組策略的創(chuàng)建和管理

1、學(xué)習(xí)情境一 Windows Server 2003 操作系統(tǒng)安裝與根底管理子情境 組策略的創(chuàng)立和管理本次課標(biāo)題授課班級授課日期計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 2021級授課地點(diǎn)授課時數(shù)多媒體教室、實(shí)訓(xùn)室年月日第周4組策略的根本概念。知識目標(biāo)2.熟悉組策略的特點(diǎn)。3.掌握組策略對象的管理。4.掌握組策略應(yīng)用。1.掌握創(chuàng)立組策略操作能力。2.掌握設(shè)置組策略操作能力。教能力目標(biāo)學(xué)目標(biāo)3.熟練掌握指派、發(fā)布應(yīng)用程序的根本操作。4.熟練掌握利用組策略配置桌面、文件夾重定向、平安設(shè)置等根本操作。1.通過創(chuàng)設(shè)情景、問題、典型案例激發(fā)學(xué)生的求知欲；素質(zhì)目標(biāo)2.通過小組討論培養(yǎng)學(xué)生自信心和成就感。通過任務(wù)教學(xué)，培養(yǎng)學(xué)生互助合作

2、的團(tuán)隊(duì)精神；3.養(yǎng)成良好的職業(yè)素養(yǎng)。本工程主要介紹完成組策略的創(chuàng)立與刪除，并能正確鏈接己有的組策略對象，對組策略進(jìn)行設(shè)置，進(jìn)而完成組策略的應(yīng)用操作。工程提出工程實(shí)現(xiàn)任務(wù): 組策略的創(chuàng)立和管理1任務(wù)目標(biāo)(1)掌握創(chuàng)立組策略操作能力。(2)掌握設(shè)置組策略操作能力。(3)熟練掌握指派、發(fā)布應(yīng)用程序的根本操作。2工程所需設(shè)備準(zhǔn)備假設(shè)干計(jì)算機(jī)，VMware虛擬機(jī), WIN2003 ISO鏡像文件。3工程實(shí)施步驟1)創(chuàng)立組策略每一計(jì)算機(jī)上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)立本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上或組織單元上同時應(yīng)用多個組策略。創(chuàng)立組策略如以

3、下圖：2) 鏈接已有的 GPO3)設(shè)置組策略4) 刪除 GPO鏈接5)指派應(yīng)用程序可以將一個軟件通過組策略指派給用戶或者計(jì)算機(jī)，這樣當(dāng)用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計(jì)算機(jī)，而只是安裝了與軟件有關(guān)的局部信息，當(dāng)用戶運(yùn)行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。 如以下圖：6)發(fā)布應(yīng)用程序和指派軟件不同，發(fā)布一個軟件時計(jì)算機(jī)并無該軟件的快捷方式，用戶需要用“控制面板中的“添加或者刪除應(yīng)用程序來安裝軟件。發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。 如以下圖：知識點(diǎn)學(xué)習(xí)情景二 Windows Server 2003操作系

4、統(tǒng)管理根本手段子情境組策略的創(chuàng)立和管理“組策略中的“組和我們在以前介紹的用戶組并沒有什么直接關(guān)系，不要把組策略理解為是針對用戶組所配置的策略。組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動項(xiàng)、軟件設(shè)置，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。1. 組策略對象GPO系統(tǒng)已經(jīng)有兩個內(nèi)建 GPO，分別是：Default Domain Policy 此策略已被連接到域，因此該策略將影響域內(nèi)所有計(jì)算機(jī)和用戶。Default Domain Controller Poli

5、cy此策略已被連接到 Domain Controller OU，因此該策略將影響域控制器組織單元內(nèi)的所有計(jì)算機(jī)和用戶2組策略配置類型應(yīng)用組策略時存在兩種配置選項(xiàng)：計(jì)算機(jī)配置和用戶配置。計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定工程的策略。包括桌面外觀、平安設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動和關(guān)機(jī)腳本運(yùn)行。這些配置應(yīng)用到特定的計(jì)算機(jī)上，當(dāng)該計(jì)算機(jī)啟動后，自動應(yīng)用設(shè)置的組策略。用戶配置：用于管理控制更多用戶特定工程的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動和關(guān)機(jī)腳本運(yùn)行等。當(dāng)用戶登錄到計(jì)算機(jī)時，就會應(yīng)用用戶配置組策略。3組策略功能類型軟件部署：軟件部署包括“應(yīng)用

