第4章利用组策略管理用户工作环境
网络操作系统
第10章 服务器性能监视的 准备
第11章 监视服务器性能 第12章 维护设备驱动程序
第13章 资源访问管理
第14章 实现打印 第15章 打印管理
第16章 磁盘管理
第17章 数据存储管理 第18章 故障恢复的管理
第18章 故障恢复的管理
为故障恢复作准备
备份数据
计划运行备份作业 恢复数据
配置“卷影副本”
网络操作系统管理——Windows Server 2003的管理
第1章 账户和资源管理介绍 第2章 管理服务器 第3章 管理用户和计算机账 户 第4章 管理组 第5章 组织单位对象的访问 管理 第6章 实现组策略 第7章 使用组策略管理用户 环境 第8章 应用管理模板和审核 策略 第9章 使用软件更新服务 管理软件
备份计划运行选项
计划选项
一次性 每天 每周 每月 在系统启动时 在登录时 空闲时
18.3.2 备份计划运行选项
执行任务
一次,在指定日期的指定时间 每天中指定的时间 每周中的指定天数中的时间 在一个月中所有指定的时间 下次系统启动时 下次作业的拥有者登录时 当系统空闲时制定了的时间数目
备份计划运行选项
改变存储卷,首先删除卷影副本
在服务器上配置卷影副本
18.5.2 在服务器上配置卷影副本
演示: 演示在服务器上配置卷影副本
卷影副本的“以前版本的客户端”
18.5.3 卷影副本的“以前版本的客户端”
服务器上的卷影副本客户端软件
%systemroot%\system32\clients\twclient\x86 目录
第18章 故障恢复的管理
为故障恢复作准备
备份数据
计划运行备份作业 恢复数据
配置“卷影副本”
使用组策略管理用户环境-精品文档
Page 15/55
文件夹重定向概述
默认情况下,“我的文档”、“开始菜单”等文件夹存储 在本地计算机内,这些文件夹都是自动生成的,它们是每 个用户帐户的用户配置文件的一部分 可以利用组策略重定向的特殊文件夹包括:
使用组策略管理 用户环境
主讲: 马永亮
maliangw
前的功能 组策略对象 使用组策略管理单元 计算机和用户的组策略设置 应用组策略的时间 使用组策略对象 创建组策略对象 链接现有组策略对象 指定管理GPO的域控制器 组策略的处理规则 组策略的继承与处理规则 处理未作更改的组策略设置 组策略和慢速网络连接
用户 用户 用户
常用的安全设置
常用的安全设置包括:
常用的桌面安全设置 常用的用户访问网络资源的安全设置 用户访问管理工具和应用程序的安全设置
Page 7/55
使用管理模板
使用组策略中管理模板的扩展选项来完成管理模板的设置 选择设置状态,通常有以下三种状态
未配置:忽略该设置,不会改变注册表设置文件内相应的值 启用:采用该设置,并改变相应的注册表设置文件 禁用:禁止采用该设置,不允许改变相应的注册表设置文件
可用于
计算机和用户 计算机和用户 计算机和用户 计算机
管理用户可以通过“开始”菜单访问的项目。 用户 管理用户对网络、Internet Explorer、我 的文档等桌面项目的操作。 管理对“控制面板”内的“添加/删除程 序”、“显示器”和“打印机”的使用。 管理发布共享文件夹、DFS根目录等。
第四讲 组策略的基本原理和使用组策略管理用户环境
随堂练习2 随堂练习
你是活动目录域的管理员。网络中 的管理员。 你是活动目录域 的管理员 只有一个域,所有域服务器安装Windows 只有一个域,所有域服务器安装 Server 2003系统。公司购买了一台新的服 系统。 系统 务器用于测试应用程序。 务器用于测试应用程序。公司的安全策略 要求半小时内三次使用错误密码登录, 要求半小时内三次使用错误密码登录,账 户将被锁定。 户将被锁定。你发现新的服务器的账户在 锁定半小时后又能登录。 锁定半小时后又能登录。你要确保公司的 安全策略,应当如何做? 安全策略,应当如何做? A. 设置“复位锁定计数”为1 B. 设置“复位锁定计数”为99999 C. 设置“账户锁定时间”为0 D. 设置“账户锁定时间”为99999
