第11讲 组策略与组策略应用.docx
- 文档编号:12069429
- 上传时间:2023-06-04
- 格式:DOCX
- 页数:18
- 大小:396.06KB
第11讲 组策略与组策略应用.docx
《第11讲 组策略与组策略应用.docx》由会员分享,可在线阅读,更多相关《第11讲 组策略与组策略应用.docx(18页珍藏版)》请在冰点文库上搜索。
第11讲组策略与组策略应用
组策略与组策略应用
课题:
组策略与组策略应用
课型:
理论课课时:
2课时
教学目的:
1、了解组策略及其应用;
2、掌握计算机和用户的组策略设置;
3、掌握通过组策略设置用户权限的方法;
4、掌握使用组策略重定向文件夹的方法;
5、掌握使用组策略布置和管理软件的操作。
重点难点:
1、使用组策略管理用户和计算机;
2、使用组策略布置和管理软件。
教学环境:
1、多媒体教室;
2、一台安装有虚拟机的电脑。
教学方法:
讲授法
教学过程:
组策略为管理员提供了对网络中用户和计算机的管理控制能力。
通过使用组策略,可以定义用户初始的工作环境状态,然后在工作中还可以根据实际需要进行修改。
管理员可以将组策略应用于整个网络,也可以将组策略只应用于指定的用户组或计算机组。
组策略的应用使得管理用户和计算机的工作变得更加灵活。
一、组策略介绍
WindowsServer2003中的组策略是基于策略的管理,管理员一次性设定用户/计算机环境的状态之后,依赖系统来强制实现这个状态要求,而不需要再进行重复的操作。
1、组策略对象的作用
通过使用组策略,可以完成以下工作。
(1)在站点级或域级上,该应用于整个企业策略集中起来;或者在组织单位(OU)级上,将应用于每个部门的策略分散开来。
(2)确保用户在能满足工作需要的用户环境中工作,保证他们可以:
◆在注册表中拥有必要的应用程序和系统配置设置,并在系统中拥有用于修改计算机和用户环境的脚本。
◆自动安装软件。
◆拥有本地计算机、域和网络的安全设置。
◆控制用户数据文件夹的存储位置。
(3)控制用户和计算机的环境,从而可以降低用户所需的技术支持级别,并使由用户失误造成的工作效率降低的情况大大减少。
例如,通过使用组策略,可以防止用户安装不必要的软件,或更改工作环境。
(4)实施企业策略,包括商业规范、目标和安全要求。
要为一组特定的用户创建指定的桌面配置,可以创建组策略对象(GPO),即组策略设置的集合。
每个WindowsServer2003计算机都有一个本地GPO,它可以服从于任何非本地(基于活动目录)的GPO。
2、GPO的类型
GPO有两种类型:
本地和非本地。
本地GPO:
对于每台运行Windows2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Activedirectory环境的一部分,它都存储着一个本地GPO。
然而,若计算机处在Activedirectory的网络中,那么非本地GPO将覆盖本地GPO,从而将本地GPO对系统的影响降到最小。
在非网络环境中,或非Activedirectory中,由于本地GPO的设置并没有被非本地GPO覆盖,所以仍然可以发挥作用。
非本地GPO:
非本地GPO是与Activedirectory对象联系起来使用的。
非本地GPO也可以应用于用户或计算机。
如果要使用非本地GPO,那么必须在网络中安装一台域控制器。
根据Activedirectory服务的属性,系统会分层次地应用非本地GPO中的策略。
3、组策略模板
组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。
该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。
当创建一个GPO时,服务器会创建一个相应的组策略模板文件夹层次结构。
组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。
