某活動(dòng)項(xiàng)目應(yīng)用組策略講義課件

鄭重聲明：本資料來(lái)自武漢軟件工程職業(yè)學(xué)院優(yōu)秀教師唐能立，未經(jīng)本人同意不得轉(zhuǎn)載鄭重聲明：1第13講組策略第13講組策略2企業(yè)需求企業(yè)的員工都使用計(jì)算機(jī)辦公，為了管理上的方便，需要對(duì)全部的計(jì)算機(jī)在某些配置上強(qiáng)制性實(shí)施統(tǒng)一的配置。例如：密碼設(shè)置原則、統(tǒng)一安裝辦公軟件。企業(yè)需求企業(yè)的員工都使用計(jì)算機(jī)辦公，為了管理上的方便，需要對(duì)3本講任務(wù)對(duì)域中的計(jì)算機(jī)，強(qiáng)制每個(gè)月必須修改密碼，并且密碼不能過(guò)于簡(jiǎn)單或反復(fù)使用。此外還不允許員工自己配置網(wǎng)絡(luò)鄰居，自己添加和刪除程序。本講任務(wù)對(duì)域中的計(jì)算機(jī)，強(qiáng)制每個(gè)月必須修改密碼，并且密碼不能4基本知識(shí)基本知識(shí)51什么是組策略“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組并沒(méi)有什么直接關(guān)系，不要把組策略理解為是針對(duì)用戶組所配置的策略。組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。

1什么是組策略“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組6各種組策略計(jì)算機(jī)是否加入到域?qū)Σ呗缘挠绊懯呛艽蟮臎](méi)有加入到域中的計(jì)算機(jī)只有本地策略在起作用而如果計(jì)算機(jī)加入到域中，牽涉的組策略就復(fù)雜得多了，包括本地策略、默認(rèn)域策略、默認(rèn)域控制器策略，還有組織單元上（OU）的策略等

各種組策略計(jì)算機(jī)是否加入到域?qū)Σ呗缘挠绊懯呛艽蟮?2本地策略、本地安全策略沒(méi)有加入到域中的計(jì)算機(jī)只有本地策略在起作用本地安全策略是本地策略的一部分2本地策略、本地安全策略沒(méi)有加入到域中的計(jì)算機(jī)只有本地策略8本地安全策略：在管理工具中本地安全策略：在管理工具中9本地策略：在MMC中添加本地策略：在MMC中添加10添加管理單元：組策略對(duì)象編輯器添加管理單元：組策略對(duì)象編輯器11本地安全策略是本地策略的一部分本地安全策略是本地策略的一部分12兩種配置選項(xiàng)計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行。這些配置應(yīng)用到特定的計(jì)算機(jī)上，當(dāng)該計(jì)算機(jī)啟動(dòng)后，自動(dòng)應(yīng)用設(shè)置的組策略。用戶配置：用于管理控制更多用戶特定項(xiàng)目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，就會(huì)應(yīng)用用戶配置組策略。兩種配置選項(xiàng)計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包133默認(rèn)域策略

域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上。在域控制器中的“管理工具”中的“域安全策略”是默認(rèn)域策略中一部分。3默認(rèn)域策略域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上14在MMC中可以添加默認(rèn)域策略管理單元在MMC中可以添加默認(rèn)域策略管理單元15默認(rèn)域控制器策略

默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的。在“ActiveDirectory用戶和計(jì)算機(jī)”窗口中的左邊選中“DomainControllers”，右擊鼠標(biāo)選擇“屬性”項(xiàng)，選擇“組策略”選項(xiàng)卡。域控制器中的“管理工具”中的“域控制器安全策略”是默認(rèn)域控制器策略中的一部分。默認(rèn)域控制器策略是安裝Windows2003時(shí)自動(dòng)創(chuàng)建的、應(yīng)用到域控制器上的策略。默認(rèn)域控制器策略默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的。164各種策略存在的位置4各種策略存在的位置17各種策略并存時(shí)，哪個(gè)在起作用？作用順序：首先是本地策略然后是域策略域控制器策略（域控制器上才有）如果發(fā)生不同組策略對(duì)同一策略項(xiàng)設(shè)置了不同的值，后者將替代前者也就是說(shuō)本地策略的優(yōu)先級(jí)是最低的。如果有需要我們可以改變這種替代關(guān)系，稍后才介紹如何改變。各種策略并存時(shí)，哪個(gè)在起作用？作用順序：18配置步驟配置步驟191創(chuàng)建組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略而域上可以有多個(gè)組策略，我們可以在一個(gè)域上同時(shí)應(yīng)用多個(gè)組策略

