強(qiáng)迫承繼或阻止組戰(zhàn)略對(duì)象影響用戶組和計(jì)算機(jī)組，這可以經(jīng)過“制止替代和“阻止戰(zhàn)略承繼的設(shè)置來實(shí)現(xiàn)。 特

4、別要指出的是，組戰(zhàn)略不影響平安組。但是可以運(yùn)用平安組來過濾組戰(zhàn)略，也就是改動(dòng)它的范圍。組戰(zhàn)略的特性8.1.3 組戰(zhàn)略的承繼一、阻止組戰(zhàn)略承繼在子容器組戰(zhàn)略內(nèi)，可以經(jīng)過“阻止戰(zhàn)略承繼復(fù)選框來設(shè)置不要承繼由父容器傳送的組戰(zhàn)略設(shè)置，也就是直接以子容器的組戰(zhàn)略為其設(shè)置。二、強(qiáng)迫承繼戰(zhàn)略在父容器的組戰(zhàn)略內(nèi)，可以經(jīng)過“制止替代復(fù)選框來強(qiáng)迫子容器必需承繼由父容器傳送的組戰(zhàn)略設(shè)置，而不論子容器的組戰(zhàn)略內(nèi)能否設(shè)置了“阻止戰(zhàn)略承繼，即“強(qiáng)迫承繼戰(zhàn)略的優(yōu)先級(jí)要高于“阻止戰(zhàn)略的承繼。8.1.4 組戰(zhàn)略和AD GPO是一種與域、地址或組織單元相聯(lián)絡(luò)的物理戰(zhàn)略，GPO包括文件和AD對(duì)象，要充分發(fā)揚(yáng)GPO的功能，需求有AD

5、域架構(gòu)的支持，利用AD可以定義一個(gè)集中的戰(zhàn)略，一切的Windows Server 2003效力器和任務(wù)站都可以采用它。訪問本地GPO的方法: MS-DOS命令窗口：gpedit.msc MMC控制臺(tái)中選擇GPO插件8.2 組戰(zhàn)略對(duì)象 一、根據(jù)不同的計(jì)算機(jī)，設(shè)置不同的組戰(zhàn)略1域控制器開場(chǎng)程序管理工具域控制器平安戰(zhàn)略 2成員效力器、獨(dú)立效力器控制面板管理工具本地平安戰(zhàn)略 3Windows XP/2000 Professional控制面板管理工具本地平安戰(zhàn)略二、利用“Active Directory用戶和計(jì)算機(jī)設(shè)置組戰(zhàn)略圖8-1 組戰(zhàn)略8.2.1 更改組戰(zhàn)略 在默許情況下，只需某些組內(nèi)的用戶賬戶如a

6、dministrators組內(nèi)的賬戶才可以在域控制器上登錄，而普通用戶無法在域控制器上登錄。 圖8-2 更改組戰(zhàn)略8.2.2 測(cè)試“在本地登錄戰(zhàn)略能否正常 戰(zhàn)略設(shè)置好后，并不是立刻生效，由于針對(duì)域所設(shè)置的戰(zhàn)略，此域內(nèi)的計(jì)算機(jī)包括域控制器往往并不會(huì)立刻讀取到此戰(zhàn)略。為了使設(shè)置的組戰(zhàn)略可以在某臺(tái)計(jì)算機(jī)上生效，必需利用以下3種方式之一來到達(dá)目的。8.2.2 測(cè)試“在本地登錄戰(zhàn)略能否正常一、使組戰(zhàn)略生效運(yùn)轉(zhuǎn)命令： Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police重新啟動(dòng)/注銷計(jì)算機(jī)等待此戰(zhàn)略運(yùn)用到計(jì)算機(jī)圖8-3

7、 翻開組戰(zhàn)略測(cè)試組戰(zhàn)略的效果利用administrator賬號(hào)登錄“開場(chǎng) “程序 “管理工具“Active Directory用戶和計(jì)算機(jī)在User組織單位上右鍵“新建普通用戶賬戶使戰(zhàn)略運(yùn)用到計(jì)算機(jī)用新建賬號(hào)重新登錄8.3 管理模板戰(zhàn)略的設(shè)置管理模板戰(zhàn)略的設(shè)置：1隱藏用戶桌面的“網(wǎng)上鄰居和“我的文檔圖標(biāo)。2將“開場(chǎng)菜單中的“運(yùn)轉(zhuǎn)、“文檔等命令刪除。3在“開場(chǎng)菜單中添加“注銷的功能。8.3.1 建立組織單位與用戶賬戶管理工具Active Directory用戶和計(jì)算機(jī) 新建組織單元)在新建和組織單元中新建用戶(john)。圖8-4 新建對(duì)象8.3.2 設(shè)置與測(cè)試組戰(zhàn)略的替代功能 設(shè)置與測(cè)試組戰(zhàn)略

