AD中的组策略-课件·PPT
第3章域和组策略精品PPT课件
2020/10/14
工程技术部 鄢创辉 版权所有 谢绝盗版
3、活动目录的好处
降低总体拥有成本
这些成本包括维护的成本、培训的成本、技术 支持成本及相应的升级成本。
一次登录即能访问所有的资源
每个用户只要在登录一次提供用户信息,就可 以访问网络中所有该用户有权限访问的资源。
2020/10/14
工程技术部 鄢创辉 版权所有 谢绝盗版
2020/10/14
工程技术部 鄢创辉 版权所有 谢绝盗版
2、活动目录的特点(续)
集中管理和分散管理的相结合;
利用活动目录工具能够对活动目录中的资源进行统一管 理,如统一执行组策略等。也可以根据不同用户的需要 进行分散的管理,如为不同的组织单位执行不同的组策 略。
资源的分级管理。
通过登录认证和目录中对象的访问控制,安全性和活动 目录紧密地集成在一起。管理员能够管理整个网络的目 录数据,并且可以授权用户能够访问网络上任何位置的 资源及权限。
Windows Server 2000 相对于NT4.0而言最重要的改变 是增加了活动目录(AD),AD也是Windows 2000最主要 的特性。 Windows Server 2003仍然提供了对AD的支持。
从字面上看,活动目录由“活动”和“目录”两部分组成。 “活动”是用来修饰“目录”,其核心是“目录”两个字; 目录代表的是目录服务(Directory Service)。
4、Active Directory 的逻辑架构
活动目录的逻辑结构可以公司的组织机构框 图结合起来,通过对资源进行逻辑组织,使 用户可以通过名称而不是通过物理位置来查 找资源,并且使网络的物理结构对用户来说 是透明的。
活动目录的逻辑结构包括:
域(Domain)、域树(Domain Tree)、 域目录林(Forest 森林 林)和组织单位 (Organization Unit)。
AD组策略
2. 策略的结果集(正在记录日志)
利用“策略的结果集(正在记录日志)”工具可以 模拟用户帐号在指定的计算机上登录时的组策略 结果集 在“AD用户和计算机”控制台下的计算机和 用户对象的右键快捷菜单中都可以看到“策略的 结果集(正在记录日志)”工具!
使用GPMC
组策略的DACL
默认的组策略的DACL的组帐号有: Authenticated User(验证用户组) Creator Owner(创建拥有者组) Domain Admins(域管理员组) Enterprise Adminis(企业管理员组) Enterprise Domain Controllers(企业域管理员组) System(系统组)
GPT
GPT用来存储GPO的配置值与相关文件,它是一个文件 夹,而且是被建立在域控制器的%systemroot%\SYSVOL\sysvol\ 域名称\Policies文件夹。系统利用GPO的GUID作为GPT的 文件夹名称.用来提供所有的组策略设置和信息,包括管理 模板,安全性,软件安装,脚本,文件夹重定向设置等.当创建一 个GPO时,Windows Server 2003创建相应的GPT.客户端计 算机能够接受组策略的配置就是因为它们和DC的SYSVOL 文件夹链接,获得并应用这些设置!