1創(chuàng)建組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能20也可以在原有的策略上直接進(jìn)行修改也可以在原有的策略上直接進(jìn)行修改21創(chuàng)建新的組策略，則域上有多個(gè)策略存在有多個(gè)策略時(shí)，排在列表上面的組策略具有較高的優(yōu)先級(jí)對(duì)于同一策略設(shè)置，上面的組策略會(huì)替代下面的組策略

創(chuàng)建新的組策略，則域上有多個(gè)策略存在有多個(gè)策略時(shí)，排在列表上22修改域控制器上的默認(rèn)策略修改域控制器上的默認(rèn)策略232設(shè)置密碼策略2設(shè)置密碼策略24在成員服務(wù)器上刷新組策略：gpupdate在成員服務(wù)器上刷新組策略：gpupdate25在成員服務(wù)器上檢查本地安全策略是否被更新可以看到策略已經(jīng)更新為在域上面設(shè)置的策略了在成員服務(wù)器上檢查本地安全策略是否被更新可以看到策略已經(jīng)更新26測(cè)試策略是否生效更改用戶密碼時(shí)，要求滿足設(shè)置的密碼策略了測(cè)試策略是否生效更改用戶密碼時(shí)，要求滿足設(shè)置的密碼策略了273配置桌面3配置桌面28阻止更改“任務(wù)欄”和“開(kāi)始”菜單阻止更改“任務(wù)欄”和“開(kāi)始”菜單294不要保留打開(kāi)文檔的記錄不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打開(kāi)過(guò)哪些文件。4不要保留打開(kāi)文檔的記錄不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打305關(guān)閉一些不需要的服務(wù)5關(guān)閉一些不需要的服務(wù)316控制用戶或組訪問(wèn)注冊(cè)表的權(quán)限

6控制用戶或組訪問(wèn)注冊(cè)表的權(quán)限32用戶或組訪問(wèn)注冊(cè)表的權(quán)限用戶或組訪問(wèn)注冊(cè)表的權(quán)限33企業(yè)疑難問(wèn)題解析企業(yè)疑難問(wèn)題解析34公司的不少員工使用office，可是有好幾個(gè)版本的office，我能用組策略統(tǒng)一安裝一個(gè)版本的office嗎？可以，組策略中的用戶配置軟件設(shè)置軟件安裝就是為了完成這個(gè)用途。可以在域中統(tǒng)一使用某一軟件。我是否可以使用組策略把員工的計(jì)算機(jī)都設(shè)成一個(gè)模樣？完全一樣很難做到，如果真做到，估計(jì)員工會(huì)造反，管理員要在個(gè)性和統(tǒng)一之間做個(gè)平衡。不過(guò)可以做到大同小異。問(wèn)題公司的不少員工使用office，可是有好幾個(gè)版本的offic35小結(jié)組策略的概念各種組策略組策略的作用順序組策略的創(chuàng)建或修改定義常見(jiàn)的組策略小結(jié)組策略的概念36

鄭重聲明：本資料來(lái)自武漢軟件工程職業(yè)學(xué)院優(yōu)秀教師唐能立，未經(jīng)本人同意不得轉(zhuǎn)載鄭重聲明：37第13講組策略第13講組策略38企業(yè)需求企業(yè)的員工都使用計(jì)算機(jī)辦公，為了管理上的方便，需要對(duì)全部的計(jì)算機(jī)在某些配置上強(qiáng)制性實(shí)施統(tǒng)一的配置。例如：密碼設(shè)置原則、統(tǒng)一安裝辦公軟件。企業(yè)需求企業(yè)的員工都使用計(jì)算機(jī)辦公，為了管理上的方便，需要對(duì)39本講任務(wù)對(duì)域中的計(jì)算機(jī)，強(qiáng)制每個(gè)月必須修改密碼，并且密碼不能過(guò)于簡(jiǎn)單或反復(fù)使用。此外還不允許員工自己配置網(wǎng)絡(luò)鄰居，自己添加和刪除程序。本講任務(wù)對(duì)域中的計(jì)算機(jī)，強(qiáng)制每個(gè)月必須修改密碼，并且密碼不能40基本知識(shí)基本知識(shí)411什么是組策略“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組并沒(méi)有什么直接關(guān)系，不要把組策略理解為是針對(duì)用戶組所配置的策略。組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。

1什么是組策略“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組42各種組策略計(jì)算機(jī)是否加入到域?qū)Σ呗缘挠绊懯呛艽蟮臎](méi)有加入到域中的計(jì)算機(jī)只有本地策略在起作用而如果計(jì)算機(jī)加入到域中，牽涉的組策略就復(fù)雜得多了，包括本地策略、默認(rèn)域策略、默認(rèn)域控制器策略，還有組織單元上（OU）的策略等