8、的功能，可以先在“組織單位內(nèi)建立一個(gè)GPO，然后利用“組織內(nèi)的用戶賬戶“John來驗(yàn)證GPO的設(shè)置能否有效，然后再利用“School子組織單位中的用戶賬戶“Lili登錄，來驗(yàn)證“School子組織單位能否會(huì)承繼“組織單位的GPO設(shè)置。 然后再在“School子組織單位中建立一個(gè)新的GPO，利用“Lili登錄來驗(yàn)證在子容器中設(shè)置的組戰(zhàn)略能否替代了父容器中的組戰(zhàn)略。一、設(shè)置“組織單位的“GPO二、測(cè)試組戰(zhàn)略的運(yùn)用三、測(cè)試組戰(zhàn)略在子組織單位中的運(yùn)用四、設(shè)置School的組戰(zhàn)略五、測(cè)試School子組織單位組戰(zhàn)略的運(yùn)用 8.3.3 回絕承繼組戰(zhàn)略在子組織單位的GPO內(nèi)，假設(shè)有些戰(zhàn)略被設(shè)置為“未被配置，

9、那么子組織單位內(nèi)的這些設(shè)置將承繼父組織單位內(nèi)的設(shè)置。但是卻可以在子組織單位的GPO內(nèi)，經(jīng)過“阻止戰(zhàn)略承繼復(fù)選框，將子組織單位的GPO設(shè)置為不要承繼父組織單位的設(shè)置。8.3.4 強(qiáng)迫承繼組戰(zhàn)略 用戶可以在父組織單位內(nèi)，設(shè)置強(qiáng)迫其一切的子組織單位必需承繼父組織單位的GPO設(shè)置。那就是父組織單位的“制止替代功能。經(jīng)過GPO的“選項(xiàng)按鈕翻開如圖8-5所示的對(duì)話框，進(jìn)展設(shè)置。圖8-5 承繼組戰(zhàn)略8.4 賬戶戰(zhàn)略的設(shè)置一、賬戶戰(zhàn)略設(shè)置的本卷須知1假設(shè)針對(duì)域設(shè)置的賬戶戰(zhàn)略，那么這個(gè)戰(zhàn)略會(huì)運(yùn)用到域內(nèi)的一切計(jì)算機(jī)。2假設(shè)針對(duì)某個(gè)組織單位設(shè)置賬戶戰(zhàn)略，那么這個(gè)戰(zhàn)略只會(huì)運(yùn)用到這個(gè)組織單位內(nèi)的計(jì)算機(jī)而已，不會(huì)影響到其

10、他的計(jì)算機(jī)。二、設(shè)置賬戶戰(zhàn)略的步驟 開場(chǎng)程序管理工具Active Directory用戶和計(jì)算機(jī)在域或組織單位右鍵屬性組戰(zhàn)略選定GPO編輯圖8-6 賬戶戰(zhàn)略8.4.1 密碼戰(zhàn)略密碼戰(zhàn)略包含多個(gè)與用戶賬戶的密碼有關(guān)的選項(xiàng)，如圖8-7所示：圖8-7 密碼戰(zhàn)略8.4.2 賬戶鎖定戰(zhàn)略單擊圖8-7窗口中的“賬戶鎖定戰(zhàn)略，顯示如圖8-8所示的窗口：圖8-8 賬戶鎖定戰(zhàn)略8.5 本地戰(zhàn)略的設(shè)置8.5.1 用戶權(quán)益指派戰(zhàn)略開場(chǎng)程序管理工具Active Directory用戶和計(jì)算機(jī)域或組織單位上單擊鼠標(biāo)右鍵屬性組戰(zhàn)略選定GPO編輯計(jì)算機(jī)配置Windows設(shè)置平安設(shè)置本地戰(zhàn)略用戶權(quán)益指派用戶權(quán)益指派。圖8-9

