某地区活动扩展及战略管理知识分析

组策略和慢速网络连接
❖组策略能够接受慢速连接 ❖组策略使用一种运算法则来
确定连接是否为慢速 ❖组策略给客户端扩展设定标
志指出是慢速连接
解决组策略间的冲突
❖ 除非组策略设置冲突，否则所有的组策略设置都将被执 行
❖ 如果发生冲突，默认的是执行最新的设置 来自父容器的GPO设置和来自子容器的GPO设置冲突 时，子容器的设置后执行并发挥作用 当连接到同一容器上的不同的 GPO 的设置发生冲突 时，在容器属性对话框中 GPO列表中最高位置的 GPO 的设置后执行并发挥作用
计算机设置HKEY_LOCAL_MACHINE 用户设置HKEY_CURRENT_USER ❖ 如果 GPO不再使用，将删除组策略 ❖ Windows 2003 将同时实现组策略和本地预设注册设置，除 非两者之间存在着冲突
计算机如何实现管理模版设置
当客户计算机启动的时候，他重新获得GPO列表并应用 ，使用户登录 客户计算机连接到验证DC的 SYSVOL文件夹上，然后确 定Registry.pol 文件的位置 客户计算机把 Registry.pol 文件中的注册设置和设置 值写到适当的子目录树下(HKLM and HKCU)
❖ 文件夹中的数据集中存储，因此文件夹中的文件 将更便于管理和备份
❖ 减少网络通信，网络通信只在用户访问文件时才 出现
❖ 文件不在客户计算机上保存
选择需要重定向的文件夹
文件夹
内容
重定向到服务器的原因
我的文档 用户个人的数据
用户可以从任何计算机上访问数据，这些 数据可以集中地管理和备份
开始菜单
开始菜单中的文件夹和 快捷方式
明确拒绝申请对组策略的许可 忽略一验证过的申请组策略许可
课堂讨论：改变组策略的继承性
确定网络中具备以下条件：
在域中的所有计算上安装防病毒程序 除了工资部门的用户外所有域中的计算机
必须安装微软的办公套件 除了工资部门的管理员的计算机外工资部
门的所有计算机都必须安装系列商务说明 应用程序
如何配置 GPO来满足上述条件?
❖ 当用户设置和计算机设置发生冲突时，忽略用户设置而 执行计算机设置
课堂讨论：如何执行组策略设置
GPO1 确保“Favorites”出现在 “start”菜单中的组策略设置
GPO2 and GPO3 要求输入一个 至少含有11个字符的密码的组 策略设置和从开始菜单中移去 windows更新图标的组策略设置
禁闭用户访问网络资源的设置
利用组策略禁闭用户访问网络资源的设置
隐藏桌面上“ My Network Places”图标 删除 “Map Network Drive” 和
“Disconnect Network Drive” 工具菜单: 禁用internet选项
禁闭用户访问管理工具和应用程序的设置
计算机和用户的组策略设置
❖ 计算机的组策略设置: 计算机的组策略设置指定操作系统行为，桌面行为，安全性设置 ，计算机的启动和关机命令，计算机赋予的应用程序选项以及应 用程序设置 计算机相关的组策略应用在操作系统初始化和周期性更新循环过 程中
❖ 用户的组策略设置: 用户的组策略设置指定特定的操作系统行为，桌面行为，安全性 设置，赋予的和公布的应用程序选项，应用程序设置，文件夹得 重定向选项以及用户登录和退出登录命令 用户相关的组策略应用在用户登录计算机和周期性更新循环的过 程中
❖ 制定管理GPO的域控制器: 使用在组策略快照中的查看菜单下的 DC 选项命令 在组策略设置中指定使用什么域控制器
如何在活动目录中应用组策略设置
❖组策略是如何处理的 ❖控制组策略的处理 ❖组策略和慢速网络连接 ❖解决组策略间的冲突
组策略生效时机
计算机启动
计算机设置应用 启动脚本运行
用户登录
当用户启动计算机，进行登录时: a. Startup scripts run b. Logon scripts run
当用户退出，关闭计算机时: a. Logoff scripts run b. Shutdown scripts run
利用组策略重定向文件夹
