第4章 利用組策略管理用戶工作環(huán)境

第四章利用組戰(zhàn)略管理用戶任務(wù)環(huán)境概述引見組戰(zhàn)略組戰(zhàn)略構(gòu)造處置組戰(zhàn)略對象組戰(zhàn)略設(shè)置是如何運(yùn)用在活動目錄修正組戰(zhàn)略的承繼性組戰(zhàn)略的委派管理控制監(jiān)控和處理組戰(zhàn)略沖突最正確方案引見組戰(zhàn)略經(jīng)過運(yùn)用組戰(zhàn)略,可以:1.設(shè)置集中的和分散的管理2.確保用戶有適宜完成他們?nèi)蝿?wù)的環(huán)境3.降低控制用戶和計算機(jī)環(huán)境的總費(fèi)用,因此要減少用戶需求的技術(shù)支持的級別和由于用戶的錯誤操作帶來的損失4.推行公司戰(zhàn)略,包括商業(yè)準(zhǔn)那么,目的和嚴(yán)密需求SiteDomainOUWindows2003AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy組戰(zhàn)略構(gòu)造組戰(zhàn)略設(shè)置的類型組戰(zhàn)略的目的針對計算機(jī)和用戶的組戰(zhàn)略設(shè)置組戰(zhàn)略目的和活動目錄容器組戰(zhàn)略設(shè)置的類型TypesofGroupPolicySettingsAdministrativeTemplates基于注冊的設(shè)定運(yùn)用設(shè)置和桌面環(huán)境的設(shè)置Security配置本地的計算機(jī)、域以及網(wǎng)絡(luò)平安性設(shè)置的設(shè)置SoftwareInstallation軟件安裝、晉級、卸載的集中化管理的設(shè)置Scripts運(yùn)轉(zhuǎn)特定的命令時的設(shè)置值，如關(guān)機(jī)、退出登錄InternetExplorerMaintenance管理和定制計算機(jī)的IE設(shè)置FolderRedirection在網(wǎng)絡(luò)效力器上存儲用戶個性化文件夾的設(shè)置(重定向)組戰(zhàn)略對象ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObject組戰(zhàn)略模板在共享的sysvol文件夾中使參與域的計算機(jī)獲得和運(yùn)用提供的組戰(zhàn)略設(shè)置GroupPolicyTemplate組戰(zhàn)略容器在活動目錄中包含GPO屬性和版本信息的活動目錄對象GroupPolicyContainer計算機(jī)和用戶的組戰(zhàn)略設(shè)置計算機(jī)的組戰(zhàn)略設(shè)置1.指的是操作系統(tǒng)行為、桌面行為、平安性設(shè)置等等…2.計算機(jī)相關(guān)的組戰(zhàn)略運(yùn)用在操作系統(tǒng)初始化和周期性更新循環(huán)過程中。3.通常計算機(jī)組戰(zhàn)略在和用戶組戰(zhàn)略沖突時有優(yōu)先權(quán)。用戶的組戰(zhàn)略設(shè)置1.用戶的組戰(zhàn)略設(shè)置指定特定的操作系統(tǒng)行為….2.用戶相關(guān)的組戰(zhàn)略運(yùn)用在用戶登錄計算機(jī)和周期性更新循環(huán)過程中。UsersComputers組戰(zhàn)略設(shè)置與首選項設(shè)置組戰(zhàn)略首選項的特點：只需域內(nèi)的組戰(zhàn)略可以設(shè)置首選項首選項設(shè)置非強(qiáng)迫，用戶可以更改首選項可以針對單一設(shè)置工程進(jìn)展過濾首選項優(yōu)先級低于戰(zhàn)略設(shè)置客戶端需安裝客戶端擴(kuò)展集〔CSE〕組戰(zhàn)略的處置時限在計算機(jī)啟動的時候，將決議哪個計算機(jī)的GPO設(shè)置被運(yùn)用在用戶登錄的時候，將決議哪個用戶的GPO設(shè)置被運(yùn)用ComputerstartsUserlogsonComputersettings