11、 平安選項(xiàng) 常用的用戶權(quán)益指派中包括以下選項(xiàng)：1在本地登錄：允許用戶在本臺(tái)計(jì)算機(jī)上按CTRL+ALT+DEL鍵登錄。2域中添加任務(wù)站：允許用戶將Windows NT/Windows 2000計(jì)算機(jī)參與到域內(nèi)。3封鎖系統(tǒng)：允許用戶封鎖此計(jì)算機(jī)。4從網(wǎng)絡(luò)訪問此計(jì)算機(jī)。5從遠(yuǎn)端計(jì)算機(jī)來封鎖此計(jì)算機(jī)。6備份文件和目錄。7復(fù)原文件和目錄。8管理審核和平安日志。9更改系統(tǒng)的時(shí)間。10裝載和卸載設(shè)備驅(qū)動(dòng)程序。11獲得文件或其他對(duì)象的一切權(quán)。8.5.2 平安選項(xiàng)戰(zhàn)略 設(shè)置步驟：翻開“Active Directory用戶和計(jì)算機(jī)對(duì)話框在域或組織單位上單擊鼠標(biāo)右鍵在彈出的快捷菜單中選擇“屬性在對(duì)話框中選擇“組戰(zhàn)略

12、選定GPO單擊“編輯按鈕在翻開的窗口中單擊“計(jì)算機(jī)配置“Windows設(shè)置“平安設(shè)置“本地戰(zhàn)略“平安選項(xiàng)圖8-10 平安選項(xiàng) 常用的平安戰(zhàn)略包括以下選項(xiàng)：1登錄屏幕上不要顯示上次登錄的用戶名。2允許在未登錄前關(guān)機(jī)。3在密碼到期前提示用戶更改用戶密碼。4禁用按Ctrl+Alt+Del進(jìn)展登錄的設(shè)置。5只需在本地登錄的用戶才干訪問CD-ROM。8.6 登錄/注銷、啟動(dòng)/封鎖腳本 8.6.1 登錄/注銷腳本的設(shè)置 登錄/注銷腳本用于指定用戶登錄或注銷計(jì)算機(jī)時(shí)運(yùn)轉(zhuǎn)的腳本。登錄/注銷腳本是可選的。8.6.2 啟動(dòng)/封鎖腳本的設(shè)置 啟動(dòng)/封鎖腳本是針對(duì)計(jì)算機(jī)進(jìn)展的設(shè)置，當(dāng)一切運(yùn)用此計(jì)算機(jī)的用戶啟動(dòng)和封鎖計(jì)

13、算機(jī)時(shí)，預(yù)先設(shè)置好的啟動(dòng)或封鎖腳本就可以執(zhí)行。啟動(dòng)/封鎖腳本的設(shè)置與登錄/注銷腳本的設(shè)置步驟非常類似。啟動(dòng)腳本文件稱號(hào)為：startup.vbs文件內(nèi)容為：wscript.echo“Welcome to Windows Server 2000。封鎖腳本文件稱號(hào)為：shutdown.vbs 文件內(nèi)容為：wscript.echo“Windows 2000 will be shut down, goodbye。8.7 部署運(yùn)用程序部署運(yùn)用程序包括如下內(nèi)容：1將運(yùn)用程序發(fā)布發(fā)行給用戶2將運(yùn)用程序指派給用戶或計(jì)算機(jī)3自動(dòng)修復(fù)運(yùn)用程序4刪除用戶運(yùn)用程序8.7.1 發(fā)布運(yùn)用程序一、發(fā)布運(yùn)用程序二、安裝被發(fā)布

14、的運(yùn)用程序三、測(cè)試自動(dòng)修復(fù)運(yùn)用程序功能8.7.2 給用戶指派運(yùn)用程序 給用戶指派運(yùn)用程序與給用戶發(fā)布運(yùn)用程序的方法根本一致:首先建立包含Windows安裝程序包的文件夾接下來設(shè)置默許程序包位置最后給用戶指派運(yùn)用程序只需求將給用戶發(fā)布運(yùn)用程序中的步驟部署軟件的類型由“已發(fā)行改為“已指派即可。圖8-11 指派運(yùn)用程序 8.7.3 給計(jì)算機(jī)指派運(yùn)用程序圖8-12 新建程序包 8.7.4 更改部署運(yùn)用程序的設(shè)置圖8-13 刪除義務(wù) 8.7.5 文件夾重定向 可以利用組戰(zhàn)略將一些Windows Server 2003內(nèi)的特殊文件夾的存儲(chǔ)位置，重定向到網(wǎng)絡(luò)上的其他位置。特殊文件夾，是指如“我的文檔、“my