6、程序分配和“應(yīng)用程序發(fā)行兩局部內(nèi)容?！皯?yīng)用程序分配指把應(yīng)用軟件提供給桌面，當(dāng)計(jì)算機(jī)或用戶根據(jù)組策略安裝后就不能修改或刪除應(yīng)用程序；“應(yīng)用程序發(fā)行指將應(yīng)用軟件提供給用戶或計(jì)算機(jī)，允許它們選擇安裝。軟件策略：軟件策略是最常用的配置設(shè)置。這些選項(xiàng)定義了用戶的工作環(huán)境。例如，用戶的“開始菜單、屏保程序或用戶配置文件的設(shè)置，包括操作系統(tǒng)組件和注冊表設(shè)置。文件夾管理：文件夾管理允許組策略系統(tǒng)管理員添加文件、文件夾和快捷方式到用戶桌面。例如，可以根據(jù)平安組成員的身份把網(wǎng)絡(luò)應(yīng)用程序提供給用戶。腳本：腳本能夠用于在某些時間自動運(yùn)行批處理文件的進(jìn)程，如啟動和關(guān)機(jī)、登錄和注銷、映射網(wǎng)絡(luò)驅(qū)動器、映射網(wǎng)絡(luò)打印機(jī)等。平安

7、：平安策略設(shè)置用于定義目錄樹、域、網(wǎng)絡(luò)和本地計(jì)算機(jī)的平安配置。它們能夠用于設(shè)置賬戶策略。例如，密碼的使用期、網(wǎng)絡(luò)平安策略和賬戶鎖定策略等。組策略計(jì)算機(jī)配置的啟動時機(jī)是：計(jì)算機(jī)開機(jī)時自動啟動；如果用戶不重新開機(jī)，系統(tǒng)會每隔一段時間自動啟動；或手工啟動。組策略用戶配置的啟動時間是：用戶登錄時自動啟動；系統(tǒng)即使用戶不注銷、登錄，系統(tǒng)默認(rèn)每隔 90120鐘自動啟動；手工啟動。組策略的應(yīng)用順序如下：1本地組策略2域組策略3域控制器策略4組織單元組策略默認(rèn)情況下，這些策略不一致時，后應(yīng)用的策略將覆蓋以前的策略。但是，如果這些設(shè)置對象不一致，前后的策略都是有效策略。組策略可以繼承，也可以阻止策略繼承。2.3

8、.3 Windows Server 2003組策略的特點(diǎn)組策略管理控制臺GPMC策略結(jié)果集Rsop新策略設(shè)置跨域林支持用戶數(shù)據(jù)設(shè)置和管理的增強(qiáng)組策略通過 Web視圖整合到組策略對象編輯器中軟件限制策略組策略對象的管理每一計(jì)算機(jī)上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)立本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上或組織單元上同時應(yīng)用多個組策略 GPO GPO管理控制未配置：表示該設(shè)置不會更改注冊表。已啟用：表示該配置應(yīng)用到該 GPO的用戶和計(jì)算機(jī)。已禁用：表示注冊表將指示策略不會應(yīng)用到隸屬于該 GPO的用戶和計(jì)算機(jī)。 GPO鏈接.9組策略的應(yīng)用可以將一個軟

9、件通過組策略指派給用戶或者計(jì)算機(jī)，這樣當(dāng)用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計(jì)算機(jī)，而只是安裝了與軟件有關(guān)的局部信息，當(dāng)用戶運(yùn)行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。和指派軟件不同，發(fā)布一個軟件時計(jì)算機(jī)并無該軟件的快捷方式，用戶需要用“控制面板中的“添加或者刪除應(yīng)用程序來安裝軟件。發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。2設(shè)置最近翻開文檔記錄不想讓人知道自己瀏覽過哪些網(wǎng)頁和翻開過哪些文件。窗口 .于管理要保計(jì)算2 本地策略這里的“本地策略和本地平安策略是不一樣的，本地平安策略是本地組策略的平安設(shè)置這局部。這里的“

10、本地策略是組策略中的平安設(shè)置的小一局部如圖 1032的“計(jì)算機(jī)配置“Windows設(shè)置 “平安設(shè)置，也就是說本地組策略中包括本地平安策略，而本地平安策略包含這里所說的“本地策略。當(dāng)然域組策略也包含了“本地策略。審核策略決定哪些平安事件記錄到計(jì)算機(jī)的平安日志中，可以審核成功和失敗事件，例如：審核對象訪問是審核用戶訪問文件、文件夾、打印機(jī)的事件用戶權(quán)利指派決定哪個用戶或組有登錄或任務(wù)特權(quán)，例如我們指定哪些用戶可以關(guān)閉系統(tǒng)。平安選項(xiàng)用以啟動或禁用計(jì)算機(jī)的平安設(shè)置，例如：Administrator和 Guest的賬戶名、軟驅(qū)和光盤的訪問、驅(qū)動程序的安裝以及登錄提示等。3事件日志4受限制的組受限制的組是用以控制組的成員，防止有人增加某個組的成員。5系統(tǒng)效勞系統(tǒng)效勞策略項(xiàng)用于為計(jì)算機(jī)上運(yùn)行的效勞配置平安設(shè)置和啟動設(shè)置。6注冊表注冊表策略項(xiàng)用以指定用戶或組訪問注冊表的權(quán)限 .7文件系統(tǒng)文件系統(tǒng)允許你在策略級別上設(shè)置文件系統(tǒng)對象NTFS目錄和文件的權(quán)限。2.3.13 平安模板平安模式實(shí)際上是保存有組策略中的平安設(shè)置的一