AD组策略
主讲:郭伟
组策略是Microsoft从Windows 2000 Server开 始提供的功能,并在Windows Server 2003中继续应 用与推广. Windows 2000 Server以前的版本如 WindowsNT4.0与WindowsNT3.51中是基于用户与 用户组对网络进行管理,功能比较0以后版本的操作系统 有效,并不适用于早期的Windows操作系统,如 Windows NT和Windows9X
第11章AD中的用户和组及授权的策略
设置和管理用户和组
11-1概述
• 活动目录—一种目录服务
– 保存和维护网络资源所需的数据
• 用户帐号:登录域/本地机 • 组帐号:用户帐号的集合
11-2介绍用户帐号和组
用户 组 共享资源
Permissions
• • • •
为每个人创建一个唯一登录的用户帐号 利用批处理成批创建用户帐号 利用组来管理用户对共享资源的访问 将组加入组来减少管理工作量
可加入
作用范围 权限范围
混合模式 只能访问自己的域
域本地组所在的域 加入 全局组 加入
域本地组
域本地组
域
使用通用组
Universal Group Rules
通用组
成员
从多层域加入
混合模式: 不可使用 本机模式: 目录林中的任何域的 用户、全局组、其它通用组
可加入 作用范围 权限范围
11-3用户登录名
• 每个用户帐号
– 用户主要名UPN – 2003以前版本的用户登录名
介绍用户登录名
User
Principal Name
用户主要名称UPN 后缀默认为根域,但林管理员可改变 利于域间移动;同EMAIL地址格式 用户登录名(2003以前版本) 登录时,用户需选择域 用户登录名唯一性原则
Active Directory Users and 打开并管理 DenverDOM2154.msft Accounting 打印机队列 Builtin Computers Domain Controllers DENVER2154 Users
移动 DENVER2154 1 objects 连接 Name DENVER2154 Apple Printer 打开
AD-组策略分析
提升服务、力争优秀
组策略分类
组策略中包含“计算机配置(computer configuration)”与“用户配置(user configuration)” 两部分: Ø 计算机配置当启动计算机时,系统就会根据“计算机配置”的内容来配置计算 机 的环境。举例来说,如果针对域配置了组策略,那么此组策略内的“计 算 机配置”就会被应用到此域内的所有计算机。 Ø 用户配置当用户登录时,系统就会根据“用户配置”的内容来配置用户的工作 环 境。举例来说,如果针对“业务部”OU设定了组策略,那么此组策略内的“用 户 配置”就会被应用到此OU内的所有用户。 除了可以针对站点、域与OU来设定组策略之外,还可以针对每一台计算机 配置“本地计算机策略(local computer policy)”,这个计算机策略只会应 用到本地计算机以及在此计算机登录的所有用户。
提升服务、力争优秀
用户配置的启用时间 域内的用户会在以下情况中启用GPO内的用户配置值: Ø 用户登录时自动启用。 Ø 即使用户不注销、登录,系统默认每隔90~120分钟自动启用。而且不论策略配 置值 是否有变动,系统仍然会每隔16小时自动启用一次。 Ø 手动启用。执行“开始”→“所有程序”→“附件”→“命令提示符”命令, 然后 运行以下命令: gpupdate /target:user /force
AD-组策略
继承Sales_OU的组策略
继承域的组策略
教员演示操作过程
7
累加
容器的多个组策略设置如果不冲突,则最终有效策略是 所有组策略设置的总和 容器的多个组策略设置如果冲突,则后应用的组策略覆 盖先应用的组策略
组策略设置 是否冲突 OU的有效设置
IE主页设置为 阻止更改墙纸
12
组策略应用
组策略应用-文件夹生定向
方案一:定向到用户主目录 1)服务器上新建共享文件夹并设置权限EVERYONE完全控制; 2)AD中将用户配置文件指向\\IP\\共享文件夹\用户名; 3)组策略中设置文件夹重定向到用户主目录; 方案二:定向到一根文件夹 1)同上; 2)组策略中设置文件夹重定向至根路径下:\\IP\\共享文件夹( 高级-添加用户组,以组为单位来重定向) 注:此条可以重定向用户、组,重定向的内容有我的文档、桌面 、开始菜单、APPLICATION DATA。
推行公司使用计算机的规范
桌面环境规范 安全策略
组策略适用的操作系统
2
组策略的结构3-1
组策略的具体设置数据保存在GPO中 默认GPO
默认域策略
Байду номын сангаас组策略
默认域控制器策略
GPO所链接的对象
SDOU
GPO
GPO控制
用户和计算机
SDOU 计算机 用户
3
计算机配置与用户配置2-1
计算机配置
策略
软件设置 Windows设置 管理模板
域:IE主页设置为 否 OU:已启用“阻止更改墙纸” 域:已启用“阻止更改墙纸” 是 OU:已禁用“阻止更改墙纸”
可以更改墙纸
教员演示操作过程
8
常用AD组策略设置
常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:AD域控制器:Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图):可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是:copy bssec.scr c:\windows\system32即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):屏保设置完毕。
AD_05_组策略(2)
实验:软件分发
TOP:
域控制器
域
利用GPO可以实现为域内的用户和计算机部署软件。
软件部署的好处有:自动安装、自动修复 、自动升 级 、远程删除
软件部署有“指派”和“发布”两种形式 软件部署的步骤一般为:建立软件分发点、指派软件 & 发布软件、使用组策略部署软件包、设置软件安装 默认值。 通过修改部署的软件可以实现用户有选择的安装使用 软件。
第五章
组策略的应用(二)
————软件分发
内容回顾
组策略是一组策略的集合,应用组策略,管理员可以很方
便的管理Active Directory中的计算机和用户
组策略的设置数据皆保存在GPO中,GPO链接至SDOU 管理员可以为一个SDOU新建、添加、编辑和删除GPO
子容器会继承来自上层容器的GPO,可以利用阻止策略继承
用Dfs创建单一共享点,可以冗余和平衡负载
防止别人浏览分布点的文件,可以使用隐含共享
为应用程序创建.MSI包及并放在共享文件夹下
使用组策略部署软件包
部署软件包
为用户或计算机建立/编辑 GPO来部署软件包 选择要部署的软件包 选择部署方式:发布、指派、或配置包属性配置软件包属性ຫໍສະໝຸດ 项部署类型部署选项
安装选项
• •
指派给用户
不会自动安装软件 只安装软件相关的部分信息,如快捷方式 何时自动安装?
