組策略的應(yīng)用課件

組策略的應(yīng)用

2012年6月21日1時55分

本章目標(biāo)

■理解GPO的概念

■掌握組策略管理器的使用

■理解GPO的應(yīng)用規(guī)則

■利用組策略完成用戶環(huán)境的管理

2012年6月21日1時55分2

本章目標(biāo)

■軟件部署概論

■Windows軟件部署組件

■軟件部署

■配置軟件部署

■維護軟件部署

■軟件部署排錯

■最佳方式

2012年6月21日1時55分3

組策略的作用(1)

?方便地管理AD中的計算機和用戶

-賬戶策略的設(shè)定

-本地策略的設(shè)定

一腳本的設(shè)男

-用戶桌面」

2012年6月21日1時55分4

組策略的作用(2)組策略

?方便地管理AD中的計算機和用戶

行的腳本文件

-軟件分發(fā)

-安全設(shè)置

2012年6月21日1時55分5

應(yīng)用組策略的前提條件

■組策略只能管理AD中的計算機和用戶

■只能在域控制器上設(shè)置組策略

■只能針對整個站點、域或組織單位來設(shè)

置組策略

■要使用組策略，必須有相應(yīng)的管理權(quán)限

■組策略只適用于Windows2000以上操作系

統(tǒng)的計算機

2012年6月21日1時55分6

組策略結(jié)構(gòu)

管理模板基于注冊表的組策略設(shè)置

安全設(shè)置本地，域及網(wǎng)絡(luò)安全

軟件安裝設(shè)置集中化管理和軟件安裝

腳本設(shè)置開機、關(guān)機或者用戶登陸、退出時運行的腳本

當(dāng)運行遠程安裝服務(wù)(RIS)的遠程安裝向?qū)r'控制用戶

遠程安裝服務(wù)

可能的選項設(shè)置

InternetExplorer維護管理和定制基于Windows2000的IE的設(shè)置

文件夾重定向網(wǎng)絡(luò)服務(wù)器上用戶文件夾的設(shè)置

2012年6月21日1時55分7

組策略

GPO1

8

2012年6月21日1時55分

GPO與SDOU間的鏈接關(guān)系

鏈接到GPO

組織單位V組織單位組織單位V組織單位

B多個容器對一個GP4

?GPO

2012年6月21日1時55分A一個容器對一個GPO59

GPO組件

組策略容器

組策略對象

，存儲在ActiveDirectory

，提供版本信息

組策略模板

€包含組策略設(shè)置

€存儲在兩個位置

?存儲在共享文件夾SYSVOL

€提供組策略設(shè)置

查看GPC、GPT、LCP

■GPC-grouppolicycontainer

■AD計算機用戶和注算機-高級-選擇域-展開System

容器-policies,將會看到包含用GUID所標(biāo)識兩個

默認(rèn)GP0的文件夾(defaultdomainpolicyand

domaincontrollerpolicy)

■GPT-grouppolicytemplates

2012年6月21日1時55分11

查看GPC、GPT、LCP

■存放于當(dāng)前。(3的％5丫5{6111]700{%\5丫5丫01\5丫5丫01\域

名稱\policies文件夾內(nèi)，同樣是以GUID所標(biāo)識兩

個默認(rèn)GP0的文件夾(defaultdomainpolicyand

domaincontrollerpolicy)

■LCP-localcomputerpolicy

■本地計算機策略，存放于本地計算機的、

%systemroot%\system32\grouppolicy文件內(nèi)

2012年6月21日1時55分12

組策略應(yīng)用的場答略應(yīng)用的場合

2012年6月21日1時55分13

新建GPO

2

?J2￡1

我的電腦

常規(guī)

殂策略對象鏈接

命令提示符^DefaultDomainPolicy

Domain

LeapFTP

ActiveDirec

計菖機

ActiveDirec

計篁機列表中較高位置的殂策略對象具有最高的優(yōu)先權(quán)

由bupLsun.bupt.local獲得這一列表

向上QJ)

遠程協(xié)助

選項@)刪除(1)屬性史)向下?

r阻止策略繼承國)

關(guān)閉應(yīng)用⑥

20114

管理用戶桌面環(huán)境

文件如操作也）查看9幫助第

MyGPOforDomainI

H扇計篁機配置

田軟件設(shè)置

選擇一個項目來查看它的描述,

國一］設(shè)置

Windows□ActiveDesktop

國I笆理模板

!lActiveDirectory

商;隱藏和禁用桌面上的所有項目未被配置

一］軟件設(shè)置

務(wù)刪除桌面上的“我的文檔”圖標(biāo)未被配置

加刪除桌面上的“我的電腦”圖標(biāo)未被配置

o」管理模板

國從桌面刪除回收站未被配置

{+}一|Windows蛆件

渝從“我的文檔”上下文菜單中刪除“屬性”

_J仟條檔和「開始Ji未被配置

:斗從“我的電腦”上下文菜單中刪除“屋性”

&V桌面未被配置

由」控制面板國冊賒“回收站”上下文菜單的屬性未被配置

,隱藏桌烏上“網(wǎng)上鄰居”圖標(biāo)