计算机可以通过连接SYSVOL文件夹来获得这些信息。
组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。
4、组策略设置的类型
通过编辑GPO可以对组策略设置进行配置,可以进行配置的组策略类型有:
◆管理模板。
用于配置应用程序以及用户桌面环境的基于注册表的设置。
◆安全设置。
用于配置本地计算机、域和网络安全性的设置。
◆软件安装。
用于将管理软件的安装、更新或删除操作集中起来的设置。
◆脚本。
指定了系统在何时运行特定的脚本。
◆远程安装服务。
指当通过“远程安装服务(RIS)”运行“客户安装向导”时,用于控制用户可用选项的设置。
◆InternetExplorer维护。
指用于管理和自定义MicrosoftInternetExplorer的设置。
◆文件夹重定向。
用于将特定的用户配置文件夹存储到网络服务器上的设置。
二、计算机和用户的组策略设置
存储在域控制器中的非本地组策略对象只能在ActiveDirectory环境下使用。
它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。
通常可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。
(1)计算机配置
计算机配置的组策略设置包括操作系统行为、桌面行为、安全设置、计算机启动和关机脚本、计算机分配的应用程序选项和应用程序设置。
在操作系统初始化和整个系统刷新间隔期间,系统将会应用与计算机有关的组策略设置。
(2)用户配置
用户的组策略设置包括特定的操作系统行为、桌面设置、安全设置、分配和发布的应用程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。
在用户登录计算机以及整个策略刷新间隔期间,系统将会应用与用户相关的组策略设置。
一般来说,当计算机组策略设置和用户组策略发生冲突时,系统将优先应用计算机组策略设置。
三、应用组策略的方法
组策略设置和相应的值都存储在Registry.pol文件中,这些设置和值将应用到WindowsServer2003的域控制器和客户端,而Registry.pol文件位于域控制器上的组策略模板(GPT)中。
一共有两Registry.pol文件:
一个用于计算机设置,另一个用于用户设置。
应用组策略的方法主要有两种:
在启动期间应用设置、在用户登录期间应用设置。
1、通过组策略设置用户权限
组策略在用户权限设置上有着很重要的作用,主要包括对用户设置密码策略、对用户设置登录策略以及用户账户锁定策略等。
(1)对用户设置密码策略
①用鼠标右击“DomainControllers”容器,选择“属性”命令,在“属性”对话框中选择“组策略”选项卡,如图所示。
②在“组策略”选项卡中选择“编辑”命令,出现“组策略编辑器”窗口,如图所示。
③在“组策略编辑器”窗口中,依次展开“计算机配置”-“Windows设置”-“安全设置”-“账户策略”-“密码策略”,如图所示。
④打开“密码策略”,双击“密码必须符合复杂性要求”,弹出如图所示的界面。
⑤在“密码必须符合复杂性要求属性”对话框中选择“定义这个策略设置”,然后选择“已启用”,再单击“确定”按钮。
⑥用鼠标右键单击用户b1,选择“重设密码”,出现“重设密码”对话框,如图所示。
⑦将密码设置为空,单击“确定”按钮,此时,将弹出一个对话框,提示不能完成b1的密码更改,说明该策略已起作用,如图所示。
(2)对用户设置登录策略
①在“组策略编辑器”窗口中,依次展开“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权限分配”,如图所示。
②在“用户权限分配”中双击“允许在本地登录”,弹出如图所示的对话框。
③在“允许在本地登录”对话框中,确保用户b1不在“允许本地登录”中,然后注销当前用户。