开始运行此软件 利用“文件启动功能”(可识别图标)
发布软件
不能将软件发布给计算机 将软件发布到用户
不会自动安装软件 何时自动安装 “控制面版”->“添加删除程序”->“添加程序” 利用“文件启动功能”(未知图标)
windows服务器管理09AD组策略
统的计算机
windows服务器管理09AD组策略
组策略结构
• 组策略的设置数据都保存在GPO中
• GPO链接至SDOU
组策略
(Site、Domain、Organized Unit)
• GPO管理SDOU中的计算机和用户 GPO
p 自动安装 p 自动修复 p 自动升级 p 远程删除
• 软件分发的方式
p 发布给用户 p 指派给用户 p 指派给计算机
• 使用软件分发必须具备的条件
windows服务器管理09AD组策略
部署软件的组策略
4
2
5
1 36
7
windows服务器管理09AD组策略
发布软件
12
3
5
6 4
windows服务器管理09AD组策略
windows服务器管理 09AD组策略
2020/11/2
windows服务器管理09AD组策略
《Windows 2000/2003网络及 服务器管理》课程内容
• 第1章 配置DHCP服务器 • 第2章 配置DNS服务器 • 第3章 使用IIS搭建Web服务器 • 第4章 使用IIS搭建FTP服务器 • 第5章 安装和配置WINS服务器 • 第6章 配置路由和NAT问服务器 • 第7章 Active Directory服务 • 第8章 Active Directory用户与组管理 • 第9章 应用组策略 • 第10章 配置Windows终端服务器
windows服务器管理09AD组策略
组策略
• 组策略
Group Policy 管理计算机和用户 管理用户的工作环境、执行的脚本、软件安装等 应用于 域(Domain)和组织单位(OU) 只对Windows 2000以后的操作系统有效
AD-组策略
提升服务、力争优秀
提升服务、力争优秀
Ø 利用组策略
假设您要设置上海的系统管理员,该用户账户位于“上 海系统管理员”OU内,那 么,可以通过此OU内的GPO来设置,在“组策略编辑 器”对话框中, 双击“‘组策略’域控制器选择”,然后在如图所示对 话框中选择域控制器。
提升服务、力争优秀
提升服务、力争优秀
AD--组策略
提升服务、力争优秀
大纲
组策略概述 组策略的处理规则 组策略的委派管理
提升服务、力争优秀
一组策略概述
组策略提供的功能
组策略分类 组策略对象
组策略应用时间
提升服务、力争优秀
组策略提供的功能
组策略是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境, 也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理 负担。 组策略所提供的功能如下所示: Ø 账户策略的设定例如设定用户密码的长度、密码使用期限、账户锁定策略等。 Ø 本地策略的设定例如审核策略的设定、用户权限的指派、安全性的设定。 Ø 脚本(scripts)的设定例如登录/注销、启动/关机脚本的设定。 Ø 用户工作环境的设定例如隐藏用户桌面上所有的图标,删除“开始”菜单中的“运 行”/“搜索”/“关机”等功能,在“开始”菜单中添加“注销”的功能等。 Ø 软件的安装与删除用户登录或计算机启动时,自动为用户安装应用软件、自动修 复应用软件或自动删除应用软件。 Ø 限制软件的运行通过各种不同软件限制的规则,来限制域用户只能运行某些软 件。 Ø 文件夹转移例如改变“我的文档”、“开始菜单”等文件夹的存储位置。 Ø 其他系统设定例如让所有的计算机都自动信任指定的CA(Certificate Authority)
7.在AD中实现组策略
管理模板
查看计算机配置
用户配置
用户配置:只针对该策略所连接的对象范围中的 用户配置 只针对该策略所连接的对象范围中的 所有用户生效, 所有用户生效,即连接到此对象的用户在任何 一台计算机上登录, 一台计算机上登录,都会受到该策略的影响
软件设置 Windows设置 Windows设置
Page 10/38
组策略对象GPO 组策略对象
组策略对象的内容具体存储在GPC和GPT中 和 组策略对象的内容具体存储在 中 GPC(组策略容器)与GPT(组策略模板) (组策略容器) (组策略模板)