用户和计算机的配置设置
组策略用户配置: 组策略用户配置: 桌面设置 软件设置 Windows 设置 安全设置 组策略计算机配置: 组策略计算机配置: 桌面设置 软件设置 Windows 设置 安全设置
课堂练习 设置本地计算机策略设置
目的: 目的: 掌握设置本地计算机策略设置 场景: 场景: 你是Nwtraders公司的系统管理员,你希 望把策略设置部署到生产服务器上之前, 对一些本地策略设置进行测试。你需要在 你的服务器上设置一些本地计算机策略设 置,并对这些设置进行测试,以保证其正 常工作。
设置本地计算机策略设置( 课堂练习 设置本地计算机策略设置(续)
主要步骤: 主要步骤: 1.把组策略对象编辑器添加到管理控制台 把组策略对象编辑器添加到管理控制台 中. 2.用本地策略设置阻止用户关闭服务器 用本地策略设置阻止用户关闭服务器 3.测试此策略设置将阻止用户关闭服务器 测试此策略设置将阻止用户关闭服务器
组策略对象链接
CHAP用户工作环境管理PPT课件
可编辑
8
2.2 组策略
• 组策略的概念:一组配置
• 组策略是活动目录对象的一种(GPO)
• 主要用来在活动目录的环境下做网络管理的一种方法
• 组策略的功能:方便地管理AD中的计算机和用户
• 用户桌面环境
组策略
• 启动/关机登录/注销时所执行的脚本文件 • 软件分发 • 安全设置
域
活 动 目 域控制器 录
• 容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应 用的组策略
• 同一个容器上的多个GPO的处理规则
• 排在前面的优先
教师演示
可编辑
19
2.3 利用组策略管理用户工作环境
GPO1 GPO2
GPO3 GPO4
可编辑
20
2.3 利用组策略管理用户工作环境
• 筛选可以阻止一个GPO应用于容器内的特定计算机 和用户
可编辑
16
2.3 利用组策略管理用户工作环境
• 为域中所有用户设置统一的壁纸 • 更改域中所有用户的开始菜单
• 删除查找和帮助
• 重定向所有用户的“我的文档” • 禁止所有用户使用画笔
教师演示
可编辑
17
2.3 利用组策略管理用户工作环境
• 组策略的生效顺序
• LSDous
1. 首先本地组策略对象 2. 如果有站点组策略,则应用之 3. 然后应用域组策略对象 4. 如果计算机或用户属于某个OU,则应用之 5. 如果计算机或用户属于某个OU的子OU,则应用之
• 如果策略有冲突的话,后生效的策略会取代先生效的策 略
可编辑
18
2.3 利用组策略管理用户工作环境
• 组策略的应用规则
• 继承与阻止继承
网络操作系统-应用组策略配置用户工作环境
网络服务的配置与管理
项目六 安全管理 Windows server 2008
6.5 应用组策略配置用户工作环境
6.5 应用组策略配置用户工作环境
组策略的应用规则
➢ 在默认情况下,下层容器会继承来自上层容器的GPO ➢ 子容器可以阻止继承上级的组策略
– 右击容器→阻止继承
2 of 4
继承Sales_OU的组策略
继承域的组策略 Windows Server 2008
网络服务的配置与管理
Hale Waihona Puke 6.5 应用组策略配置用户工作环境
配置用户工作环境
场景1:实现“我的文档”文件夹重定向,确保用户在网络中 任意节点登陆,都可访问各自的数据,且确保不因为客户端故障导 致“我的文档”中文件丢失。
场景2:由于光驱的自动播放文件不好读取时会导致系统资源 占用甚至死机,还有些时候只是系统刚认到一个U盘就让机器中毒 了,要求实现客户端驱动器不自动播放。
场景3:限制移动磁盘使用加强企业文件安全性
3 of 4
Windows Server 2008
网络服务的配置与管理
Thanks!