④当出现登录界面时,以用户b1身份来登录,输入用户名和密码后,单击“确定”按钮,系统将提示“此系统的本地策略不允许您交互登录”,如图所示。
⑤此时,以管理员身份重新登录到系统中,并修改组策略,确保用户b1在“允许本地登录”中。
⑥注销并重新以b1身份登录,此时,该用户就可以登录到系统中。
(3)对用户账户锁定策略
在“组策略编辑器”窗口中,依次展开“计算机配置”-“Windows设置”-“安全设置”-“账户策略”-“账户锁定策略”,如图所示。
(演示操作过程)
2、安全模板导入策略
安全模板是经过配置的安全设置的集合。
WindowsServer2003提供了预定义的安全模板,这些安全模板中包含了针对不同情况的安全设置。
通过使用预定义安全模板,管理员可以创建满足不同组织要求的安全模板,并可以根据需要修改预定义的安全模板,之后管理员就可以使用这些模板为一台计算机或上千台计算机进行安全配置。
(1)在组策略中导入安全模板
①在“ActiveDirectory用户和计算机”窗口中选择相应的组织单位,单击“操作”菜单,选择“属性”命令。
②在组织单位的属性对话框中选择“组策略”选项卡。
③选择相应的策略,单击“编辑”。
④打开“组策略编辑器”,依次展开“计算机配置”-“Windows设置”,然后选择“安全设置”,如图所示。
⑤单击“操作”菜单,选择“导入策略”命令,弹出“策略导入来源”对话框,如图所示。
⑥选择相应的模板,单击“打开”按钮。
⑦在“组策略对象编辑器”中,单击“文件”菜单,选择“退出”。
⑧在容器属性中,单击“确定”按钮即可。
(2)用“安全配置和分析”导入安全模板
将“安全配置和分析”单元添加到了控制台1中,如图所示。
选择“安全配置和分析”,单击“操作”菜单,选择“打开数据库”命令,弹出“打开数据库”对话框,如图所示。
输入相应的数据库名称,单击“打开”按钮,弹出“导入模板”对话框。
在“导入模板”对话框中,选择相应的模板,单击“打开”按钮即可,如图所示。
(3)分析导入的模板并与当前设置比较
选择“安全配置和分析”,单击“操作”菜单,并选择“立即分析计算机”命令,弹出“进行分析”对话框,如图所示。
单击"确定",接受默认的“错误日志文件路径”。
完成分析后,展开节点标题对结果进行研究,如图所示。
(4)应用安全模板
选择“安全配置和分析”,单击“操作”菜单,选择“立即配置计算机”命令,弹出“配置系统”对话框,如图所示。
单击"确定",接受默认的“错误日志文件路径”。
在管理控制台,单击“文件”菜单,选择“退出”命令,关闭“安全配置和分析”即可。
四、使用组策略重定向文件夹
使用组策略可以把用户配置文件的一部分,包含本地文件夹,重定向到服务网络中的一个集中位置上。
以便于管理和备份数据。
同时也可以保证用户无论在网络中的任何一台计算机上登录,都可以访问他们的数据。
可以重定向的文件夹主要包括“我的文档”、“开始”菜单、桌面和应用程序数据等。
1、选择要重定向的文件夹
根据用户和网络配置的需要,管理员可以重定向部分或全部的文件夹。
可以重定向的文件夹主要有:
(1)“我的文档”
该文件夹是用户存放文件的默认位置,保存有用户的文件和图片。
将“我的文档”重定向到网络中的服务器上,管理员可以集中管理和备份数据,同时也方便了用户在网络上访问这些数据。
(2)“开始”菜单
该文件夹中保存了“开始”菜单上的文件夹和快捷方式。
将多个用户的“开始”菜单文件夹重定向到同一个网络位置上,并只赋予用户NTFS文件系统“读取”权限,可以禁止用户修改“开始”菜单的内容,使用户的“开始”菜单标准化。
(3)桌面
该文件夹保存了用户放在桌面上的所有文件、文件夹和快捷方式。
将该文件夹重定向到网络服务器上,通过设置用户的NTFS权限,禁止用户修改桌面上的内容,实际用户桌面标准化。
(4)应用程序数据
应用程序存储的是用户相关数据,如配置文件和个人的拼写核实核实字典。
重定向到网络服务器上,可以保证用户在不同的计算机上登录都可以访问到相同的应用程序数据。