GPC:GPC包含的 : 包含的GPO状态和版本信息,非DC每次 状态和版本信息, 包含的 状态和版本信息 每次 登陆到域时,会根据GPC查询 查询GPO状态的可用性和所 登陆到域时,会根据 查询 状态的可用性和所 对应的最新版本以及GPT位置;域控制器也会在一定 位置; 对应的最新版本以及 位置 时间内获取最新的GPC版本信息 时间内获取最新的 版本信息 GPT:GPT在域控制器的共享系统(SYSVOL)中, 在域控制器的共享系统( : 在域控制器的共享系统 ) 用来提供所有的组策略设置和信息,包括安全性设置、 用来提供所有的组策略设置和信息,包括安全性设置、 软件分发、安装等具体设置,比如每次非DC在登录到 软件分发、安装等具体设置,比如每次非 在登录到 域时,都会应用对应GPT里所包含的策略设置 域时,都会应用对应 里所包含的策略设置
Page 25/38
验证继承
组策略应用顺序
本地组策略对象
每台运行 Windows XP/2000/2003 的计算机都有一个 本地组策略对象, 本地组策略对象,本地组策略应用工作组环境下 打开本地GPO的2种方法 打开本地 的 种方法
AD中的组策略
用户只能运行应用程序(V2.0)
41
布置一个可选升级
用户正在运行应用程序(V1.0)
应用程序(V2.0)被布置为可选 升级
用户可以继续使用V1.0,也可选 择升级到2.0
42
操作方法
1.
2.
在原有的软件包基础上再部署一个升级版 的软件包 右击低版本的软件包——属性——升级— —选择高版本的软件包——添加——选择 GPO——选择升级的程序包——选择升级 类别(可选升级和强制升级)——确定
15
组策略的继承与处理规则
组策略配置具有继承性:
子容器继承父容器的策略配置;也可以通过“阻止策略继承”来阻止继承 子容器策略配置可以覆盖继承下来的配置值 组策略配置具有累加性
组策略处理规则:
当域、站点、“OU”之间的GPO发生冲突时,处理顺序 组策略实施的三个层次:SITE,DOMAIN,OU
准备
软件包
分发
安装软件
删除
软件删除
19
维护
软件升级
组策略及软件安装概述
软件管理将实现
域/OU中的计算机/用户 自动安装、升级或删除软件
过程:
预备:Msi、mst、zap文件 布置:设置组策略,启动/登录/激活 维护:升级、重新布置 删除:启动/登录时自动删除
20
组策略及软件安装概述
Assigning在计算机配置里
计算机一启动成功软件就安装,自动完 整安装修复,对DC无效
33
指派--------------------用户
将软件指派给用户
当将一个软件通过组策略的GPO指派给域内的 用户后,该软件不会自动安装到用户的计算机内 ,用户需要通过以下两种方式来安装:
组策略培训课程(PPT 81张)
往往并不会立即读取到此策略。为了使设置的组
策略能够在某台计算机上生效,必须利用以下3 种方式之一来达到目的。
8.2.2 测试“在本地登录”策略是否正 常
一、使组策略生效 1. 运行命令: Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police 2. 重新启动/注销计算机
组策略可以针对站点、域和组织单位设置。 这些组策略的数据存储在活动目录内(域控制器 “ %systemroot%\SYSVOL\sysvol\ 域 名
\Policies”目录下)。
8.1.1 组策略简介
计 算 机 配 置 : 当 计 算 机 启 动 时 , 就会 根 据
“计算机配置”的内容来设置计算机的环境。针
组策略
主要内容
8.1 组策略概述 8.2 组策略对象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序
8.1 组 策 略 概 述
组策略就是修改注册表中的配置。
组策略使用自己更完善的管理组织方法,可 以对各种对象中的设置进行管理和配置,远比手 工修改注册表方便、灵活,功能也更加强大。
8.1.4 组策略和AD
GPO是一种与域、地址或组织单元相联系的物理策
略 , GPO 包括文件和 AD 对象,要充分发挥 GPO 的功 能,需要有AD域架构的支持,利用 AD可以定义一个
集中的策略,所有的Windows Server 2003服务器和
工作站都可以采用它。
访问本地GPO的方法: 1. MS-DOS命令窗口:gpedit.msc
目录内,只针对本地计算机和本地用户。
AD域管理解决方案ppt课件
• 利用文件启动功能(document activation)
;.