网络管理实验6 利用组策略来管理用户环境
实验6 利用组策略来管理用户环境
一、实验目的:
组策略中的配置分为“计算机配置”和“用户配置”两类。
根据网络管理的需要,将分别利用组策略中“计算机配置”和“用户配置的功能特性,实现对用户环境的配置。
二、实验内容:
“组策略编辑器”窗口
设置是否启用组策略配置
“密码策略”设置窗口
“账户锁定策略”设置窗口
“用户权限分配”设置窗口
“安全选项”设置窗口
组策略中设置信息
“脚本策略”设置窗口
“登陆属性”对话框
将“登录”脚本文件login.vbs复制到文件夹内
添加脚本名称和参数
选取“我的文档”的“属性”菜单项
设置“我的文档”的重定向
退出页面
登陆页面
用户端“我的文档”被重定向后的显示。
第4章 网络用户的配置和管理
第 4 章 网络用户的配置和管理4.1 案例 9 本地用户及组的管理【案例效果】初期的JJB 总部在北京的规模并不是很大, 管理员王帅为了更好的管理每台计算机的相 关帐户信息及工作组, 并把具有相同权限的用户用统一的本地组进行管理, 以下的任务是管 理员王帅通过“工作组”的模式对计算机的管理。
工作组一般指小型的网络环境,网络结构 简单,不需要特殊的服务区角色。
在工作组模式的网络中,每台计算机都维护自己的用户帐 号信息和资源信息。
【相关知识】1.工作组的特性工作组是由一些计算机组成的一个小型网络。
在这个网络中可能包括 Windows Server 2003、 Windows 2000 Server, 也可能包括Windows XP Professional、 Windows 2000 Professional 或 Windows98 等,所有的计算机的地位都是平等的。
一个典型的工作组的组成如图 4125 所示。
在工作组中不能集中管理网络中的所有资源, 每台计算机就都要重复地去做一些管理 工作,工作组有以下特性。
(1)工作组内的每一台计算机都要维护自己的资源、日常管理工作和用户身份验证。
(2)每一台计算机都在本地存储用户帐户的信息。
(3)用户在工作组中使用本地账户登录到本地计算机,一个账户只能登录到一台计算 机中。
(4)一个工作组中的计算机的数量最好不要超过 10台计算机。
图4125 工作组示意图2.本地用户帐户在 Windows Server 2003 中,用户帐户的登录步骤是强制性的,用户都只有准确无误地 提交自己的用户名和密码才能获准使用计算机,否则无法使用计算机。
在工作组模式下的本 地身份验证的过程中,用户的 SID 通过提交用户名和密码被 Windows Server 2003 内置的 SAM(Security Account Management)数据库进行比对。
组策略
2、强制策略继承:可以在父容器内通过GPO”禁止代替”选项 强制子容器必须继承(不可覆盖)此GPO内的设定,且不论是 2、强制策略继承: 否设置了“阻止策略继承” 可以在父容器内 通过GPO”禁止 代替”选项强制 子容器必须继承 (不可覆盖)此 GPO内的设定, 且不论是否设置 了“阻止策略继 承”
小结: 作业:
但不是我们对策略配置好了,就可以马上生效,而必须等 待这个策略应用到域控制器上后,才可以使用。 2.2 用户配置: 我们利用组策略中的“用户配置”,让一个OU中的用户 在登录域后,删除”开始“菜单中的“运行”选项。 业务部——属性——组策略——按图操作
3.组策略的处理规则:
域控制器与域内的计算机在处理、应用组策略时,有一 定的程序与规则,了解他们,才可以通过组策略来管理用户 和计算机。 3.1 一般的继承与处理规则: 1、如果父容器(high-level container)的某个策略被配置, 但其子容器(low-level container)的策略未被配置,则子 将继承父的配置值。如:的GPO内的某策略已经配 置了,但OU业务部的策略还是未配置,那么OU将继承a 的策略。
4、系统是先处理“计算机配置”,再处理“用户配置”。如 果他们发生冲突时,虽然“用户配置”在后,但大部分情况 下是以”计算机配置”为先。 5、如果将多个GPO连接到同一个OU ,那么所有的GPO将进 行累加,但如果他们出现冲突,则以前面的GPO配置为优先。
注:“本地计算机的策略”优先级别最低。
3.2例外的继承配置: 1、阻止策略继承: 通过选择子容器的“阻止策略继承(Block Inheritance)” 选项来设置不继承父容器传来的GPO配置。
5、软件的安装与删除:启动计算机时,自动为用户安装应 用软件,自动修复应用软件或删除。 6、限制软件的运行:限制域用户只能运行某些软件。 7、文件夹转移:改变文件夹的存储位置 8、其他系统设定:让所有计算机自动信任指定CA
使用组策略管理用户环境
使用组策略管理用户环境组策略(Group Policy)是一种在Windows操作系统上,用于管理计算机和用户配置项的技术。
