管理組策略課件

第五章

管理組策略

本章學習要求及能力目的

組策略用來在用戶或計算機集合上強制設置一些配

置，這在多臺計算機需要統(tǒng)一的工作界面時很有實用意

義。組策略為管理員提供了進一步控制和集中管理用戶

工作環(huán)境、實現軟件部署以及安全性管理。

＞掌握組策略的管理與配置方法

＞掌握利用組策略管理資源與對象

＞掌握域安全策略及域控制器安全策略的配置

管理方法

組策略

組策略是從Windows2000開始有的一個新特點。組

策略用來在用戶或計算機集合上強制設置一些配置，這

在多臺計算機需要統(tǒng)一的工作界面時很有實用意義。例

如用戶的桌面環(huán)境、計算機啟動/關機所執(zhí)行的腳本文件、

用戶登錄/注銷所執(zhí)行的腳本文件等。WindowsServer

2003系統(tǒng)賦予組策略更新的功能和特性，通過組策略可

以更容易管理網絡上的資源。

1.組策略簡介

組策略是一組配置設置，是組策略管理員應用于活

動目錄存儲中的一個或多個對象。利用它組策略管理員

可以為用戶提供一個完全總裝的桌面環(huán)境。這個環(huán)境包

括定制的【開始】菜單，自動安裝的應用程序和對文件、

文件夾和WindowsServer2003系統(tǒng)設置的限制訪問。

1)組策略的組件

(1)組策略對象

組策略對象(GPO,GroupPolicyObject)是組策略的載體

,要想實現組策略管埋，必須創(chuàng)建組策略對象。在活動目錄中可

以把組策略對象應用于特定的目標，如站點、域和0U以實現組策

略管理的目的。組策略對象的內容存儲在GPC和GPT中。

在對這些對象設置組策略時有以下特點：

?一個GPO可以與多個站點、域和0U相鏈接，這樣當需要對不同

的對象執(zhí)行相同策略管理時可以減輕管理員的工作負擔。

?每個站點、域和0U也可以應用多個GPO。

(2)組策略容器

組策略容器(GPC,GroupPolicyContainer)是包含

GPO狀態(tài)和版本信息的活動目錄對象，存儲在活動目錄中。

計算機使用GPC來定位組策略模板，而且域控制器可以通過

訪問GPC來獲得GPO的版本信息。如果一臺域控制器沒有最新

的GPO版本信息,那么就會引發(fā)為了獲得最新GPO版本信息的

活動目錄復制。

(3)組策略模板

組策略模板(GPT,GroupPolicyTemplate)存儲在域控

制器上的SYSVOL共享文件夾中，用來提供所有的組策略設置和

信息，包括管理模板、安全性、軟件安裝、腳本、文件夾重定

向設置等。當創(chuàng)建一個GP0時,WindowsServer2003創(chuàng)建相應

的GPT?？蛻舳擞嬎銠C能夠接受組策略的配置就是因為它們和DC

的SYSVOL文件夾鏈接，獲得并應用這些設置。

2）組策略的配置類型

每個組策略的配置類型都包括兩部分內容：計算機配置

和用戶配置

圖5-1組策略編輯器窗口

2)組策略的配置類型

(1)計算機的組策略配置

在計算機的組策略配置中可以指定操作系統(tǒng)的行為、

桌面行為、安全性設置、計算機的啟動和關機命令、計

算機賦予的應用程序選項以及應用程序設置。在計算機

啟動時會應用計算機的組策略設置。

(2)用戶的組策略配置

在用戶的組策略配置中可以指定操作系統(tǒng)行為、桌面行

為、安全性設置、賦予的和公布的應用程序選項、應用程

序設置、文件夾的重定向選項以及用戶登錄和退出登錄的

命令等。當用戶登錄計算機時會應用與該用戶相關的組策

略設置。

注意：當同一個組策略的計算機配置和用戶配置發(fā)生沖突

時，計算機的組策略配置優(yōu)先。

3)組策略的功能類型

(1)軟件設置

影響用戶可以訪問的應用程序，應用程序自動安裝的策略有兩

種方法實現：指派應用程序，組策略直接在用戶計算機上安裝或

升級應用程序，或為用戶提供應用程序的連接，指派的應用程序

用戶無法刪除；發(fā)布應用程序，組策略管理員通過活動目錄服務

發(fā)布應用程序。應用程序出現在用戶的控制面板的【添加/刪除

程序】的安裝組件列表中，用戶可以卸載這些應用程序。

(2)腳本

組策略管理員可以設定腳本和批處理文件在指定時間運行，

如在系統(tǒng)啟動、關閉、用戶登錄或注銷時。腳本可以自動執(zhí)行

重復性任務，如映射網絡驅動器。

(3)安全設置

組策略管理員可以限制用戶訪問文件和文件夾，配置賬戶限

制(如在WindowsServer2003鎖定用戶賬戶之前允許用戶輸

入多少次錯誤的口令)，設置本地策略(如用戶權力和審計)

