windows2008_域管理3組策略應(yīng)用

1、組策略應(yīng)用組策略應(yīng)用域、樹、林之間是什么關(guān)系？域、樹、林之間是什么關(guān)系？如何將一臺計算機安裝成域控制器？如何將一臺計算機安裝成域控制器？本地域組的特點是什么？本地域組的特點是什么？全局組的特點是什么？全局組的特點是什么？如何實現(xiàn)如何實現(xiàn)OU的委派功能？的委派功能？理解組策略的作用理解組策略的作用理解組策略的應(yīng)用順序理解組策略的應(yīng)用順序會配置組策略的繼承會配置組策略的繼承會配置組策略的強制生效會配置組策略的強制生效會配置組策略實現(xiàn)軟件分發(fā)會配置組策略實現(xiàn)軟件分發(fā) 組策略的概念組策略的概念軟件分發(fā)軟件分發(fā)組策略的作用組策略的作用分發(fā)軟件分發(fā)軟件修復軟件修復軟件組策略結(jié)構(gòu)組策略結(jié)構(gòu)刪除軟件刪除軟件計

2、算機計算機/用戶配置用戶配置組策略組策略組策略應(yīng)用規(guī)則組策略應(yīng)用規(guī)則繼承與阻止繼承繼承與阻止繼承累加累加應(yīng)用順序應(yīng)用順序強制生效強制生效篩選篩選升級軟件升級軟件組策略簡單應(yīng)用組策略簡單應(yīng)用方便管理方便管理AD中用戶和計算機的工作環(huán)境中用戶和計算機的工作環(huán)境用戶桌面環(huán)境用戶桌面環(huán)境計算機啟動計算機啟動/關(guān)機與用戶登錄關(guān)機與用戶登錄/注銷時所執(zhí)行的腳本文件注銷時所執(zhí)行的腳本文件軟件分發(fā)軟件分發(fā)安全設(shè)置安全設(shè)置通過組策略可以通過組策略可以對域設(shè)置組策略影響整個域的工作環(huán)境，對對域設(shè)置組策略影響整個域的工作環(huán)境，對OU設(shè)置組設(shè)置組策略影響本策略影響本OU下的工作環(huán)境下的工作環(huán)境降低布置用戶和計算機環(huán)境

3、的總費用降低布置用戶和計算機環(huán)境的總費用p只須設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置只須設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置p減少用戶不正確配置環(huán)境的可能性減少用戶不正確配置環(huán)境的可能性推行公司使用計算機的規(guī)范推行公司使用計算機的規(guī)范p桌面環(huán)境規(guī)范桌面環(huán)境規(guī)范p安全策略安全策略組策略適用的操作系統(tǒng)組策略適用的操作系統(tǒng)組策略的具體設(shè)置數(shù)據(jù)保存在組策略的具體設(shè)置數(shù)據(jù)保存在GPO中中 默認默認GPO 默認域策略默認域策略 默認域控制器策略默認域控制器策略 GPO所鏈接的對象所鏈接的對象 SDOUGPO控制控制 用戶和計算機用戶和計算機組策略組策略GPOSDOU計算機計算機用

4、戶用戶站點的概念站點的概念 活動目錄中的站點是從物理上抽象的概念活動目錄中的站點是從物理上抽象的概念 由一個或幾個通過高速鏈路連接在一起的由一個或幾個通過高速鏈路連接在一起的IP子網(wǎng)組成子網(wǎng)組成站點和域的關(guān)系站點和域的關(guān)系一個站點中可以有多個域一個站點中可以有多個域 一個域中可以有多個站點一個域中可以有多個站點站點的主要作用站點的主要作用 優(yōu)化復制優(yōu)化復制使用戶能夠使用可靠、高速的連接登錄到域控制器上使用戶能夠使用可靠、高速的連接登錄到域控制器上 GPC（組策略容器）與（組策略容器）與GPT（組策略模板）（組策略模板） GPC：GPC是包含是包含GPO屬性和版本信息的活動目錄對屬性和版本信息的

5、活動目錄對象象 GPT：GPT在域控制器的共享系統(tǒng)卷（在域控制器的共享系統(tǒng)卷（SYSVOL）中，）中，是一種文件夾層次結(jié)構(gòu)是一種文件夾層次結(jié)構(gòu)計算機配置計算機配置策略策略p軟件設(shè)置軟件設(shè)置pWindows設(shè)置設(shè)置p管理模板管理模板首選項首選項pWindows設(shè)置設(shè)置p控制面板設(shè)置控制面板設(shè)置用戶配置用戶配置策略策略p軟件設(shè)置軟件設(shè)置pWindows設(shè)置設(shè)置p管理模板管理模板首選項首選項pWindows設(shè)置設(shè)置p控制面板設(shè)置控制面板設(shè)置需求：需求：公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進行管理，銷售部員工的用戶公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進行管理，銷售部員工的用戶賬戶都位于銷售部賬戶都位于銷售部_OU中，現(xiàn)要求銷售部的員