❖ 不管用户从什么客户机上登录，都可以访问文件 夹中的数据
❖ 允许用户或小组创建GPO，通过如下方式: 将用户或小组添加到组策略创建拥有者小组
❖ 允许用户编辑GPO，通过以下方式: 赋予用户该 GPO的读写权限 将用户标注为域管理员，企业管理员或 GPO 创建拥有 者小组 通过使用 GPO 属性对话框中的安全性表来保证用户访 问GPO
监控组策略
通过以下方法可以监控组策略: ❖启用事件日志的诊断记录
用户设置生效 登录脚本应用
控制组策略的处理
❖ 同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步
❖ 在特定的时间间隔内刷新组策略: 域环境中的非域控制器计算机每隔90分钟就会刷新策略，有随 机的延迟。 域控制器每5 分钟刷新一次
❖ 未发生变更的组策略设置的处理 可以配置每一个客户端扩展用于处理所有可用的组策略设置
用户“start”菜单是标准化的
桌面
桌面上所有的文件，文 用户具有相同的桌面，不管用户从什么计
件夹和快捷方式
算机上登录
应用程序数据
由应用程序存储的具体 用户的数据
利用组策略禁闭用户访问管理工具和应用程序的设置
从开始菜单中删除“Search”菜单 从开始菜单中删除“Run” 菜单 禁用任务管理器 只运行允许的 Windows应用程序 从开始菜单中删除“Documents” 菜单 禁用对工具栏和开始菜单设置的修改 隐藏开始菜单中普通程序组
组策略中的回环处理模式设置
学习目标
❖ 在完成本章的学习后，您将能够： ❖ 共同组策略集中管理网络
课程安排
1. 组策略结构 2. 组策略创建管理 3. 利用组策略管理用户桌面 4. 利用组策略发布软件
介绍组策略
❖ 通过使用组策略，可以:
可以进行集中化或分散式策略 确保用户有适合完成他们工作的环境 降低控制用户和计算机环境的总费用 推行公司策略
处理组策略对象
❖创建已连接的组策略目标 ❖创建未连接的组策略目标 ❖连接一已存在的组策略目标 ❖指定管理组策略目标的域控制器
创建已连接的组策略目标
❖ 为了把组策略应用到容器上, 首先要创 建连接到容器的GPO:
使用“ Active Directory Users and Computers”创建连接到域和OU的GPO
使组策略在事件薄中产生具体事件
❖启用详细记录
详细记录将记录所有的变更和应用到 本地计算机和登录计算机的用户设置
详细记录将添加详细记录的注册关键 词
最佳实践
限制使用阻止，不重写，筛选 GPO限制 限制影响任一计算机或用户的 GPO 数目 在单个 GPO中与设置相关的组 把对 GPO 的管理控制权委派给其他一个或两个用户 避免把 GPO连接到包含多个域的站点上 在执行 GPO之前要进行计划和测试
使用“ Active Directory Sites and Services”创 建连接到站点的GPO
创建未连接的组策略目标
连接一已存在的组策略目标
指定管理组策略目标的域控制器
❖ 当创建一新的GPO或编辑一已存在的GPO时，默认的，具有PDC 操作主控的域控制器将执行该操作
❖ 制定管理 GPO 的域控制器的可选项包括: 操作主控遵循PDC竞争原则 使用活动目录插件的形式 使用任何可能得域控制器
可使用者
禁闭桌面的设置
利用组策略设置禁闭桌面环境
隐藏桌面上所有的图标 在退出时不保存设置 隐藏我的电脑下具体指定的驱动器 从开始菜单中删除“run”菜单 禁止用户运行控制面板中的显示功能 使与“ Windows Update”的连接无效并删除这种
连接 使工具栏和开始菜单设置的修改无效 使关闭命令无效或删除改命令
管理用户环境简介
❖管理用户环境控制用户有哪些权利 ❖使用组策略设置来控制用户环境 ❖通过在容器上应用组策略来立即为新用户或计算机指定
用户环境 ❖集中配置和管理用户环境
加强标准配置 确保用户有他们自己的桌面和个人数据 组装用户桌面 确保用户环境安全
什么是管理模版
❖ 管理模版设置修改控制用户环境的注册设置 ❖ 设置在注册子目录树下修改注册设置
