活动目录管理及维护-第三章组策略应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
理论部分
课程回顾
•添加额外域控制器有什么好处? 添加额外域控制器需要满足哪些条件?
•如何添加额外域控制器?
技能展示
理解组策略的概念
•创建组策略
理解计算机配置和用户配置的区别掌握组策略的应用规则
组策略概念
I
、
组策略对象概念
I
创建组策略
1
U 建组策略
| 策略继承与阻止 ] 策略累加型突 ]
官策略应用规心 |策麟制纹 | 筛选
I
软件分发
I
本章结构 组策略应用
I
•组策略
-一组策略的集合
-用来统一修改系统、设置程序
设置桌面环境1-^-1
>71.
女至以直自动
执行脚本 ,软件分
发
•组策略的优点
-减小管理成本
-只需设置一次,相应的计算机或用户即可应用-减小用户单独配置错误的可能性
-可以针对特定对象设置特定的策略
-用户
.计算机
组策略对象
• GPO ( Group Policy Object)的概念-存储组策略的所有配置信息
—AD中的一种特殊对
象
•默认GP。
-默认域策略
-默认域控制器策略• GPO链接
-只能链接到站点、域、
*1?
B 兴卜5” ccr»
TZ I DMtfdt ?。1 技
y
S iij Dm.m = a
a id人争即
矿-ms
B 团HH®
JJ D-fx-alt Derain Ccc.troll.rx Tolicj (jf 以
点、Dgin Fdicy
S J nllWWw
9 3 SltfUt 彻
虫站点
t匝烈銓榜
U
______________________________________________L
■ .冋
X1 二ia j
bcne com中的组策略对关内召
|签塩|
计算机配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置
。控制面板设置
计算机配置只针对容器中的计算机生效
用户配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置
。控制面板设置
计算机配置和用户配置2-1
用户配置只针对容器中的用
户生效
案例:组策略的简单应用
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中
•需求描述
-销售部员工使用统一的桌面背景,禁止更改桌面背景
•实现思路
-创建并链接GPO
-配置组策略
1!
-用户配置-策略-管理模板-桌面-桌面
小结
•请思考
-使用组策略有什么好处? -GPO可以链接到哪些对象?
计算机配置和用户配置有什么区别?
—使用什么命令可以刷新组策略使其立即生效?
•策略继承与阻止
-下级容器可以继承或阻止应用其上级容器的
GPO设置
•策略累加与冲突
-多个GPO设置可以累加或发生)中突被覆盖•策略强制生效
使下级容器强制执行其上级容器的GPO设置•筛选
-阻止一个容器内的用户或计算机应用其GPO设
置
策略继承与阻止
•下级容器默认会继承来自上级容器的GPO 子容器可以阻止继承上级容器的G P0
—右击魚组宙路萸RB I卜幺快承
志又件伊)掬TOO s§(v)窗口0)戒助oo
I _|g| '-I
坦洒治理
、\、林.bsot. C^ri
(3紗
[d,bwn«t. ccn
* Dtf&nlt D
稍售部
此列瘀包括任佛脇到芯点的物。有关更多详细信!?,苗单击"奈助”" Policy
D OB »a a Conir all arv
人事浏工程却
-行晩J
:一財和
E =
R allp^D cr_S41es
'[壬襲驚义北京一
F 下、m (SiSH ffi 言
Starter 时。
m甬站点
r:组語珞丑很
丄翁苗瑁作军
继承默认域策略
2J
策略累加与冲突
•如果多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加
如果多个组策略设置冲突,则后应用的组策略覆盖先应用的组策略
组策略设置是否冲突OU的有效设置域:已启用"从桌面删除回收站厂
0U :已启用"阻止更改墙纸" 否元緬删除回收站
阻止更改墙纸
域:已禁用"阻止更改墙纸"
0U1已启用"阻止更改墙纸" 是阻止更改墙纸
组策略应用顺序
•组策略应用顺序:LSDOU
-首先应用本地组策略
-如果有站点组策略,则应用
-接着应用域策略
-最后应用0U上的策略
-如果同一个OU上链接了多个GPO ,则按照链接顺序从高到低逐个应用