15、 pictures等數(shù)據(jù)的存儲(chǔ)位置。普通情況下，這些文件夾是在本地計(jì)算機(jī)內(nèi)，如可以單擊“我的文檔屬性“目的文件夾將此文件夾的存儲(chǔ)位置指定到網(wǎng)絡(luò)上的其他計(jì)算機(jī)內(nèi)。 經(jīng)過以下兩種方式來重定向文件夾： 1針對(duì)每個(gè)用戶設(shè)置，也就是將每個(gè)用戶的文件夾重定向。 2針對(duì)某個(gè)組設(shè)置，組內(nèi)一切用戶的文件夾都將被重定向。8.8 事件查看器 事件查看器允許用戶監(jiān)視用戶系統(tǒng)事件。它保管用戶計(jì)算機(jī)上的程序、平安和系統(tǒng)事件的日志。Windows Server 2003操作系統(tǒng)的事件日志文件主要分類：一、系統(tǒng)日志 二、運(yùn)用程序日志 三、平安日志 四、目錄效力日志 8.8.1 查看事件記錄 一、翻開事件查看器方式 開場(chǎng)程序管

16、理工具事件查看器 圖8 -14 事件查看器二、事件查看器內(nèi)容 1日期與時(shí)間：事件被記錄的日期與時(shí)間。2來源：記錄此事件的程序稱號(hào)。3類型：事件所屬的類型，包括信息、警告或錯(cuò)誤等。4分類：產(chǎn)惹事件的程序會(huì)將事件信息分類。5事件：每個(gè)事件都被賦予一個(gè)獨(dú)一的標(biāo)號(hào)，即事件ID。6用戶：事件發(fā)生時(shí)，哪個(gè)用戶正在運(yùn)用此計(jì)算機(jī)，或事件由哪個(gè)用戶制造出來的。7計(jì)算機(jī)：事件發(fā)生所在的計(jì)算機(jī)稱號(hào)。 三、事件查看器顯示的事件類型 1錯(cuò)誤：記錄Windows Server 2003操作系統(tǒng)所產(chǎn)生的錯(cuò)誤，記錄的是重要的問題，例如數(shù)據(jù)喪失或功能喪失。2警告：并不是非常嚴(yán)重，但有能夠闡明未來的潛在問題的事件。3信息：描畫了

17、運(yùn)用程序、驅(qū)動(dòng)程序或效力的勝利操作的事件。4勝利勝利的審核平安訪問嘗試。5失敗失敗的審核平安登錄嘗試。8.8.2 設(shè)置日志文件的大小 圖8-14 設(shè)置日志文件的大小 8.8.3 挑選事件日志中的事件 一、事件搜索 一切事件搜索特定事件搜索 選擇需求查找的事件類型、事件來源、類別、事件ID、用戶和計(jì)算機(jī)等相匹配的事件。二、事件挑選可以針對(duì)事件的類型、事件來源、產(chǎn)惹事件的計(jì)算機(jī)、事件ID、產(chǎn)惹事件的用戶、事件的起始/終了時(shí)間來設(shè)置要顯示的事件。三、顯示事件信息 根據(jù)用戶需求顯示事件不同的信息。8.8.4 存儲(chǔ)日志文件 存儲(chǔ)事件日志的文件格式：1日志文件格式*.evt2純文本文件格式*.txt 3逗

18、號(hào)分隔的文本文件格式*.csv 8.9 審核資源的運(yùn)用 要審核用戶訪問資源的步驟：1設(shè)置審核戰(zhàn)略必需是具備Administrator權(quán)限的用戶才有權(quán)益設(shè)置審核戰(zhàn)略。2設(shè)置要審核的資源：必需具備“管理審核及平安日志權(quán)益的用戶才可以審核資源的運(yùn)用情況，默許是只需Administrators組內(nèi)的成員才有權(quán)益?？梢岳媒M戰(zhàn)略內(nèi)的用戶權(quán)益指派戰(zhàn)略給予其他用戶這個(gè)權(quán)益。8.9.1 審核戰(zhàn)略的設(shè)置 一、審核戰(zhàn)略設(shè)置的途徑1域控制器 2成員效力器、獨(dú)立效力器 3Windows XP/2000 Professional 二、在整個(gè)域上設(shè)置審核戰(zhàn)略三、測(cè)試與查看審核戰(zhàn)略的設(shè)置 在“Active Directory用戶和計(jì)算機(jī)中，在Users內(nèi)新建用戶賬戶user1、user2來審核賬戶管理戰(zhàn)略的運(yùn)用；在事件查看器的平安日志部分，可以看到新建賬戶的操作被勝利審核。8.9.2 審核文件與文件夾的訪問操作 一、設(shè)置對(duì)文件或文件夾的審核戰(zhàn)略 二、設(shè)置被審核的資源與用戶 三、測(cè)試與查看審核設(shè)置 用新用戶登錄測(cè)試戰(zhàn)略的可用性。8.9.3 審核打印機(jī)的訪問操作 為打印機(jī)添加、刪除、查看或編輯審核工程 圖8-15 審核打印機(jī)的訪問