修改GPO的DACL使得工资管理员使 用的计算机说明拒绝申请组策略许 可
Sales
Payroll
Training
委派组策略的管理控制
❖ 允许一用Leabharlann 管理一站点，域或OU的组策略连接，通过如 下方式: 赋予用户站点，域或OU的GPOPtions属性的读写权限 使用委派控制向导
网络连接和拨号连接的属性
打印机设置，可以是打印机自动公布在活动目录中 ，并使基于网络的的打印无效 用户可以从开始菜单中访问的功能部件。可以把开 始菜单设置为只读方式，这样可以防止用户修改。 活动桌面。通过隐藏某些桌面图标并控制用户对文 件夹的使用，可以控制用户对网络的访问 控制面板上的一些应用程序。包括限制对添加/删 除程序，显示和打印机的使用
现 “Favorites”不出现在“start”菜单中
GPO1 Site
Domain
GPO2 GPO3
GPO4
OU
修改组策略的应用选项
❖允许阻止继承 ❖允许不重写 ❖筛选组策略设置 ❖课堂讨论：改变组策略的继承性
组策略的继承性
❖ Windows 2003按照一定的顺序应用GPO 设置
❖ 子容器继承父容器的GPO 设置
可以把用户管理模版设置应用到计算机上 对于指定具体任务的计算机是非常有用的 可以被设置为替换模式或合并模式
在组策略中分配脚本
❖组策略脚本设置允许你 :
组策略脚本设置可以集中配置脚本，在计算机 启动，关闭，用户登录，退出时自动运行
管理和配置用户环境
用组策略实现脚本设置的过程
Windows 2003 按从上到下的顺序处理脚本
GPO4 从开始菜单中移去 “Favorites”图标并添加 “Windows Update” 图标
在 OU中用户对象的最终组策略 设置是什么?
GPO1 Site
Domain
GPO2 GPO3
GPO4
OU
课堂讨论：如何执行组策略设置
在 OU中用户对象的最终组策略 设置是什么?
用户密码至少11 个子符长 Windows更新图标在“start”菜单中出
在注册设置实施后，将出现登录对话框或显示桌面
管理模版设置类型
设置类型 Windows
组件 系统
网络
打印机 开始菜单 和工具栏
桌面
控制面板
控制
用户何以访问的 Windows 2003 及其工具和组件部分 ，包括控制用户对 MMC的访问 登录，退出过程。利用系统设置，可以管理组策略 ，更新区间，启用磁盘限额和实现回环处理等
Sales
Payroll
Training
课堂讨论：改变组策略的继承性
如何配置 GPO来满足上述条 件?
创建一连接到域的安装防病毒程序 的GPO，将该连接设置为不重写
创建可连接另一个域的GPO来安装 办公套件
在工资部门，允许阻止继承
创建和连接到工资部门的GPO在客 户机上来安装说明应用程序
组策略结构
❖组策略设置的类型 ❖组策略的目标 ❖针对计算机和用户的组策略设置 ❖组策略目标和活动目录容器
组策略设置的类型
组策略对象
❖ 组策略对象
包含组策略的设置 组件被存储在两个不同的场所
❖ 组策略容器
被定位在活动目录中 提供域控制器所需的版本信息
❖ 组策略模版
域控制器上到GPT的的路径是：systemroot\SYSVOL\sysvol 运行Windows 2000的客户机获得或应用的组策略设置
允许阻止继承
❖阻止继承:
阻止子容器从所有父容器处继承任一个GPO 无法选择阻止哪个GPO 不能阻止不重写选项
使用“禁止替代”选项
❖ 禁止替代选项：
可以优先于拒绝继承和下层的策略冲突而生效 应当在活动目录服务数型结构的上层 应用到它链接的范围内的 用来强化公司的管理策略
筛选组策略设置
❖筛选组策略设置:
组策略对象和活动目录容器
❖ 在将GPO和站点，域或组织单元链接后。GPO的设置将应用在站点 ，域或组织单元的用户和计算机上 可以将 GPO 和多个站点，域以及组织单元链接 也可以将多个 GPOs和单个站点，域以及组织单元链接
❖ 管理员不能将 GPOs 和默认的活动目录容器——计算机，用户和 builtin相连