appliedStartupscriptsrunUsersettingsappliedLogonscriptsrun控制組戰(zhàn)略的處置同步和異步處置1.默許的組戰(zhàn)略處置是同步處置2.可以經(jīng)過運(yùn)用組戰(zhàn)略設(shè)置將默許的行為改為異步傳輸默許的時間間隔1.Pro、Ser效力器成員每90分鐘刷新一次2.域控制器每5分鐘刷新一次未發(fā)生變卦的組戰(zhàn)略設(shè)置的處置,只處置有變卦的GPO設(shè)置組戰(zhàn)略對象和活動目錄容器GPO的設(shè)置將對站點、域或組織單位的用戶和計算機(jī)產(chǎn)生影響1.管理員可將GPO和多個站點、域以及組織單位銜接2.也可將多個GPO和單個站點、域以及組織單位銜接管理員不能將GPO和默許的活動目錄容器－計算機(jī)、用戶和Binltin相連，由于他們不是OUSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO處置組戰(zhàn)略對象創(chuàng)建已銜接的組戰(zhàn)略目的創(chuàng)建未銜接的組戰(zhàn)略目的銜接－已存在的組戰(zhàn)略目的創(chuàng)建已銜接的組戰(zhàn)略目的創(chuàng)建未銜接的組戰(zhàn)略目的銜接－已存在的組戰(zhàn)略目的DEMO戰(zhàn)略設(shè)置實戰(zhàn)演練：計算機(jī)配置戰(zhàn)略設(shè)置實戰(zhàn)演練：用戶配置首選項設(shè)置實戰(zhàn)演練1首選項設(shè)置實戰(zhàn)演練2組戰(zhàn)略的運(yùn)用規(guī)那么普通的承繼與處置規(guī)那么特殊的處置規(guī)那么特殊的處置設(shè)置指定管理組戰(zhàn)略目的的域控制器更改組戰(zhàn)略的運(yùn)用間隔時間普通的承繼與處置規(guī)那么有高究竟，層層運(yùn)用，低級的覆蓋高級的SiteDomainOU子容器從母容器承繼GPO設(shè)置值ComputersUsersPayrollDomainDomainGPO處理組戰(zhàn)略之間的沖突戰(zhàn)略是積累的，假設(shè)戰(zhàn)略之間沒有沖突將全部運(yùn)用假設(shè)戰(zhàn)略之間存在沖突，將采用最新的設(shè)置計算機(jī)的設(shè)置，高于用戶的設(shè)置沖突發(fā)生時，執(zhí)行哪個的原那么：來自母容器的GPO設(shè)置和來自子容器的GPO設(shè)置沖突。子容器的設(shè)置后執(zhí)行并發(fā)揚(yáng)作用。銜接到同一容器上的不同的GPO的設(shè)置發(fā)生沖突時。在容器屬性對話框中GPO列表中最高位置的GPO的設(shè)置后執(zhí)行并發(fā)揚(yáng)作用。課堂討論：如何執(zhí)行組戰(zhàn)略的設(shè)置GPO1確認(rèn)收藏夾出如今開場菜單中GPO2andGPO3要求11位字符的密碼并將Updateicon移除開場菜單GPO4從開場菜單移除收藏夾并讓updateicon出現(xiàn)WhataretheresultantGroupPolicysettingsfortheOU?OUSiteDomainGPO1GPO2GPO3GPO4課堂討論：如何執(zhí)行組戰(zhàn)略的設(shè)置〔2〕WhataretheresultantGroupPolicysettingsfortheOU?Apasswordmustbeatleast11characterslongTheWindowsUpdateiconappearsontheStartmenuFavoritesdoesnotappearontheStartmenuOUSiteDomainGPO1GPO2GPO3GPO4特殊的承繼設(shè)置阻止承繼戰(zhàn)略強(qiáng)迫承繼戰(zhàn)略挑選組戰(zhàn)略設(shè)置課堂討論：改動組戰(zhàn)略的承繼性阻止承繼阻止承繼1.阻止一切的GPO承繼到子容器2.運(yùn)用配置為不重寫的銜接阻止承繼將無效3.阻止組戰(zhàn)略設(shè)置將允許活動目錄有獨一的組戰(zhàn)略設(shè)置GPOsSalesProductionDomainNoGPOsettings

apply強(qiáng)迫承繼戰(zhàn)略1.將不顧其它的GPO的設(shè)置而發(fā)揚(yáng)作用2.在活動目錄的較高層次銜接GPO以保證能對多個OU起作用3.必需保證強(qiáng)迫重要的GPOSalesProductionDomainDomainGPO

