活动目录管理及维护-第三章组策略应用

理论部分

课程回顾

•添加额外域控制器有什么好处? 添加额外域控制器需要满足哪些条件?

•如何添加额外域控制器？

技能展示

理解组策略的概念

•创建组策略

理解计算机配置和用户配置的区别掌握组策略的应用规则

组策略概念

I

、

组策略对象概念

I

创建组策略

1

U 建组策略

| 策略继承与阻止 ] 策略累加型突 ]

官策略应用规心 |策麟制纹 | 筛选

I

软件分发

I

本章结构 组策略应用

I

•组策略

-一组策略的集合

-用来统一修改系统、设置程序

设置桌面环境1-^-1

>71.

女至以直自动

执行脚本 ,软件分

发

•组策略的优点

-减小管理成本

-只需设置一次，相应的计算机或用户即可应用-减小用户单独配置错误的可能性

-可以针对特定对象设置特定的策略

-用户

.计算机

组策略对象

• GPO ( Group Policy Object)的概念-存储组策略的所有配置信息

—AD中的一种特殊对

象

•默认GP。

-默认域策略

-默认域控制器策略• GPO链接

-只能链接到站点、域、

*1?

B 兴卜5” ccr»

TZ I DMtfdt ?。1 技

y

S iij Dm.m = a

a id人争即

矿-ms

B 团HH®

JJ D-fx-alt Derain Ccc.troll.rx Tolicj (jf 以

点、Dgin Fdicy

S J nllWWw

9 3 SltfUt 彻

虫站点

t匝烈銓榜

U

______________________________________________L

■ .冋

X1 二ia j

bcne com中的组策略对关内召

|签塩|

计算机配置

-策略

.软件设置

•Windows 设置

.管理模板

首选项

•Windows 设置

。控制面板设置

计算机配置只针对容器中的计算机生效

用户配置

-策略

.软件设置

•Windows 设置

.管理模板

首选项

•Windows 设置

。控制面板设置

计算机配置和用户配置2-1

用户配置只针对容器中的用

户生效

案例：组策略的简单应用

•实验环境

-已部署Windows Server 2008 域

-销售部员工用户位于0U "销售部〃中

•需求描述

-销售部员工使用统一的桌面背景，禁止更改桌面背景

•实现思路

-创建并链接GPO

-配置组策略

1!

-用户配置-策略-管理模板-桌面-桌面

小结

•请思考

-使用组策略有什么好处? -GPO可以链接到哪些对象?

计算机配置和用户配置有什么区别？

—使用什么命令可以刷新组策略使其立即生效?

•策略继承与阻止

-下级容器可以继承或阻止应用其上级容器的

GPO设置

•策略累加与冲突

-多个GPO设置可以累加或发生）中突被覆盖•策略强制生效

使下级容器强制执行其上级容器的GPO设置•筛选

-阻止一个容器内的用户或计算机应用其GPO设

置

策略继承与阻止

•下级容器默认会继承来自上级容器的GPO 子容器可以阻止继承上级容器的G P0

—右击魚组宙路萸RB I卜幺快承

志又件伊）掬TOO s§（v）窗口0）戒助oo

I _|g| '-I

坦洒治理

、\、林.bsot. C^ri

(3紗

[d，bwn«t. ccn

* Dtf&nlt D

稍售部

此列瘀包括任佛脇到芯点的物。有关更多详细信!？，苗单击"奈助”" Policy

D OB »a a Conir all arv

人事浏工程却

-行晩J

:一財和

E =

R allp^D cr_S41es

'［壬襲驚义北京一

F 下、m （SiSH ffi 言

Starter 时。

m甬站点

r：组語珞丑很

丄翁苗瑁作军

继承默认域策略

2J

策略累加与冲突

•如果多个组策略设置不冲突，则最终的有效策略是所有组策略设置的累加

如果多个组策略设置冲突，则后应用的组策略覆盖先应用的组策略

组策略设置是否冲突OU的有效设置域：已启用"从桌面删除回收站厂

0U :已启用"阻止更改墙纸" 否元緬删除回收站

阻止更改墙纸

域：已禁用"阻止更改墙纸"

0U1已启用"阻止更改墙纸" 是阻止更改墙纸

组策略应用顺序

•组策略应用顺序:LSDOU

-首先应用本地组策略

-如果有站点组策略，则应用

-接着应用域策略

-最后应用0U上的策略

-如果同一个OU上链接了多个GPO ,则按照链接顺序从高到低逐个应用