各種組策略計(jì)算機(jī)是否加入到域?qū)Σ呗缘挠绊懯呛艽蟮?32本地策略、本地安全策略沒(méi)有加入到域中的計(jì)算機(jī)只有本地策略在起作用本地安全策略是本地策略的一部分2本地策略、本地安全策略沒(méi)有加入到域中的計(jì)算機(jī)只有本地策略44本地安全策略：在管理工具中本地安全策略：在管理工具中45本地策略：在MMC中添加本地策略：在MMC中添加46添加管理單元：組策略對(duì)象編輯器添加管理單元：組策略對(duì)象編輯器47本地安全策略是本地策略的一部分本地安全策略是本地策略的一部分48兩種配置選項(xiàng)計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行。這些配置應(yīng)用到特定的計(jì)算機(jī)上，當(dāng)該計(jì)算機(jī)啟動(dòng)后，自動(dòng)應(yīng)用設(shè)置的組策略。用戶配置：用于管理控制更多用戶特定項(xiàng)目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，就會(huì)應(yīng)用用戶配置組策略。兩種配置選項(xiàng)計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包493默認(rèn)域策略

域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上。在域控制器中的“管理工具”中的“域安全策略”是默認(rèn)域策略中一部分。3默認(rèn)域策略域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上50在MMC中可以添加默認(rèn)域策略管理單元在MMC中可以添加默認(rèn)域策略管理單元51默認(rèn)域控制器策略

默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的。在“ActiveDirectory用戶和計(jì)算機(jī)”窗口中的左邊選中“DomainControllers”，右擊鼠標(biāo)選擇“屬性”項(xiàng)，選擇“組策略”選項(xiàng)卡。域控制器中的“管理工具”中的“域控制器安全策略”是默認(rèn)域控制器策略中的一部分。默認(rèn)域控制器策略是安裝Windows2003時(shí)自動(dòng)創(chuàng)建的、應(yīng)用到域控制器上的策略。默認(rèn)域控制器策略默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的。524各種策略存在的位置4各種策略存在的位置53各種策略并存時(shí)，哪個(gè)在起作用？作用順序：首先是本地策略然后是域策略域控制器策略（域控制器上才有）如果發(fā)生不同組策略對(duì)同一策略項(xiàng)設(shè)置了不同的值，后者將替代前者也就是說(shuō)本地策略的優(yōu)先級(jí)是最低的。如果有需要我們可以改變這種替代關(guān)系，稍后才介紹如何改變。各種策略并存時(shí)，哪個(gè)在起作用？作用順序：54配置步驟配置步驟551創(chuàng)建組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略而域上可以有多個(gè)組策略，我們可以在一個(gè)域上同時(shí)應(yīng)用多個(gè)組策略

1創(chuàng)建組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能56也可以在原有的策略上直接進(jìn)行修改也可以在原有的策略上直接進(jìn)行修改57創(chuàng)建新的組策略，則域上有多個(gè)策略存在有多個(gè)策略時(shí)，排在列表上面的組策略具有較高的優(yōu)先級(jí)對(duì)于同一策略設(shè)置，上面的組策略會(huì)替代下面的組策略

創(chuàng)建新的組策略，則域上有多個(gè)策略存在有多個(gè)策略時(shí)，排在列表上58修改域控制器上的默認(rèn)策略修改域控制器上的默認(rèn)策略592設(shè)置密碼策略2設(shè)置密碼策略60在成員服務(wù)器上刷新組策略：gpupdate在成員服務(wù)器上刷新組策略：gpupdate61在成員服務(wù)器上檢查本地安全策略是否被更新可以看到策略已經(jīng)更新為在域上面設(shè)置的策略了在成員服務(wù)器上檢查本地安全策略是否被更新可以看到策略已經(jīng)更新62測(cè)試策略是否生效更改用戶密碼時(shí)，要求滿足設(shè)置的密碼策略了測(cè)試策略是否生效更改用戶密碼時(shí)，要求滿足設(shè)置的密碼策略了633配置桌面3配置桌面64阻止更改“任務(wù)欄”和“開(kāi)始”菜單阻止更改“任務(wù)欄”和“開(kāi)始”菜單654不要保留打開(kāi)文檔的記錄不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打開(kāi)過(guò)哪些文件。4不要保留打開(kāi)文檔的記錄不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打665關(guān)閉一些不需要的服務(wù)5關(guān)閉一些不需要的服務(wù)676控制用戶或組訪問(wèn)注冊(cè)表的權(quán)限

6控制用戶或組訪問(wèn)注冊(cè)表的權(quán)限68用戶或組訪問(wèn)注冊(cè)表的權(quán)限用戶或組訪問(wèn)注冊(cè)表的權(quán)限69企業(yè)疑難問(wèn)題解析企業(yè)疑難問(wèn)題解析70公司的不少員工使用