2、重定向文件夹到服务器上
管理员可以使用组策略将“我的文档”、应用程序数据、桌面和“开始”菜单文件夹重定向到服务器上。
如果需要重定向一个文件夹,可以执行以下操作:
(1)创建一个新的GPO或选择一个已经存在的GPO,然后单击“编辑”。
(2)展开“用户配置”,展开“Windows设置”,然后再展开“文件夹重定向”。
(3)右键单击需要重定向的文件夹名,单击“属性”,打开“属性”对话框,如下图所示。
(4)在“设置”列表框中选择重定向工作模式,然后在“目标文件夹位置”文本框中输入目标文件的位置和路径。
其中在“目标”选项卡中的选项有:
①设置
◆默认选择为:
未被配置。
◆基本:
为每个人的文件夹重定向到同一个位置。
◆高级:
为不同的用户组指定位置。
可以使用该选项来重定向使用了该GPO的用户文件夹,并根据组成员身份来指定不同的位置。
②目标文件夹位置
如果选择“基本”,会出现该选项。
该选项把所有的文件夹重定向到同一个位置上,并可以把一个UNC路径名指定到这个新位置。
创建以用户的登录名命名的目标文件夹的方式为:
在根路径中输入:
\\server_name\share_name\%username%。
③安全组成员身份
如果选择“高级”,会出现该选项。
该选项可以为不同的安全组指定位置。
在这里会显示安全组和重定向文件夹的路径。
其中在“设置”选项卡中的选项有:
①授予用户对“我的文档”的独占权限:
默认情况下启用,该设置保证只有用户和系统对该文件夹享有权利。
管理员无权访问文件夹。
②将“我的文档”的内容移到新位置:
默认情况下启用,该设置将在下一次应用组策略时把文件夹的内容移到新位置。
如果该复选框被清除,文件夹会被重定向,但是文件夹的内容留在原来位置上。
③策略删除:
其中有两个选项:
◆策略被删除时,将文件留在新位置
◆删除策略时将文件夹移回本地用户配置文件位置
④“图片收藏”首选项:
其中有两个选项:
◆将“图片收藏”设为“我的文档”中的一个子文件夹
◆不要指定“图片收藏”的管理策略
根据屏幕提示即可完成文件夹的重定向。
五、部署软件
管理员可以使用组策略的组件“软件安装和维护”为用户和计算机部署软件。
部署软件可以确保网络中的任何一台计算机或一个用户在登录网络时都可以访问到所需要的软件。
从用户的角度来看,软件总是存在并可用的。
管理员可以预先为用户安装好软件,也可以由用户在需要时选择安装软件。
1、部署新的应用程序
在网络中部署新的应用程序的步骤包括获得软件包,把软件包和相关文件放到网络上的共享文件夹中,然后在一个或多个GPO内指定部署选项。
要部署一个新的应用程序,可以执行以下步骤:
(1)创建或获得一个“Windows安装服务程序包”文件。
该软件包应该是.msi文件。
(2)把软件包文件和所有相关的安装文件都放到一个共享文件夹中。
(3)在“管理工具”菜单上打开“ActiveDirectory用户和计算机”。
(4)打开将要应该软件部署的容器对象的“属性”对话框,单击“组策略”选项卡,然后单击“编辑”。
(5)在新组策略窗口,展开“计算机配置”或“用户配置”,可以分别对计算机和用户配置软件部署。
(6)展开“软件设置”,右击“软件安装”,指向“新建”,然后单击“程序包”。
(7)出现“打开”对话框,找到软件包文件,然后单击“打开”。
注意:
此处选择的路径应为网络路径,否则可能造成软件部署失败。
(8)在“部署软件”对话框内,选择一个部署方法,其中包括:
已发布、已指派、高级。
然后单击“确定”。
(9)管理员还可以在已发布的软件的“属性”中进行详细的设置。
注意:
在部署软件时,管理员可以把软件包指派给用户或计算机。
当把应用软件指派给用户时,用户登录后程序就会被公布,就是说程序会出现在用户的开始菜单上,但是只有当用户单击“开始”菜单中的图标或双击与该应用程序关联的文件时,才会安装该程序。
当把应用程序指派给计算机时,不会公布任何东西,计算机在下一次启动时将自动安装该软件。
2、发布软件包
