4、组策略

4.1.1 组策略的功能
• • • • • • • •
账户策略的设定 （设定用户密码的长度、密码使用期限、账户锁定策略等） 本地策略的设定 （审核策略的设定、用户权限的指派、安全性的设定） 脚本的设定 （登录/注销、启动/关机脚本的设定） 用户工作环境的设定 （隐藏桌面上的图标，修改开始菜单） 软件的安装与删除 （用户登录或计算机启动时，自动为用户安装应用软件） 限制软件的运行 （通过规则限制域用户只能运行某些软件） 文件夹转移 （改变“我的文档”等文件加的存储位置） 其他系统设定 （所有计算机都自动信任指定的CA）
组策略包含
• 计算机配置： 当启动计算机时，系统就会
根据“计算机配置”的内容来配置计算机 的环境。
• 用户配置： 当用户登录时，系统就会根据
“用户配置”的内容来配置用户的工作环 境。
4.1.2 组策略对象
组策略是通过“组策略对象（GPO）” 来设定的，只要将GPO链接到指定的站点、 域或OU，该GPO内的设定值就影响到该站 点、域或OU内的所有用户与计算机。 GPO的内容被分为GPC与GPT两个部分， 并且分别存储到不同的地方。
策略，而且通过默认的Default Domain Policy GPO来配置。 • 如果针对某个OU来配置账户策略，则这个 账户策略只会被应用到位于此OU的计算机 内的本机用户账户而已，但是对位于此OU 内的域用户账户却没有影响。
4.4.2 账户策略
• 密码策略 • 账户锁定策略
4.4.3 用户权限分配策略
• • • • • •
4.4.1 管理模板策略
• 限制用户只可以运行指定的程序 • 隐藏控制面板的图标 • 禁用Ctrl+Alt+Del组合键后出现的对话框中
的选项 • 隐藏桌面的图标 • 限制使用IE浏览器的部分功能 • 删除“开始”菜单中的“关机”图标
4.4.2 账户策略
• 对于域用户，在整个域只可以有一个账户
计算机配置的启用时间
• 计算机开机时自动启用 • 即使不重新开机，系统仍然会每隔一段时
间自动启用：
域控制器：默认每隔5分钟自动启用 非域控制器：默认每隔90—120分钟自动启用 不论策略配置值是否变动，系统仍然每隔16个小时自动启 用
• 手动： gpupdate /target:computer /force
实例二：用户配置（禁止使用“最近打开的 文档记录”选项）
4.3 组策略的处理规则
域控制器与域内计算机在处理、应用组 策略时，有一定的程序与规则，只有详细 了解这些程序与规则，才能充分的通过组 策略来管理用户与计算机的环境。
4.3.1 一般的继承与处理规则
继承性的处理规则：
• 如果父容器的某个策略被配置，但其子容器的策略未被配置，则子容器的这 • • • • • •
其中的“拒绝本地登录”权限优先于 “允许本地登录”权限。
4.4.4 安全选项策略
4.4.5 登录/注销、启动/关机脚本
我们可以设置几个脚本文件在用户登录 /注销或计算机启动/关机时自动运行。
4.4.6 文件夹重定向
我们可以利用组策略对以下特殊文件夹 的存储位置重新定位：
• Application Data：包含用户在应用程序内的专属数据 • 桌面：包含用户在桌面上自行创建的文件夹、文件、快捷 • •
内建的GPO
• Default Domain Ploicy： 此GPO已经被链接
到域，因此它的设定值会影响到整个域内 的所有用户与计算机。 • Default Domain Controller Ploicy： 此GPO 已经被连接到Domain Controllers OU，因 此它的设定值被应用到域控制器组织单位 内的所有用户与计算机。
个策略将继承父容器的配置值。 如果子容器内的某个策略被配置，则此配置会覆盖由其父容器所传递下来的 配置值。 组策略的配置是有累加性的。 系统处理GPO的优先顺序是：站点GPO、域GPO、OU的GPO。 系统是先处理“计算机配置”，再处理“用户配置”。但是大部分情况下以 “计算机配置”优先。 如果多个GPO链接到同一个OU，那么所有GPOde配置被累加起来，作为最后 的有效配置值。如果相互冲突时，将以排在前面的GPO配置为优先。 “本地计算机策略”的优先级最低。
4.3.2 例外的继承配置
• 阻止策略继承 • 强制策略继承 • 过滤组策略配置
4.3.3 禁用GPO
• 整个GPO的禁用： 选择 • “计算机配置”或“用户配置”单独禁用：
属性
4.4 利用组策略来管理用户环境
我们将通过在GPO内的以下几个项目来说明如 何管理用户环境： 管理模板策略 账户策略 用户权限分配策略 安全选项主讲：丁文
本讲主要内容
• 组策略概论 • 组策略实例演练 • 组策略处理规则 • 利用组策略管理用户环境 • 组策的委派管理
4.1 组策略概论
组策略是一个管理用户工作环境的技术， 通过它可以确保用户拥有所需的工作环境， 也可以通过它来限制用户，这不仅让用户 拥有适当的环境，也减轻了管理员的管理 负担。
•
GPT
• GPT： 用来存储GPO的配置值与相关文件，
它是一个文件夹，而且是被建立在域控制 器的%systemroot%\SYSVOL\sysvol\域名 称\Policies文件夹。系统利用GPO的GUID作 为GPT的文件夹名称。
4.1.3 组策略的应用时机
当修改了站点、域或OU的GPO配置后， 这些配置不是立刻就对站点、域或OU内的 用户与计算机有效，而是必须等它们应用 到用户或计算机后才有效。
用户配置的启用时间
• 用户登录时自动启用 • 即使用户不注销、登录，系统默认每隔
90—120分钟自动启用；而且不论策略配置 值是否有变动，系统仍然会每隔16小时自 动启用一次。 • 手动： gpupdate /target:user /force
4.2 组策略实例
实例一：计算机配置（用户账户登录）
GPC
• GPC 被存储在Active Directory数据库内，它记载
GPO的属性与版本等数据，域内的计算机可以通 过数据来得知GPT的存储地址，而域控制器可以 利用版本资料来判断其所安装的GPO是否为最新 的版本，以使作为是否需要从其他域控制器复制 最新的GPO的依据。 查看GPC：“开始—管理工具—Active Directory 用户和计算机—查看—高级—选择域—展开 System容器—Policies”
方式 我的文档：用于存储用户个人文件的文件夹 [开始]菜单：用于存储用户个人的“开始”菜单的文件夹、 快捷方式
4.5 组策略的委派管理
我们可以将GPO的链接、添加与编辑等 工作，分派给不同的用户负责，以分散、 减轻GPO的管理负担。 我们可以通过使用“控制委派向导”来 完成这个任务。