Windows Server 2012 活动目录项目式教程项目18 通过组策略限制计算机无法使用系统的部分功能

我问你答
(1) 请解释一下计算机策略所应用的范围？
(2) 组策略没有进行刷新组策略的情况下多久生效？ (3) 针对业务部OU用户进行限制使用计算机策略进行限 制能否生效？ (4) 请解释一下计算机策略具体的作用？
项目实训题
通过组策略限制计算机无法使用USB存储设备，并
截取实验结果。
GPO3 Domain
OU
OU
OU
OU GPO4
OU
相关知识
7、组策略的继承性和应用顺序？
GPO1
本地
GPO2 站点
GPO3
GPO4 域 GPO5 OU
OU
OU
项目分析
本任务公司考虑仅禁止员工在客户 机上使用移动存储设备，可以考虑 在域级别修改【Default Domain Policy】组策略，在计算机策略中 禁止使用可移动存储设备。这样员 工即使插入可移动设备也无法被域 客户机识别。
相关知识
GPO1
本地
GPO2 站点
GPO3
GPO4 域 GPO5 OU
OU
OU
ቤተ መጻሕፍቲ ባይዱ
相关知识 3、组策略的功能？
* 通过在站点或域级别为整个组织设置组 策略来集中管理，或在组织单元的级别为 每个部门部署组策略的分散组策略设置。 * 确保用户有适合完成他们工作的环境。 可以确保用户通过组策略设置控制注册表 的应用和系统设置，修改计算机和用户环 境的脚本、自动软件安装以及本地计算机、 域和网络的安全设置，还可以控制用户数 据文件的存储位置。
相关知识 3、组策略的功能？
* 降低控制用户和计算机环境的总费用，从而可 以减少用户需要的技术支持级别和由于用户错 误而引起的生产损失。例如，通过组策略可以 阻止用户对系统设置做出让计算机无法正常工 作的修改，同时还可以阻止用户安装他们不需 要的软件。 * 推行公司策略，包括商业准则、目标和保密需 求。例如，可以确保所有用户的保密需求和公 司保密需求一致，或所有用户有一套特定安装 需求。
相关知识
4、组策略的结构？
•软件设置/安装 •管理模板 •安全性 •脚本 •IE界面 •文件夹重定向 •首选项
相关知识 5、计算机策略与用户策略？
（1）计算机的组策略在系统重新启动时才会被 应用（计算机注销动作无效），并每隔 90–120 分钟应用一次。 （2）用户组策略在用户注销后重新登录到域时 才会被应用，并每隔 90–120 分钟应用一次。
相关知识
6、组策略对象和活动目录容器？
组策略容器（GPC）
• 存储在AD数据库中 • 提供组策略的版本信息
组策略对象（GPO）
• 包含组策略设置 • 在两个位置中的存储内容
组策略模板（GPT）
• 存储在SYSVOL 文件夹中 • 提供组策略设置
相关知识
GPO与活动目录容器
GPO1 Site GPO2
相关知识
1、AD管理员大量重复性的劳动
1.对所有的公司客户机部署安装一个公司内部生产系统的软件。
2.对所有的计算机都强制安装最新的微软补丁。 3.禁止生产部用户使用QQ软件。 4.允许财务部计算机安装管家婆财务管理软件。
时间、 重复性、 可复制性、 自动化操作
相关知识
2、组策略是什么？ 组策略是一种一旦定义了用户的工作 环境，就可以依赖windows 来连续推 行定义好的组策略设置的技术手段。 还可以将组策略与活动目录容器（站 点、域和OU）链接起来，如图18-1所 示，组策略会对这些容器中的所有用 户和计算机进行工作环境的统一部署 设置。
项目18 通过组策略限制计算 机无法使用系统的部分功能 （计算机策略）
课程的内容
什么是组策略
组策略的功能
组策略的结构
组策略容器与组策略模板
组策略的继承性与应用顺序 计算机组策略与用户组策略
项目背景
EDU公司基于AD管理用户和计算机，公司基于文件安
全的考虑希望限制员工使用可移动设备，避免员工通过
可移动设备拷贝公司计算机数据。