11
将软件分配给计算机
当将一个软件通过组策略分配给域内的成员计算机后,这些计算机启动 时就会自动安装这个软件,而且任何用户登录都可以使用此软件。
;.
12
将软件发布给用户
通过这种方式将软件发布给域内用户,此软件不会自动安装到用户的计 算机内。 用户利用以下两种方式安装软件:
下面的组策略任务可以独立委派:
• 创建 GPOs • 编辑 GPOs
• 为站点、域、OU管理GPO链接
• 执行组策略建模分析
• 读取组策略结果集
• 创建WMI 过滤器
;.
9
➢ 软件部署概述
✓ 将软件分配给用户 ✓ 将软件分配给计算机 ✓ 将软件分布给用户
;.
10
将软件分配给用户
当将一个软件通过组策略分配给域内用户后,用户在域内的任何一台计 算机登录时,这个软件都会被通告(advertised)给该用户。但是此 软件并没有完全安装,而只是安装了与软件相关的部分信息,如快捷方 式。
;.
25
Active Directory管理应用前后对比
对比内容 操作系统安装 软件安装
无域 光盘、U盘 拷贝到本地安装
用户数据保护(桌面、我 的文档)
无,或用户自己备份
有域 光盘、U盘、网络部署 网络分发,网络共享安装
有,系统自动备份到服务器
文自己联网安装
;.
15
什么是共享文件夹? • 共享文件夹是授予网络访问它们的内容的文件夹
• 文件夹可以共享,但单个文件不能 • 使用UNC路径访问共享文件夹:
AD域用户常用组策略设置
AD域用户经常使用组战略设置之巴公井开创作通过AD共享创立域用户个人共享数据盘第一步:创立共享文件夹-userdisk第二步:创立用户登岸时,在共享userdisk目录下个人文件夹组战略在域组战略下,viewuser组下创立GPO域组战略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步:创立用户登岸时,挂载共享userdisk目录下个人文件夹组战略域组战略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面布景图第一步:将桌面布景图放到共享目录下第二步:创立用户登录后修改桌面布景组战略域组战略-用户配置-战略-管理模板-桌面-桌面-启用Active Desktop 域组战略-用户配置-战略-管理模板-桌面-桌面-桌面壁纸启用设置用户登岸后自动修改时间格式为yyyy-mm-dd第一步:做修改时间格式为yyyy-mm-dd批处置新建记事本文件data-扩展名改成bat输入:@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步:创立用户登岸时自动运行批处置组战略域组战略-用户配置-战略-Windows设置已经要放在这个组战略对应User\Scripts\Logon 再点击添加点击浏览时间:二O二一年七月二十九日时间:二O二一年七月二十九日时间:二O二一年七月二十九日。
AD域用户常用组策略设置
AD域用户经常使用组战略设置之邯郸勺丸创作通过AD同享创建域用户团体同享数据盘第一步:创建同享文件夹-userdisk第二步:创建用户登陆时,在同享userdisk目录下团体文件夹组战略在域组战略下,viewuser组下创建GPO域组战略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步:创建用户登陆时,挂载同享userdisk目录下团体文件夹组战略域组战略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面布景图第一步:将桌面布景图放到同享目录下第二步:创建用户登录后修改桌面布景组战略域组战略-用户配置-战略-办理模板-桌面-桌面-启用Active Desktop 域组战略-用户配置-战略-办理模板-桌面-桌面-桌面壁纸启用设置用户登陆后自动修改时间格局为yyyy-mm-dd第一步:做修改时间格局为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入:@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步:创建用户登陆时自动运行批处理组战略域组战略-用户配置-战略-Windows设置已经要放在这个组战略对应User\Scripts\Logon 再点击添加点击浏览时间:二O二一年七月二十九日时间:二O二一年七月二十九日时间:二O二一年七月二十九日。