通过组策略,管理员可以集中管理计算机和用户的策略设置,以确保网络中的所有计算机和用户都符合组织的安全和管理要求。
在用户环境管理中,组策略可以用于配置用户的桌面设置、应用程序访问权限、安全设置等。
组策略提供了灵活的配置选项,可以根据不同的组织需求进行自定义设置。
以下是使用组策略管理用户环境的步骤:第一步:创建组策略对象(Group Policy Object,GPO)第二步:配置组策略设置在组策略管理器中,可以对GPO进行配置设置。
其中,用户配置和计算机配置是两个主要的部分。
在用户配置中,管理员可以对用户的桌面设置进行管理。
可以设置桌面背景、屏保、桌面图标等。
此外,还可以配置用户的Internet Explorer设置、安全选项,以及其他应用程序的访问权限等。
在计算机配置中,管理员可以对计算机的安全设置和网络连接进行管理。
可以设置密码策略、防火墙设置、文件夹和文件访问权限等。
此外,还可以配置网络设置、打印机设置等。
第三步:链接GPO到域、OU或站点创建和配置好GPO之后,需要将其链接到特定的域、OU或站点上。
通过链接,GPO才能被应用到相应的计算机和用户上。
第四步:更新组策略设置一旦将GPO链接到特定的域、OU或站点上,组策略将在下次用户登录时被自动应用。
如果需要立即应用组策略设置,可以使用命令行工具gpupdate /force。
第五步:监视和管理组策略效果在组策略管理器中,管理员可以监视和管理GPO的效果。
可以查看GPO应用情况,检查错误和警告信息,以及对GPO进行修改和删除等操作。
通过使用组策略管理用户环境,管理员可以实现以下好处:1.集中管理:通过组策略,管理员可以集中管理组织中所有计算机和用户的配置设置,提高管理效率。
无需逐个配置每台计算机或每个用户的设置。
2.统一标准:通过组策略,管理员可以定义和强制执行组织的安全和管理标准。
WINDOWS_SERVER_2003使用组策略管理用户环境
当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。
下面各例用于学习GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。
(以下各例都在组策略管理工具中完成,在上一课已经安装了GPMC.MSI这个组策略管理工具)一、强制实现域中所有用户使用统一桌面背景。
1. 实现这一策略如下图:先建立一个统一桌面背景的GPO,把它链接到域,并设置这个GPO 为强制。
2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。
图片的UNC路径是:\\Jame\公用共享\背景.jpg。
3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。
4. 取一个组策略名5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。
6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。
在右侧窗口,双击“Active Desktop墙纸”并如下设置。
(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用UNC路径)7. 把“统一背景”这个GPO链接到域:对域右击,选“链接现有GPO”。
对统一背景GPO右击,设置“强制”,使此GPO的组策略继承是强制继承,不能被阻止继承。
8. 用域用户Kaka登陆域测试一下,背景已经有图片,表示部署成功。
二、除了域管理员和委派管理员外所有域用户禁用控制面板。
1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。
对“禁用控制面板”GPO进行编辑。
第4章 利用组策略管理用户工作环境
Types of Group Policy Settings
基于注册的设定应用设置和桌面环境的设置 配置本地的计算机、域以及网络安全性设置的设置
Software Installation
软件安装、升级、卸载的集中化管理的设置
Scripts
Internet Explorer Maintenance
• 在用户登录的时候,将决定哪个用 户的GPO设置被应用
第4章 利用组策略管理用户工作环境
控制组策略的处理
• 同步和异步处理 1.默认的组策略处理是同步处理 2.可以通过使用组策略设置将默认的行为改
为异步传输 • 默认的时间间隔
1.Pro、Ser服务器成员每90分钟刷新一次 2.域控制器每5分钟刷新一次未发生变更的 • 组策略设置的处理,只处理有变更的GPO设 •置
第4章 利用组策略管理 用户工作环境
2020/11/26
第4章 利用组策略管理用户工作环境
概述