settingsapplyConflicting

GPOSettingsNoOverride

GPOSettings挑選組戰(zhàn)略設(shè)置挑選組戰(zhàn)略設(shè)置1.明確的回絕懇求對于包含OU管理員在內(nèi)的平安組的組戰(zhàn)略答應(yīng)2.刪除驗證的用戶DomainSalesMengphKimyoGroupDenyApplyGroupPolicyAllowReadandApplyGroupPolicy課堂討論：改動組戰(zhàn)略的承繼性SettingsThatAreNeeded在域中的一切計算機(jī)上必需安裝防病毒程序除工資部門的用戶外一切域里的計算機(jī)必需安裝微軟的office套件除工資部門的管理員計算機(jī)外，工資部門的一切計算機(jī)都必需安裝系列商用財務(wù)運(yùn)用程序如何設(shè)置他的GPOs?PayrollSalesContosoTraining課堂討論：改動組戰(zhàn)略的承繼性〔2〕HowdoyousetupyourGPOs?AGPOlinkedtothedomainwiththeanti-virusapplicationsettingsconfiguredandthelinkconfiguredwithNoOverrideAGPOlinkedtothedomainthatinstallstheOfficesuiteEnableBlockInheritanceforthePayrollOUAGPOlinkedtothePayrollOUtoinstalltheaccountingapplicationModifytheDACLoftheGPOlinkedtothePayrollOUtodenytheApplyGroupPolicypermissionforthecomputeraccountsusedbythePayrollOUadministratorsPayrollSalesNwtradersTrainingWindows管理規(guī)范〔ＷＭＩ〕過濾器Windows管理規(guī)范過濾使管理員可以基于配置，角色或其他規(guī)范決議能否在指定計算機(jī)或用戶上運(yùn)用一個組戰(zhàn)略對象特殊的處置設(shè)置強(qiáng)迫處置GPO慢速鏈接的GPO處置環(huán)回處置方式禁用GPO 強(qiáng)迫組戰(zhàn)略的處置如何在客戶端強(qiáng)迫刷新組戰(zhàn)略語法:GPUpdate[/Target:{Computer|User}][/Force]/Target:{Computer|User}指定只需用戶或計算機(jī)策設(shè)置已被刷新。在默許情況下，用戶和計算機(jī)戰(zhàn)略設(shè)置都被刷新。/Force重新運(yùn)用一切戰(zhàn)略設(shè)置。在默許情況下，只需曾經(jīng)改動了的戰(zhàn)略設(shè)置被運(yùn)用。組戰(zhàn)略和慢速網(wǎng)絡(luò)銜接組戰(zhàn)略能接納慢速銜接組戰(zhàn)略運(yùn)用一種運(yùn)算法那么來確定銜接能否為慢速銜接默許設(shè)置假設(shè)<=500k,為慢速銜接默許的慢速銜接處置 客戶端擴(kuò)展慢速連接基于注冊的設(shè)置打開(不能關(guān)閉)IE界面設(shè)置關(guān)閉軟件安裝設(shè)置關(guān)閉文件夾重定向設(shè)置關(guān)閉命令設(shè)置關(guān)閉EFS覆蓋設(shè)置關(guān)閉磁盤配額設(shè)置關(guān)閉安全性和加密文件系統(tǒng)覆蓋設(shè)置關(guān)閉IP安全性設(shè)置打開(不能關(guān)閉)指定管理組戰(zhàn)略目的的域控制器當(dāng)創(chuàng)建一個新的GPO或編輯一個已存在的GPO時，默許的操作在承當(dāng)PDC主控的域控制器上執(zhí)行選擇域控制器的選項1.操作主控遵照PDC的競爭原那么。2.運(yùn)用活動目錄插件方式。3.運(yùn)用任何能夠的域控制器。指定域控制器方式1.運(yùn)用在組戰(zhàn)略快照中的查看菜單下的DC選項2.在組戰(zhàn)略設(shè)置中指定運(yùn)用什么域控制器更改組戰(zhàn)略的運(yùn)用間隔時間管理組戰(zhàn)略拷貝GPO備份GPO復(fù)原GPO導(dǎo)入GPO組戰(zhàn)略結(jié)果集處理組戰(zhàn)略問題組戰(zhàn)略對象不能訪問或翻開