北大青鳥2003系統(tǒng)管理PPT_CHAP8-組策略.ppt

1、Page 1/32,第7章內容回顧,備份類型有哪幾種 系統(tǒng)狀態(tài)數(shù)據(jù)包含哪些內容 還原DC的系統(tǒng)狀態(tài)數(shù)據(jù)的主要步驟 制定任務計劃要主要哪些要素,組策略,第8章,Page 3/32,本章目標,利用組策略管理域中的計算機和用戶工作環(huán)境，實現(xiàn)軟件分發(fā) 理解組策略作用 掌握組策略繼承與阻止繼承操作 理解組策略應用順序 掌握組策略強制生效、篩選組策略設置 掌握軟件分發(fā)方式：指派與發(fā)布,Page 4/32,本章結構,組策略概念,應用規(guī)則,軟件設置,組策略作用,組策略結構,組策略簡單應用,繼承與阻止繼承,累加,應用順序,組策略,計算機配置/用戶配置,強制生效,篩選,分發(fā)軟件,修復軟件,刪除軟件,升級軟件,Pa

2、ge 5/32,組策略的作用2-1,方便地管理AD中的計算機和用戶 用戶桌面環(huán)境 計算機啟動/關機與用戶登錄/注銷時所執(zhí)行的腳本文件 軟件分發(fā) 安全設置,組策略,Page 6/32,組策略的作用2-2,使用組策略可以 對域設置組策略影響整個域的工作環(huán)境，對OU設置組策略影響本OU下的工作環(huán)境 降低布置用戶和計算機環(huán)境的總費用 因為只須設置一次，相應的用戶或計算機即可全部使用規(guī)定的設置 減少用戶不正確配置環(huán)境的可能性 推行公司使用計算機規(guī)范 桌面環(huán)境規(guī)范 安全策略 組策略適用哪些操作系統(tǒng),Page 7/32,組策略結構3-1,組策略的具體設置數(shù)據(jù)保存在GPO中 默認的2個GPO 默認域策略 默認

3、域控制器策略 GPO所鏈接的對象 SDOU GPO控制 SDOU中的計算機和用戶,SDOU,GPO,計算機,用戶,組策略,Page 8/32,組策略結構3-2,站點的概念 活動目錄中的站點是從物理上抽象的概念 由一個或幾個通過高速聯(lián)接在一起的IP子網(wǎng)組成 站點和域的關系 一個站點中可以有多個域 一個域中可以有多個站點 站點的主要作用 優(yōu)化復制 使用戶能夠使用可靠、高速的連接登錄到域控制器上,Page 9/32,組策略結構3-3,GPC（組策略容器）與GPT（組策略模板） GPC：GPC是包含GPO屬性和版本信息的活動目錄對象 GPT：GPT在域控制器的共享系統(tǒng)卷（SYSVOL）中，是一種文件夾

4、層次結構,查看GPC和GPT,Page 10/32,組策略簡單應用,BENET公司要求銷售部的員工不能隨意更改桌面背景 步驟 1 ）右擊銷售部OU|【屬性】|【組策略】，單擊【新建】，輸入GPO的名字為“銷售部GPO” 2 ）打開【組策略編輯器】，選擇“阻止更改墻紙” 3）雙擊“阻止更改墻紙”，啟用該策略，然后關閉【組策略編輯器】,Page 11/32,計算機配置與用戶配置2-1,計算機配置 軟件設置 Windows設置 腳本 安全設置 管理模板 Windows 組件 系統(tǒng) 網(wǎng)絡 打印機,查看計算機配置,Page 12/32,計算機配置與用戶配置2-2,用戶配置 軟件設置 Windows設置

5、遠程安裝服務 腳本（登錄/注銷） 安全設置 文件夾重定向 IE瀏覽器維護,管理模板 Windows 組件 任務欄和【開始】菜單 桌面 控制面板 共享文件夾 網(wǎng)絡 系統(tǒng),查看用戶配置,Page 13/32,階段總結,組策略有哪些作用 組策略適用哪些操作系統(tǒng) 默認的2個GPO是什么 站點和域的關系 組策略包含哪些內容,Page 14/32,階段練習,背景 BENET公司為了統(tǒng)一公司的桌面設置，所有域用戶不能隨意修改背景 如何利用組策略實現(xiàn)此功能 目標 組策略的作用 修改GPO 組策略的用戶配置,Page 15/32,組策略應用規(guī)則,繼承與阻止繼承 累加 應用順序 強制生效 篩選,Page 16/3