介绍组策略 组策略结构 处理组策略对象 组策略设置是如何应用在活动目录 修改组策略的继承性 组策略的委派管理控制 监控和解决组策略冲突 最佳方案
第4章 利用组策略管理用户工作环境
介绍组策略
程中。 3.通常计算机组策略在和用户组策略冲突时有优先权。
• 用户的组策略设置 1.用户的组策略设置指定特定的操作系统行为…. 2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程
中。
Users
第4章 利用组策略管理用户工作环境
组策略设置与首选项设置
• 组策略首选项的特点: 只有域内的组策略可以设置首选项 首选项设置非强制,用户可以更改 首选项可以针对单一设置项目进行过滤 首选项优先级低于策略设置 客户端需安装客户端扩展集(CSE)
基于Windows Server 2012 R2域的安全管理 任务1 应用组策略管理用户工作环境
基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统,该操作系统秉承“按需定制”的原则,可以根据需要选择安装组件。
网络中常用的基础服务以“角色”的方式体现,更多的管理任务以“功能”的方式体现。
由于系统安装的服务少,因而能够减少网络攻击面,提升网络安全。
其中的AD DS域服务是Windows网络的基础网络服务,是Windows系列应用型产品的核心平台,是用户管理、计算机管理的基础。
一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号(见表1-1)的统一的管理。
表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。
二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。
2、学院域,计算机系是域中的一个OU。
任务1 应用组策略管理用户工作环境组策略是一个能够让系统管理员充分管理用户工作环境的技术,通过它来确保用户拥有与权限相符的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
[安全管理需求]用户使用统一的方式上网,在登录、注销时使用统一脚本,普通用户在离开时可以关闭本地服务器。
为便于备份和管理,要实现文件夹的重定向,将文件目录统一放至文件服务器上。
用户登录后环境要求统一,如桌面、磁盘配额等。
为了安全起见,不允许用户私自使用移动存储介质,如USB、光盘设备。
[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器(Proxy Server)上网,代理服务器的网址为,端口号为8080,同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用,以免用户私自通过此处更改这些设置值。
2、设置计算机配置中的安全设置为计算机系中的用户user1分配可以关闭计算机(文件服务器)Server2的权限。
网络系统管理与维护作业形考网考形成性考核册-国家开放大学电大
成绩:网络系统管理与维护形成性考核册专业:学号:姓名:形考作业本门课程的形考为6次实训项目,请同学们按要求完成。
课程实训项目列表:实训1:用户工作环境管理(5学时)考核目的:掌握利用组策略管理用户工作环境的方法。
考核内容:创建活动目录和域,部署组策略,利用组策略实现桌面管理,利用组策略为用户分发软件,利用组策略保护用户帐户的安全。
考核要求:完成“用户工作环境管理”实训项目。
实训2:网络病毒防范(2学时)考核目的:掌握网络病毒防范的常用方法,能够安装和配置防病毒软件。
考核内容:通过侦听、跟踪或关闭端口等方法防范网络病毒的攻击,安装和配置一种防病毒软件。
考核要求:完成“网络病毒防范”实训项目。
实训3:防火墙与入侵检测(5学时)考核目的:能够配置防火墙和入侵检测来保护内部网络的安全。
考核内容:安装ISA Server防火墙,配置防火墙客户端,建立访问策略和发布规则控制内部网和外部网之间的访问,配置入侵检测。
考核要求:完成“防火墙与入侵检测”实训项目。
实训4:系统容错与灾难恢复(4学时)考核目的:掌握系统容错与灾难恢复的方法。
考核内容:数据的备份与还原,使用“安全模式”、“上一次正确的配置”、“目录服务还原模式”等方法恢复失效的操作系统。
考核要求:完成“系统容错与灾难恢复”实训项目。
实训5:补丁管理(3学时)考核目的:能够配置WSUS服务实现补丁的集中管理和部署。
考核内容:安装和配置WSUS服务器,配置WSUS客户端,实现补丁的管理和部署。
考核要求:完成“补丁管理”实训项目。
实训6:性能监视(3学时)考核目的:掌握常用的性能监视指标,熟练使用性能监视工具。
考核内容:配置系统监视器,配置性能日志,配置警报日志,配置任务管理器。
考核要求:。
组策略