CJ共享文件夾未被配置

商1隱藏桌面上的InternetExplorer圖標(biāo)未被配置

,不要將最近打開的文檔的共享添加到“網(wǎng)上鄰居”未被配置

哥禁止用尸更改“我的文檔"路徑未被配置

彳爭禁止添加、抱、放和關(guān)閉任務(wù)欄的工具欄

國禁用調(diào)整桌面工具欄未被配置

期退出時不保存設(shè)置未被配置

甑刪除清理桌面向?qū)幢慌渲?/p>

201：15

利用GPO實現(xiàn)安全設(shè)置

777文件⑥操作⑥查看9幫助電）

文件Q：-------；——尸=；-云----------

Domain

19蛆金安全策略設(shè)詈

國」軟件設(shè)置

El_jWindows設(shè)置

⑤|腳本CS動/關(guān)機）

日百安全設(shè)置

ffi湎受限制的組

而因系統(tǒng)服務(wù)

?LS注冊表確定

田逢文件系統(tǒng)

田Y無線網(wǎng)絡(luò)（IEEE8C

國_|公鑰策略

田」軟件限制策略

田曷IP安全策略，在

S一］管理模板

由_］軟件設(shè)置

S」Windows設(shè)置

國」管理模板

2012^16

管理模板

■定義系統(tǒng)中所有涉及到注冊數(shù)據(jù)的設(shè)置

■計算機配置

■用戶配置

%組策略給輯器-ln|x|

文件（V模作⑧造看（V）湘助（M）

設(shè)置|說明I

節(jié)陰止更改墻紙

臼國訐曾機配置

S_）軟件設(shè)置

Wiwindzv港罟r弁eg?

『臼管理模被

6已啟用?;

二犯件

5JWindowsr已禁用也）

S口系技

電口網(wǎng)絡(luò)

C1打印機—.；'/

日啰用戶配置

圖」軟件設(shè)置

國沿罟

-臼,J管理模板

S：LJWindows姐件

任務(wù)欄和「開始」菜單

田口京面

色：_!控制面極

□共享文件夾

網(wǎng)口網(wǎng)絡(luò)

國口系統(tǒng)支持于至少Microsoft陰ndows2000

上一設(shè)置化）|下一設(shè)置理）

確定|取消|三臣V.

、外展/｛詬推7

2012年6月21日1時55分17

文件夾重定向

a兇!□1x|

文件口操作，

MyGPOforDomain可以4淀我的文檔文件夾的位置

原計菖機配置

出口軟件設(shè)置

3口Windows設(shè)呈

?U管理模板

這個組策略:

國□軟件設(shè)置1這個文件夾的位置沒有影響

；.要保證這￡文件夾重定

白！_)Windows設(shè)善:定向到本地，戶配置文件位置”選項.

拶遠程安裝

堂腳本遢

國序安全設(shè)置

：Bl_J文件夾重

_JAppli

圖片增

應(yīng)用?

2012^18

同步和異步處理

■默認(rèn)的組策略處理是同步的

■可以通過使用組策略設(shè)置將默認(rèn)的行為3

在選定的時間間隔內(nèi)刷新組策略

在運行Windows2003Sever但沒有配置成域控制器的

計算機和運行WindowsXP的計算機上每90~120分鐘刷

新一次

■域控制器每5分鐘刷新一次

■不論策略配置值是否有變化，系統(tǒng)仍然會每隔16小時

自動啟用一次

■手動強制刷新組策略

■gpupdate/force

未發(fā)生變更的組策略設(shè)置的處理

■你可以配置每一個客戶端的擴展來處理所有可用的組

策略設(shè)置

2012年6月21日1時55分19

間的沖突

應(yīng)用組策略的結(jié)果是那些除了發(fā)生沖突以外設(shè)置的

應(yīng)用

組策略的配置具有累加性

如果發(fā)生沖突，默認(rèn)的狀態(tài)下，實施最后的設(shè)置

來自父容器的GPO設(shè)置和來自子容器的GPO設(shè)置發(fā)生沖突。

子容器的設(shè)置后執(zhí)行并發(fā)揮作用

當(dāng)站點、域、0U的GPO策略發(fā)生沖突時，則以處理順序在

后的GPO優(yōu)先。

處理優(yōu)先順序為：站點的GPO、域的GPO、0U的GPO

當(dāng)用戶設(shè)置和計算機設(shè)置發(fā)生沖突時，忽略用戶設(shè)置而

執(zhí)行計算機設(shè)置

如果多個GPO鏈接到同一個0U,那么所有GPO的配置將被

累加作為最后的有效配置。如果這些GPO配置有沖突，則

以排在GPO列表最上面的GPO配置為優(yōu)先。

“本地計算機策略”的優(yōu)先權(quán)最低，也就是在其策略配

置與站點、域、0U的策略配置發(fā)生沖突時，本地計算機

策略無效。

監(jiān)控和解決組策略沖突

■監(jiān)控組策略

■組策略解決工具

■解決組策略沖突

2012年6月21日1時55分21

監(jiān)控組策略

■組策略可通過下列方式被監(jiān)控:

■啟用診斷記錄

■啟用組策略的診斷記錄將在計算機啟動和用戶

登錄時生成大量事件

■啟用詳細記錄

■詳細記錄將記錄所有的變更和應(yīng)用到本地計算

機和登錄計算機的用戶的設(shè)置

■啟用詳細記錄將涉及添加詳細記錄的注冊關(guān)鍵

詞

2012年6月21日1時55分22

組策略解決工具

■Windows2003支持的解決組策略問題

工具：

■Netdiag.exe

■Replmon.exe

■上面兩個程序都是在安裝光盤的1386文件

夾內(nèi)的adminpak.msi里面

2012年6月21日1時55分23

組策略解決工具

■解決組策略問題的Windows2003資源

工具箱工具：

■Gpotool.exe

■Gpresult.exe

2012年6月21日1時55分24

解決組策略沖突

在試圖打開或編輯組策略時，接受到錯誤信息表明

r一組策略對象不能被訪問或打開

組策略設(shè)置不能發(fā)揮預(yù)設(shè)的功能

2012年6月21日1時55分25

最佳方案

2012年6月21日1時55分26

委派管理

〈上一步里“下一步國）》取消|

2012年6月21127

利用GPO實現(xiàn)軟件分發(fā)

■軟件分發(fā)的好處

■自動安裝

■自動修復(fù)

■自動升級

■遠程刪除

■軟件分發(fā)的方式

■發(fā)布給用戶

■指派給用戶

2012年6用1指派給計算機28

軟件部署概論

29

Windows安裝程序

WindowsInstallerserviceWindowsInstallerpackagecontains

由使用軟件安裝和配置完全u包含安裝和卸載應(yīng)用程序的安

自動化裝服務(wù)所需的所有信息

u修改或修補現(xiàn)有的應(yīng)用程3由.msi文件和其它所需文件組

序成

o包含應(yīng)用程序的概述信息

。包含產(chǎn)品文件的參考

使用Windows［，定制安裝

安裝程序I.□彈性應(yīng)用程序

2()12年6川211I1時55分。卸載徹底30

部署軟件

■軟件部署概述

■建立軟件分發(fā)點

■指派軟件&發(fā)布軟件

■使用組策略部署軟件包

■設(shè)置軟件安裝默認(rèn)值

2012年6月21日1時55分31

軟件布署概述

Bl四國

Property1Property2Property3

指派軟件&發(fā)布軟件

在用戶配置中指

派軟件

2012年6月21日1時55分33

建立軟件分發(fā)點

ead

Permissions

創(chuàng)建共享文件夾

在其中創(chuàng)建相應(yīng)的應(yīng)用程序文件夾

3Copy包文件到相應(yīng)的程序文件夾

為用戶設(shè)置只讀的權(quán)限

henCreatingaSoftwareDistributionP(

用Dfs創(chuàng)建單一共享點,可以冗余和平衡負載

防止別人瀏纜分布點的文件，可以使用隱含共享

2012年6/為應(yīng)用程序創(chuàng)建.MSI包及并放在共享文件夾卜34

使用組策略部署軟件包

部署軟件包

為用戶或計算機建立/編輯GPO來部署軟

1件包

2選擇要部署的軟件包

選擇部署方式：發(fā)布、指派、或配置包屬

3性

配置軟件包屬性選項

[■部署類型

U部署選項

安裝選項

建立軟件分發(fā)點

-Jglxl

-11X]

msiexecMicrosoftOffice2000位于：轉(zhuǎn)到

將在以下位置安裝Office.要改變位置，話單擊“瀏覽”按鈕.（1）

i

l管理員安裝|D：\Softwai-ePackageVMSOffice2K\

-用戶信息

如

「許可和支持信息

而安裝位置

鼎正在安裝Office

出

文件

這是Office的安裝向?qū)?它將引導(dǎo)您完成安裝過程.

2012年6月21日1日36

建立部署軟件的組策略

2012年￡37

發(fā)布軟件

2012年6月38

指派軟件（1）

Ad*inPak屬性

AdainPak星件2J兇

常規(guī)|鏈接安全|WMJ篩選器|2J兇回兇

建立二文件⑥編

J后退二祖或田口冬的上）

蠅@）日

[AuthenticatedUser

文件夾或CREATOROWNER

msiex面桌面S1

王□我的女DomainAdmins?UPT\DomainAdmins)

日y我的隹EnterpriseAdminsCBUPTVEnterpriseAdmins)

a43」三禁用

國3本:或ENTERPRISEDOMAINCONTROLLERS

日3本:

CrCTTM.二I

0添加地）.|刪除國）|

AuthenticatedUsers的權(quán)限(P)允許拒絕

+□

完全控制

□

讀取

□

寫入

9□

創(chuàng)建所有子對象

口

冊1除所有子對象―

「|

二

應(yīng)用姐策略二

S)~±Q±J

田4XQ/—nf?H

特別權(quán)限或高級設(shè)置，語單擊“高級”■高級9I

國.dCD

a臼網(wǎng)上令

?IfnliRy^l

11_________

4個對象向生福一I取消I遍⑴

2012年6月21日1時憑分美閉：?：應(yīng)用IA）139