組策略在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用.ppt

1、組策略在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用,第六小組實(shí)訓(xùn)匯報(bào),組策略介紹,組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。 本質(zhì)上，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。,使用組策略實(shí)現(xiàn)統(tǒng)一企業(yè)桌面(一),使用背景：可以使用組策略實(shí)現(xiàn)所有員工的電腦桌面統(tǒng)一標(biāo)準(zhǔn)以提高公司的品牌效應(yīng)。,使用組策略實(shí)現(xiàn)統(tǒng)一企業(yè)桌面(二),用“用戶(hù)配置”-“管理模板”-“桌面”-“Active Desktop”和“Active Desktop 墻紙”。 要注意的是 墻紙路徑要用網(wǎng)絡(luò)路徑（UNC路徑）

2、要用gpupdate刷新組策略 但以上只解決了桌面背景的一致，要使桌面圖標(biāo)也一樣，還要使用漫游配置文件和文件夾重定向技術(shù)。,用組策略實(shí)現(xiàn)對(duì)某些軟件的限制(一),應(yīng)用背景：有時(shí)為了管理需要，需要對(duì)員工的使用電腦行為進(jìn)行一些限制。這時(shí)就可用組策略來(lái)對(duì)軟件的運(yùn)行做出限制。 為了讓整個(gè)系統(tǒng)運(yùn)行更穩(wěn)健安全，可以對(duì)可以修改系統(tǒng)設(shè)置的軟件進(jìn)行限制（如cmd.exe、regedit.exe） 為了讓員工在工作時(shí)不玩游戲，可以對(duì)一些游戲程序進(jìn)行限制（如蜘蛛紙牌spider.exe、掃雷winmine.exe等） 為了防止員工惡意下載占用寬帶，可以限制一些下載程序（如迅雷、網(wǎng)際快車(chē)等） 還可限制QQ等與工作無(wú)關(guān)軟

3、件,用組策略實(shí)現(xiàn)對(duì)某些軟件的限制(二),有4種限制規(guī)則 哈希規(guī)則 證書(shū)規(guī)則 路徑規(guī)則 網(wǎng)絡(luò)區(qū)域規(guī)則 哈希規(guī)則只要程序文件的內(nèi)容不變，無(wú)論它的位置在哪兒，都會(huì)受到限制。 而路徑恰好相反，只要程序文件的路徑不變，它都會(huì)受到限制。,使用組策略隱藏一些東西(一),使用背景：我們可以隱藏一些東西，用于限制普通員工對(duì)系統(tǒng)高級(jí)設(shè)置的使用，讓系統(tǒng)更加安全保險(xiǎn)，也可用于統(tǒng)一用戶(hù)界面。 如桌面上的“我的電腦”，“我的文檔”和“回收站”圖標(biāo)，“開(kāi)始”菜單里的一些項(xiàng)目，如“網(wǎng)絡(luò)連接”、“搜索”、“運(yùn)行”等都可以根據(jù)需要隱藏。,使用組策略隱藏一些東西(二),也可以隱藏“我的電腦”里的一些驅(qū)動(dòng)器,很多時(shí)候，我們?cè)诰W(wǎng)吧上網(wǎng)

4、時(shí)，會(huì)發(fā)現(xiàn)Windows鍵不起作用，Windows+D（很實(shí)用的顯示桌面的快捷鍵）、Windows+R（顯示“運(yùn)行”）也不起作用，這其實(shí)是因?yàn)榫W(wǎng)吧電腦作了限制，不過(guò)它是通過(guò)本地組策略進(jìn)行限制的，在企業(yè)里，我們也可以限制Windows鍵的使用。這樣可以限制用戶(hù)對(duì)系統(tǒng)高級(jí)功能的使用。,限制Windows+X形式的快捷鍵(一),限制Windows+X形式的快捷鍵(二),要注意的是： 但這只能禁用Windows+X形式的快捷鍵。如果僅按Windows鍵，還是可以彈出“開(kāi)始”菜單。 要使單獨(dú)按Windows鍵時(shí)，不彈出“開(kāi)始”菜單，可以通過(guò)修改注冊(cè)表的方式得到解決。,利用組策略部署軟件(一),使用背景：

5、有時(shí)公司需要給公司電腦上安裝一些軟件，若一個(gè)一個(gè)地裝，顯然不太現(xiàn)實(shí)。用組策略部署軟件可方便的實(shí)現(xiàn)以上功能。,利用組策略部署軟件(二),可以有幾種不同的方法，它們的區(qū)別如下： 指派到計(jì)算機(jī)登錄到域，軟件直接安裝 指派到用戶(hù) “開(kāi)始”菜單控制面板有提示文檔激活 發(fā)布給用戶(hù)只能在控制面板的“添加刪除程序”中看到。,利用組策略部署軟件(三),需要注意的是安裝文件格式只能為“.msi”或“.mst”格式，如果沒(méi)有這個(gè)格式的安裝文件，可以用Advanced Installer 來(lái)制作MSI安裝包。 Advanced Installer是一個(gè)Windows下的安裝程序制作軟件，它能使系統(tǒng)管理員方便地制作MS