,控制服務操作，限制注冊表和事件日志文件的訪問，設置公

鑰訪問和配置IPSec策略。

(4)管理模板

包括基于注冊表的組策略，可以利用它來強制注冊表設置，

控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應用程序。

(5)遠程安裝服務(RIS)

當運行用戶安裝向導時，控制顯示給用戶的RIS安裝選項。

(6)文件夾重定向

可以重定向WindowsServer2003指定的文件夾從用戶配置文

件缺省位置到另一個網絡位置，從而對這些文件夾集中管理。

2.組策略對象的管理

1）創(chuàng)建組策略（新建）

【案例1】創(chuàng)建域的組策略。

2）在圖5-2中除【新建】

圖域屬性【組策略】選項卡

按鈕以外的其他各按鈕作用如下:5-2

①添加：才巴已經存在的一個組策略對象鏈接到站點、域

或者組織單位上。

②編輯：打開組策略對象編輯器來對組策略對象進行編

輯。

③選項：進行組策略對象的替代控制。

④刪除：斷掉組策略對象的鏈接或刪除一個組策略對象

O

⑤向上、向下：修改組策略對象應用在同一活動目錄對

象上的優(yōu)先級。

⑥屬性：對選中的組策略對象進行有關屬性參數的設置

O

圖5-2中【阻止策略繼承】單選項是用于防止父容器定義

的策略在自身傳遞。

【案例2】驗證組策略的繼承性。

3）委托GPO管理控制

在創(chuàng)建GPO以后，要確定哪些用戶和組對GPO擁有訪

問權限。默認的GPO權限如下所示。

?CREATOROWNER組:擁有特別的權限。

?AuthrnticatedUsers組：擁有讀、擁應用組策略和特

別的權限。

?DomainAdmins組：擁有讀、寫、創(chuàng)建所有子對象、刪

除所有子對象、特別的權限。

SYSTEM組：擁有讀、寫、創(chuàng)建所有子對象、刪除所有子

對象、特別的權限。

【案例3】實現委托，使某用戶對組策略有訪問權限。

DefaultDoaainPolicy星性

常規(guī)I鏈接安全|嘏1篩選器I

組或用戶名稱&):

AuthenticatedUsers

gjCREATOROWNER

DomainAdmins(QTCVDomainAdmins)

EnterpriseAdmins(QTCXEnterpriseAdxnins)

或ENTERPRISEDOMAINCONTROLLERS

.-ir<-<TT???--J

添加⑥―I刪除如I

AuthenticatedUsers的權限電)允許拒絕

□□

完全控制

回□

讀取

口□

寫入□□

創(chuàng)建所有子對象□□

刪除所有子對象l

回□

應用組策略

〔

Kt0，h\Ar?n"R〔ZJ

特別權限或高級設置，請單擊“高級”?

確定|取消|應用"3|

4)設置組策略

在創(chuàng)建了組策略對象以后，還需要對組策略對象進行配置。

配置組策略對象的步驟如下：

(1)打開活動目錄，右擊域名，單擊【屬性】，選擇【組策

略】標簽。

(2)選擇組策略，單擊【編輯】按鈕，打開組策略編輯器。

3.組策略的應用

1）指派應用程序

可以將一個軟件通過組策略指派給用戶或者計算機，這樣當

用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝

在該計算機上，而只是安裝了與軟件有關的部分信息，當用戶

運行軟件的快捷方式或者雙擊該軟件的文檔時，該軟件才會被

自動安裝。軟件指派應用程序既可以用于計算機配置，也可用

于用戶配置。

2）發(fā)布應用程序

和指派軟件不同，發(fā)布一個軟件時計算機并無該軟件的快捷方

式，用戶需要用【控制面板】I【添加或者刪除應用程序】選

項來安裝軟件。發(fā)布應用程序只用于用戶配置，在組策略中發(fā)

布的程序是否被用戶安裝，取決于用戶。

指派或發(fā)布應用程序

【案例4】指派或發(fā)布應用程序（以用戶配置為例）。

配置組策略

【案例5】設置“本地計算機”組策略。

1）設置開始菜單

2）設置最近打開文檔記錄

3）設置系統(tǒng)關機

配置組策略

配置組策略

對組策略進行設置；

注意組策略的執(zhí)行順序o

配置組策略

＞使用腳本

＞文件夾重定向

＞安全設置

＞安全模板

域安全策略及域控制器安全策略

域安全策略

域安全策略的設置影響到域中的每一臺計算機，當

非域控制器的某臺計算機的【本地安全策略】設置與

【域安全策略】設置沖突時，以域安全策略為準進行

應用。

1.密碼策略

2.賬戶鎖定策略

域控制器安全策略

【域控制器安全策略】是對域控制器設置的安全策略,

當它與【域安全策略】存在沖突時，以【域控制器安

全策略】為準進行應用。

本章作業(yè)

一.練習

1.填空題

(1)______是一種在用戶或計算機集合上強制使用一些

配置的方法。

(2)組策略配置包含在______中，該對象又與選定的活

動目