教学过程:一、OU(组织单元)的管理1、OU的概念域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。
OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。
2、建立OU及子对象(1)注意图标。
(2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。
(3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。
实验一:OU的管理1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。
2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述1、组策略的概念(1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。
(2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。
(3)组策略配置类型有:计算机配置和用户配置。
(4)组策略分为:本地安全策略和活动目录的组策略。
本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。
2、组策略的应用顺序(1)本地组策略(2)域组策略(3)域控制器组策略(4)组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。
1、创建组策略步骤:右击-属性-“组策略”选项卡-“新建”按钮2、设置组策略步骤:右击-属性-“组策略”选项卡-“编辑”按钮3、用组策略管理用户工作环境实验二:1、教师OU的所有用户的IE浏览器的代理服务器的地址都自动设置为192.168.0.1,端口号设置为8080。
server-2019利用组策略管理用户工作环境-精选文档
User logs on
User settings applied Logon scripts run
在计算机启动的时候,将决定哪个计 算机的GPO设置被应用 在用户登录的时候,将决定哪个用户 的GPO设置被应用
控制组策略的处理
同步和异步处理 1.默认的组策略处理是同步处理 2.可以通过使用组策略设置将默认的行为 改 为异步传输 默认的时间间隔 1.Pro、Ser服务器成员每90分钟刷新一次 2.域控制器每5分钟刷新一次未发生变更 的 组策略设置的处理,只处理有变更的 GPO设 置
第四章 利用组策略管理 用户工作环境
概述
介绍组策略 组策略结构
处理组策略对象
组策略设置是如何应用在活动目录 修改组策略的继承性 组策略的委派管理控制 监控和解决组策略冲突
最佳方案
2
介绍组策略
Group Policy Site Users Domain OU Computers
Administrator Sets Group Policy Once
Windows 2019 Applies Continually
通过使用组策略,可以: 1.设置集中的和分散的管理 2.确保用户有适合完成他们工作的环境 3.降低控制用户和计算机环境的总费用,因此要减少用户需 要的技术支持的级别和由于用户的错误操作带来的损失 4.推行公司策略,包括商业准则,目标和保密需要
Users
7
组策略设置与首选项设置
组策略首选项的特点:
只有域内的组策略可以设置首选项
首选项设置非强制,用户可以更改
首选项可以针对单一设置项目进行过滤
首选项优先级低于策略设置
客户端需安装客户端扩展集(CSE)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
冲突发生时,执行哪个的原则:
• 来自母容器的GPO设置和来自子容器的 GPO设置冲突。子容器的设置后执行并发 挥作用。
• 连接到同一容器上的不同的GPO的设置发
生冲突时。在容器属性对话框中GPO列表
中最高位置的GPO的设置后执行并发挥作
用。
第4章利用组策略管理用户工作环境
课堂讨论:如何执行组策略的设置
Folder Redirection
运行特定的命令时的设置值,如关机、退出登录 管理和定制计算机的IE设置 在网络服务器上存储用户个性化文件夹的设置(重定向)
第4章利用组策略管理用户工作环境
组策略对象和活动目录容器
Domain GPO
OU
Site GPO
OU
OU
Domain
OU GPO
Site
OU GPO
• 计算机的组策略设置 1.指的是操作系统行为、桌面行为、安全性设置等等… Computers 2.计算机相关的组策略应用在操作系统初始化和周期性更新循环过
程中。 3.通常计算机组策略在和用户组策略冲突时有优先权。