当一个软件包被放置在共享文件夹时,它既没有被安装也没有被公布。
但是软件已经被准备好了,用户可以采用两种方法来安装它:
使用“添加/删除程序”或者使用“调用文档”。
(1)使用“添加/删除程序”来安装程序
当用户单击“控制面板”中的“添加/删除程序”图标时,打开“添加/删除程序”窗口,选择“添加新程序”图标,就会出现用户可使用的软件列表。
用户就可以选择一个程序然后单击“安装”来安装该程序。
管理员可以在服务器上建立共享文件夹,把安装文件放在共享文件夹中,以使用户连接网络并能够自己安装软件。
(2)使用“调用文档”来安装程序
在使用Windows2000专业版以上的操作系统的计算机中,如果用户双击一个未知的文件类型时,计算机会进行以下操作:
①计算机发给ActiveDirectory一条查询,查看是否有与该文件扩展名相关联的应用程序。
②如果ActiveDirectory含有这样的应用程序,计算机将核实这个应用程序是否已经发布给用户。
③如果该程序已经发布给用户,计算机将核实程序是否被设置为“用文件扩展名自动激活安装该程序”,该设置允许通过“调用文档”来自动安装应用程序。
④如果管理员已经把该程序设置为自动安装,那么就会安装该程序。
六、管理软件
为了保证客户端的计算机中使用最新版本的软件,对软件升级的功能非常重要。
通过强制升级或可选升级的部署,保证软件的安装总是最新版本的。
1、部署强制升级
强制升级会使系统自动用程序的升级版本取代旧版本。
如果用户现在使用的是程序的1.0版本,那么这个版本会被删除,取而代之的是该程序的更高版本。
(演示操作过程)
2、重新部署软件
在WindowsServer2003中部署ServicePack和软件补丁十分方便。
当管理员把一个软件包文件标识为重新部署时,系统会把该应用程序重新发布给每一个有权访问该程序的用户,并使用与原来相同的方法来重新部署该程序。
根据原来部署该软件包时所用的方法,会发生以下三种情况之一:
◆如果应用程序已经发布并且已经被安装,那么用户下一次登录时,“开始”菜单、桌面快捷方式和与该程序相关的注册表设置会被升级。
用户第一次启动该程序时,会自动应用ServicePack或软件补丁。
◆如果应用程序是被指派给用户的,那么用户下一次登录时,“开始”菜单、桌面快捷方式和与该程序相关的注册表设置会被升级。
用户第一次启动该程序时,会自动应用ServicePack或软件补丁。
◆如果应用程序是被指派给计算机的,那么在计算机下一次启动时,会自动应用ServicePack或软件补丁,而不需要激活该应用程序。
(演示操作过程)
3、删除软件
可以使用“强制删除”和“可选删除”来删除不再需要的软件。
(1)强制删除
使用“强制删除”可以立即卸载该软件。
在下一次打开计算机或用户登录时。
软件会被自动删除。
软件删除发生在桌面出现之前。
(2)可选删除
允许用户继续使用软件,但禁止新的安装。
执行“可选删除”后,软件并没有真的被删除。
如果用户已经安装了该软件,那么该软件可以继续使用。
但是,新用户不能再安装该程序。
如果用户删除了该程序,同样也不能够再重新安装。
(演示删除的操作过程)
七、案例分析
某公司创建了域,域中的所有用户账户都在employee组织单位或manager组织单位中,为了确保所有用户桌面上都有相应的应用程序,例如,已经安装了OFFICE等软件,应该怎样配置组策略,使用户在登陆到网络时能自动完成应用软件的安装?
小结:
对课堂教学内容和教学情况做一个小结。
作业:
(1)利用组策略管理计算机有哪些优点?
(2)什么是安全模板,有什么作用?
(3)重定向文件夹有什么作用?
(4)部署软件有什么作用?
(5)什么是“强制删除”?
(6)在组策略编辑器中,在“计算机配置”和“用户配置”部署软件有什么不同?
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第11讲 组策略与组策略应用 11 策略 应用