6、工禁止中，現(xiàn)要求銷售部的員工禁止使用控制面板使用控制面板實現(xiàn)思路：實現(xiàn)思路：創(chuàng)建并鏈接組策略創(chuàng)建并鏈接組策略配置組策略配置組策略p用戶配置用戶配置策略策略管理模板管理模板控制面板控制面板禁止訪問禁止訪問“控制面板控制面板”請思考：請思考：組策略能夠鏈接在哪些對象上？組策略能夠鏈接在哪些對象上？請舉一個組策略應(yīng)用的實例。請舉一個組策略應(yīng)用的實例。繼承與阻止繼承繼承與阻止繼承 累加累加 應(yīng)用順序應(yīng)用順序 強制生效強制生效 篩選篩選在默認情況下，下層容器會繼承來自上層容器的在默認情況下，下層容器會繼承來自上層容器的GPO子容器可以阻止繼承上級的組策略子容器可以阻止繼承上級的組策略右擊容器右擊容器阻止

7、繼承阻止繼承繼承繼承test的組策略的組策略繼承域的組策略繼承域的組策略容器的多個組策略設(shè)置如果不沖突，則最終有效策略是容器的多個組策略設(shè)置如果不沖突，則最終有效策略是所有組策略設(shè)置的總和所有組策略設(shè)置的總和容器的多個組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆容器的多個組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略蓋先應(yīng)用的組策略組策略設(shè)置組策略設(shè)置是否沖突是否沖突OU的有效設(shè)置的有效設(shè)置域：域：IE主頁設(shè)置為主頁設(shè)置為http:/www.ABCOU：已啟用：已啟用“阻止更改墻紙阻止更改墻紙”否否IE主頁設(shè)置為主頁設(shè)置為http:/www.ABC阻止更改墻紙阻止更改墻紙域：已啟用域：已啟用

8、“阻止更改墻紙阻止更改墻紙”O(jiān)U：已禁用：已禁用“阻止更改墻紙阻止更改墻紙”是是可以更改墻紙可以更改墻紙組策略按以下順序被應(yīng)用：組策略按以下順序被應(yīng)用： LSDOU首先應(yīng)用本地組策略對象首先應(yīng)用本地組策略對象如果有站點組策略對象，則應(yīng)用之如果有站點組策略對象，則應(yīng)用之然后應(yīng)用域組策略對象然后應(yīng)用域組策略對象如果計算機或用戶屬于某個如果計算機或用戶屬于某個OU，則應(yīng)用，則應(yīng)用OU上的組策上的組策略對象略對象如果計算機或用戶屬于某個如果計算機或用戶屬于某個OU的子的子OU，則應(yīng)用子，則應(yīng)用子OU上的組策略對象上的組策略對象如果同一個容器下鏈接了多個組策略對象，則按照策如果同一個容器下鏈接了多個組策

9、略對象，則按照策略優(yōu)先級從大到小逐個應(yīng)用略優(yōu)先級從大到小逐個應(yīng)用強制生效是上級容器強制下級容器執(zhí)行其強制生效是上級容器強制下級容器執(zhí)行其GPO設(shè)設(shè)置置強制的強制的請思考：請思考：如果如果OU上的組策略設(shè)置與域上的組策略設(shè)置沖突，上的組策略設(shè)置與域上的組策略設(shè)置沖突，OU的有效策略是什么？的有效策略是什么？如果如果OU上的組策略設(shè)置與域上的組策略設(shè)置不沖突，上的組策略設(shè)置與域上的組策略設(shè)置不沖突，OU的有效策略是什么？的有效策略是什么？組策略的應(yīng)用順序是什么？組策略的應(yīng)用順序是什么？分發(fā)軟件分發(fā)軟件 修復軟件修復軟件刪除軟件刪除軟件 升級軟件升級軟件 分發(fā)軟件的步驟分發(fā)軟件的步驟 獲取獲取Win