6、2,繼承與阻止繼承,在默認情況下，下層容器會繼承來自上層容器的GPO（組策略對象） 例如 銷售部OU的GPO中設置IE主頁URL為 北京銷售部OU中的用戶登錄客戶機后，IE的主頁地址為“” 子容器可以阻止繼承上級的組策略 例如 銷售部OU的GPO中設置主頁URL為 右擊北京銷售部|【屬性】|【組策略】選項卡，選中【阻止策略繼承】選項 北京銷售部OU中的用戶登錄客戶機后，IE的主頁地址不是“”,驗證繼承和阻止繼承,Page 17/32,累加,容器的多個組策略設置如果不沖突，則最終的有效策略是所有組策略設置的總和 容器的多個組策略設置如果沖突，則后應用的組策略覆蓋先應用的組策略,驗證累加效果,Pa

7、ge 18/32,應用順序,本地組策略對象 每臺運行 Windows XP/2000/2003 的計算機都只有一個本地組策略對象 打開本地GPO的2種方法 MMC和gpedit.msc 組策略按以下順序被應用： LSDOU 1）首先本地組策略對象 2）如果有站點組策略，則應用之 3）然后應用域組策略對象 4）如果計算機或用戶屬于某個OU，則應用之 5）如果計算機或用戶屬于某個OU的子OU，則應用之,Page 19/32,強制生效,強制生效是上級容器強制下級容器執(zhí)行其GPO設置 如果銷售部OU阻止繼承域的策略 或者銷售部OU與域的GPO設置沖突 銷售部應用域的GPO設置,驗證強制生效效果,強制生

8、效,Page 20/32,不受GPO影響,受GPO影響,篩選組策略設置,篩選可以阻止一個GPO應用于容器內的特定計算機和用戶,驗證篩選效果,設置讀取和應用組策略的權限 允許 拒絕,Page 21/32,階段總結,下層容器默認繼承來自上層容器的GPO 子容器可以阻止繼承上級的組策略 如果不沖突，則最終的有效策略是所有組策略設置的總和 如果沖突，則后應用的組策略覆蓋先應用的組策略 組策略按以下順序被應用： LSDOU 上級容器的GPO強制生效,Page 22/32,利用GPO實現(xiàn)軟件設置,分發(fā)軟件 修復軟件 刪除軟件 升級軟件,Page 23/32,分發(fā)軟件,分發(fā)軟件的步驟 1）獲取Windows

9、安裝程序包文件；該軟件包包含一個.msi文件以及必要的相關安裝文件 2）將軟件安裝文件放到一個軟件分發(fā)點 3）創(chuàng)建或修改GPO 指派與發(fā)布的區(qū)別 指派， 程序在【開始】菜單中 發(fā)布， 程序顯示在【控制面板】|【添加/刪除程序】中,分發(fā)Windows2003管理工具包軟件,Page 24/32,修復軟件,如果用戶的軟件發(fā)生文件丟失或損壞時，自動重新復制正確的文件來修復 如果原來軟件分發(fā)點上的安裝文件發(fā)生丟失或損壞 在服務器上修復該軟件的源文件 重新部署一次,Page 25/32,刪除軟件,【立即從用戶和計算機卸載軟件】：下一次用戶登錄或計算機啟動時，軟件會被強制刪除 【允許用戶繼續(xù)使用軟件，但禁

10、止新的安裝】：用戶和計算機仍可繼續(xù)執(zhí)行使用軟件，但不允許重新安裝,Page 26/32,升級軟件,舉例 Office2000升級到Office2003 Visio2000升級到visio2002 強制升級 會強制用戶將當前軟件升級到新的版本 可選升級 允許用戶同時使用一個應用程序的兩個版本,Page 27/32,階段總結,軟件設置分為：分發(fā)、修復、刪除、升級 分發(fā)軟件:指派與發(fā)布的區(qū)別 刪除軟件的兩種方法是什么 升級軟件的兩種方法是什么,Page 28/32,階段練習,背景 BENET公司需要為域中的每個用戶安裝“Windows Server 2003管理工具包” 如何使用組策略實現(xiàn)此功能 目

11、標： 組策略的軟件設置 修改GPO 指派軟件與發(fā)布軟件,Page 29/32,本章總結,組策略概念,應用規(guī)則,軟件設置,組策略作用,組策略結構,組策略簡單應用,繼承與阻止繼承,累加,應用順序,組策略,計算機配置/用戶配置,強制生效,篩選,分發(fā)軟件,修復軟件,刪除軟件,升級軟件,GPO,SDOU GPC,GPT,計算機配置 對容器中的計算機起作用 用戶配置 對容器中的用戶起作用,LSDOU,上級容器的GPO強制生效,篩選可以實現(xiàn)阻止一個GPO應用于容器內部的特定計算機和用戶,1.獲取Windows安裝程序包文件 2.將軟件安裝文件放到一個軟件分發(fā)點 3.創(chuàng)建或修改GPO,Page 30/32,實驗,任務1 組策略簡單應用 任務2 利用GPO分發(fā)Windows 2003管理工具包,Page 31/32,任務1 組策略簡單應用,背景 BENET公司為了統(tǒng)一公司的桌面設置，所有域用戶不能隨意修改背景 如何利用組策略實現(xiàn)此功能 完成