• 用户的组策略设置 1.用户的组策略设置指定特定的操作系统行为…. 2.用户相关的组策略应用在用户登录计算机和周期性更新循环过程
第4章利用组策略管理用 户工作环境
2020/11/26
第4章利用组策略管理用户工作环境
概述
介绍组策略 组策略结构 处理组策略对象 组策略设置是如何应用在活动目录 修改组策略的继承性 组策略的委派管理控制 监控和解决组策略冲突 最佳方案
第4章利用组策略管理用户工作环境
介绍组策略
• 组策略是Win2008操作系统提供的一种重 要的配置管理技术,用来批量控制计算机 和用户的环境,包括控制应用程序、系统 设置和管理模板的一种机制。在AD域环境 中,通过组策略可以对计算机和用户组进 行高效集中化的管理。组策略是AD域环境 最有吸引力的基础架构应用之一,正确高 效组策略应用可以最大化提高工作效率, 节约大量时间和精力。但如果部署了不正 确的组策略,排错过程往往会使人抓狂。
Security
Types of Group Policy Settings
基于注册的设定应用设置和桌面环境的设置 配置本地的计算机、域以及网络安全性设置的设置
Software Installation
软件安装、升级、卸载的集中化管理的设置
Scripts
Internet Explorer Maintenance
第4章利用组策略管理用户工作环境
处理组策略对象
创建已连接的组策略目标 创建未连接的组策略目标 连接-已存在的组策略目标
第4章利用组策略管理用4章利用组策略管理用户工作环境
创建未连接的组策略目标
第4章利用组策略管理用户工作环境
连接-已存在的组策略目标
第4章利用组策略管理用户工作环境
第4章利用组策略管理用户工作环境
Group Policy
Site
Domain
Users
OU Computers
Administrator Sets Group Policy Once Windows 2008 Applies Continually
• 通过使用组策略,可以: 1.设置集中的和分散的管理 2.确保用户有适合完成他们工作的环境 3.降低控制用户和计算机环境的总费用,因此要减少用户需要的
子容器从母容器继承GPO 设置值
Domain
Payroll Computers Users
第4章利用组策略管理用户工作环境
解决组策略之间的冲突
策略是积累的,如果策略之间没有冲突 将全部应用 如果策略之间存在冲突,将采用最新的 设置 计算机的设置,高于用户的设置
第4章利用组策略管理用户工作环境
• GPO的设置将对站点、域或组织单位的用户和计算机产生影响
1.管理员可将GPO和多个站点、域以及组织单位连接 2.也可将多个GPO和单个站点、域以及组织单位连接
• 管理员不能将GPO和默认的活动目录容器-计算机、用户和Binltin相 连,因为他们不是OU
第4章利用组策略管理用户工作环境
计算机和用户的组策略设置
组策略设置与首选项设置
• 组策略首选项的特点: 只有域内的组策略可以设置首选项 首选项设置非强制,用户可以更改 首选项可以针对单一设置项目进行过滤 首选项优先级低于策略设置 客户端需安装客户端扩展集(CSE)
第4章利用组策略管理用户工作环境
DEMO
策略设置实战演练:计算机配置 策略设置实战演练:用户配置 首选项设置实战演练1 首选项设置实战演练2
技术支持的级别和由于用户的错误操作带来的损失 4.推行公司策略,包括商业准则,目标和保密需要
第4章利用组策略管理用户工作环境
组策略结构
组策略设置的类型 组策略的目标 针对计算机和用户的组策略设置 组策略目标和活动目录容器
第4章利用组策略管理用户工作环境
组策略设置的类型
Administrative Templates
第4章利用组策略管理用户工作环境
组策略的应用规则
一般的继承与处理规则 特殊的处理规则 特殊的处理设置 指定管理组策略目标的域控制器 更改组策略的应用间隔时间
第4章利用组策略管理用户工作环境
一般的继承与处理规则
Site
有高到底,层层应用,低级的覆盖 高级的
Domain
OU
Domain GPO
GPO1 确认收藏夹出现在开始菜单 中
GPO2 and GPO3 要求11位字符的密 码并将Update icon移除开始菜单
GPO4 从开始菜单移除收藏夹并让 update icon出现
What are the resultant Group Policy settings for the OU?
GPO1 Site
Domain
GPO2 GPO3
GPO4
OU
第4章利用组策略管理用户工作环境
中。
Users
第4章利用组策略管理用户工作环境
组策略对象
组策略容器(GPC) 组管理对象(GPO)
包含组策略设置 存储于两个不同位置
存储在活动目录数据库 提供版本信息、状态信息和相关属性信息
组策略模板(GPT)
存储在域控的sysvol共享中 存储组策略设置的地方:包括:管理模板 、脚本、软件安装、文件夹重定向等设置