10、dows安裝程序包文件；該軟件包包含一安裝程序包文件；該軟件包包含一個個.msi文件以及必要的相關(guān)安裝文件文件以及必要的相關(guān)安裝文件將軟件安裝文件放到一個軟件分發(fā)點將軟件安裝文件放到一個軟件分發(fā)點創(chuàng)建或修改創(chuàng)建或修改GPO分配與發(fā)布的區(qū)別分配與發(fā)布的區(qū)別分配：分配到用戶或計算機分配：分配到用戶或計算機發(fā)布：發(fā)布給用戶發(fā)布：發(fā)布給用戶分配比發(fā)布更具強制性分配比發(fā)布更具強制性用戶的軟件發(fā)生文件丟失或損壞時，自動重新復制用戶的軟件發(fā)生文件丟失或損壞時，自動重新復制正確的文件來修復正確的文件來修復如果原來軟件分發(fā)點上的安裝文件發(fā)生丟失或損壞如果原來軟件分發(fā)點上的安裝文件發(fā)生丟失或損壞在服務(wù)器上修復該軟

11、件的源文件在服務(wù)器上修復該軟件的源文件重新部署一次重新部署一次不再需要分發(fā)的軟件，可以在不再需要分發(fā)的軟件，可以在GPO中刪除軟件中刪除軟件設(shè)置設(shè)置 下一次用戶和計算機登錄或啟動時，軟件會被強制刪下一次用戶和計算機登錄或啟動時，軟件會被強制刪除除用戶和計算機仍可繼續(xù)執(zhí)行使用軟件，但不允許重新用戶和計算機仍可繼續(xù)執(zhí)行使用軟件，但不允許重新安裝安裝 強制升級強制升級強制用戶將當前軟件升強制用戶將當前軟件升級到新的版本級到新的版本可選升級可選升級允許用戶同時使用一個允許用戶同時使用一個應(yīng)用程序的兩個版本應(yīng)用程序的兩個版本 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有多

12、個賬，域中有多個賬戶戶ms1、ms2和計算機賬戶和計算機賬戶C1，如何使域中所有，如何使域中所有用戶使用統(tǒng)一的桌面背景？用戶使用統(tǒng)一的桌面背景？ 實現(xiàn)思路：實現(xiàn)思路：利用組策略統(tǒng)一桌面背景利用組策略統(tǒng)一桌面背景準備桌面背景圖片準備桌面背景圖片規(guī)劃桌面背景圖片的保存位置并共享規(guī)劃桌面背景圖片的保存位置并共享注意共享權(quán)限與注意共享權(quán)限與NTFS權(quán)限權(quán)限學員練習：學員練習：在在DC上共享文件夾并設(shè)置共享權(quán)限與上共享文件夾并設(shè)置共享權(quán)限與NTFS權(quán)限權(quán)限將背景圖片保存至共享文件夾將背景圖片保存至共享文件夾在在DC上創(chuàng)建并鏈接組策略上創(chuàng)建并鏈接組策略配置組策略配置組策略刷新組策略刷新組策略驗證組策略的應(yīng)

13、用結(jié)果驗證組策略的應(yīng)用結(jié)果 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有組織單，域中有組織單位位Sales_OU，該組織單位中有多個賬戶和計算機賬戶，該組織單位中有多個賬戶和計算機賬戶，所有的策略為默認狀態(tài)，現(xiàn)在需要：所有的策略為默認狀態(tài)，現(xiàn)在需要：p所有計算機在關(guān)閉時會顯示所有計算機在關(guān)閉時會顯示“關(guān)閉事件跟蹤程序關(guān)閉事件跟蹤程序”p所有經(jīng)典開始菜單的用戶不顯示所有經(jīng)典開始菜單的用戶不顯示“注銷注銷”p所有所有Sales_OU中使用經(jīng)典開始菜單的用戶顯示中使用經(jīng)典開始菜單的用戶顯示“注銷注銷”實現(xiàn)思路：實現(xiàn)思路：在域的組策略上設(shè)置在域的組策略上設(shè)置“關(guān)閉事件跟

14、蹤程序關(guān)閉事件跟蹤程序”在域組策略和在域組策略和OU組策略上對同一策略做不同設(shè)置組策略上對同一策略做不同設(shè)置驗證效果驗證效果學員練習：學員練習：分別設(shè)置組策略分別設(shè)置組策略驗證組策略的繼承與生效順序驗證組策略的繼承與生效順序需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域ABC.com，域中有多個，域中有多個用戶賬戶用戶賬戶ms1、ms2和計算機賬戶和計算機賬戶C1，現(xiàn)要將，現(xiàn)要將ocs分發(fā)給所有域用戶分發(fā)給所有域用戶 實現(xiàn)思路：實現(xiàn)思路：利用組策略實現(xiàn)軟件的分發(fā)與升級利用組策略實現(xiàn)軟件的分發(fā)與升級準備軟件的準備軟件的.msi安裝包安裝包規(guī)劃安裝包的保存位置并共享規(guī)劃安裝包的保存位置并共享注