6、I安裝包 。,使用組策略指派登錄、注銷(xiāo)、啟動(dòng)關(guān)機(jī)腳本(一),應(yīng)用背景：可以在用戶(hù)登錄、注銷(xiāo)時(shí)，在計(jì)算機(jī)啟動(dòng)、關(guān)機(jī)時(shí)應(yīng)用腳本，來(lái)執(zhí)行一些提示或設(shè)置操作。,使用組策略指派登錄、注銷(xiāo)、啟動(dòng)關(guān)機(jī)腳本(二),登錄、注銷(xiāo)腳本要在用戶(hù)配置里設(shè)置 啟動(dòng)、關(guān)機(jī)腳本要在計(jì)算機(jī)配置里設(shè)置 腳本可以是VB腳本，也可以是批處理（即BAT）腳本。 腳本其實(shí)是一種解釋性的程序代碼，別看它語(yǔ)法簡(jiǎn)單，但可以完成或簡(jiǎn)單或復(fù)雜的幾乎所有的Windows配置。 比如可以在用戶(hù)登錄到系統(tǒng)時(shí)，彈出歡迎消息或公司的一些通知。,使用組策略設(shè)置IE (一),運(yùn)用背景： IE是微軟自帶的、也是目前使用范圍最廣的瀏覽器，所以公司用的瀏覽器一般也是

7、IE。可用組策略對(duì)IE進(jìn)行一些設(shè)置，讓它更符合我們的管理需要。 常用的設(shè)置有：禁止修改主頁(yè)、禁用“Internet選項(xiàng)”和修改IE瀏覽器標(biāo)題。,使用組策略設(shè)置IE (二),可以限制禁止更改主頁(yè)設(shè)置 禁用“Internet選項(xiàng)”菜單項(xiàng)。 修改IE瀏覽器的標(biāo)題,組策略設(shè)置的心得體會(huì)(一),關(guān)于組策略很常見(jiàn)的問(wèn)題就是：“我設(shè)置了一個(gè)策略，為什么它不生效?” 這一方面是由于我們?cè)谌粘２僮鲿r(shí)不慎引起的，另一方面是由于策略相互影響而造成最終的結(jié)果與設(shè)想不一致。具體見(jiàn)下頁(yè)。,組策略設(shè)置的心得體會(huì)(二),不要?jiǎng)h除兩條默認(rèn)的策略 組策略是不能夠鏈接在用戶(hù)組上的。 組策略的生效問(wèn)題 生效順序 正常生效順序:本地策

8、略站點(diǎn)策略域策略父OU策略子OU策略。 生效時(shí)間 自動(dòng)刷新（DC5min 非DC90min） 手工刷新（gpupdate命令）,如何實(shí)現(xiàn)OU內(nèi)的GPO只對(duì)OU內(nèi)的特定人員生效？（比如：GPO只對(duì)財(cái)務(wù)部OU和銷(xiāo)售部OU的經(jīng)理生效） 使用安全過(guò)濾：在AD用戶(hù)和計(jì)算機(jī)上新建一個(gè)安全組，將需要生效的成員（經(jīng)理）添加進(jìn)來(lái)，在所要生效的GPO中，刪除默認(rèn)的Authenticated Users組，將新建的安全組添加進(jìn)來(lái)。,組策略設(shè)置的心得體會(huì)(三),組策略設(shè)置的心得體會(huì)(四),可用組策略建模來(lái)模擬策略的結(jié)果集 根據(jù)所給的計(jì)算機(jī)和用戶(hù)信息在服務(wù)器上模擬出最終的配置結(jié)果。 使用組策略結(jié)果來(lái)確定策略的結(jié)果集 通過(guò)查詢(xún)目標(biāo)計(jì)算機(jī)并檢索應(yīng)用于該計(jì)算機(jī)的RSoP數(shù)據(jù)來(lái)獲得配置結(jié)果集。,組策略設(shè)置的心得體會(huì)(五),對(duì)于需要共享的文件夾可用以$結(jié)尾命名方式，實(shí)現(xiàn)隱藏共享。 用簡(jiǎn)潔的名字描述GPO的意圖，一般用三個(gè)關(guān)鍵字來(lái)命名：范圍、目的、誰(shuí)管理，這樣方便以后的維護(hù)。 如：Offices_ForbidGames_Admin,組策略設(shè)置的心得體會(huì)(六),最好通過(guò)哈希值的方法限制軟件 因?yàn)檫@樣不管員工怎么改名、改路徑都可以限制。 可以用Starter GPO的方