windows2008_域管理3-組策略應(yīng)用

1、組策略應(yīng)用組策略應(yīng)用域、樹、林之間是什么關(guān)系？域、樹、林之間是什么關(guān)系？如何將一臺計(jì)算機(jī)安裝成域控制器？如何將一臺計(jì)算機(jī)安裝成域控制器？本地域組的特點(diǎn)是什么？本地域組的特點(diǎn)是什么？全局組的特點(diǎn)是什么？全局組的特點(diǎn)是什么？如何實(shí)現(xiàn)如何實(shí)現(xiàn)OU的委派功能？的委派功能？理解組策略的作用理解組策略的作用理解組策略的應(yīng)用順序理解組策略的應(yīng)用順序會配置組策略的繼承會配置組策略的繼承會配置組策略的強(qiáng)制生效會配置組策略的強(qiáng)制生效會配置組策略實(shí)現(xiàn)軟件分發(fā)會配置組策略實(shí)現(xiàn)軟件分發(fā) 組策略的概念組策略的概念軟件分發(fā)軟件分發(fā)組策略的作用組策略的作用分發(fā)軟件分發(fā)軟件修復(fù)軟件修復(fù)軟件組策略結(jié)構(gòu)組策略結(jié)構(gòu)刪除軟件刪除軟件計(jì)

2、算機(jī)計(jì)算機(jī)/用戶配置用戶配置組策略組策略組策略應(yīng)用規(guī)則組策略應(yīng)用規(guī)則繼承與阻止繼承繼承與阻止繼承累加累加應(yīng)用順序應(yīng)用順序強(qiáng)制生效強(qiáng)制生效篩選篩選升級軟件升級軟件組策略簡單應(yīng)用組策略簡單應(yīng)用方便管理方便管理AD中用戶和計(jì)算機(jī)的工作環(huán)境中用戶和計(jì)算機(jī)的工作環(huán)境用戶桌面環(huán)境用戶桌面環(huán)境計(jì)算機(jī)啟動計(jì)算機(jī)啟動/關(guān)機(jī)與用戶登錄關(guān)機(jī)與用戶登錄/注銷時(shí)所執(zhí)行的腳本文件注銷時(shí)所執(zhí)行的腳本文件軟件分發(fā)軟件分發(fā)安全設(shè)置安全設(shè)置通過組策略可以通過組策略可以對域設(shè)置組策略影響整個域的工作環(huán)境，對對域設(shè)置組策略影響整個域的工作環(huán)境，對OU設(shè)置組設(shè)置組策略影響本策略影響本OU下的工作環(huán)境下的工作環(huán)境降低布置用戶和計(jì)算機(jī)環(huán)境

3、的總費(fèi)用降低布置用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用p只須設(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置只須設(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置p減少用戶不正確配置環(huán)境的可能性減少用戶不正確配置環(huán)境的可能性推行公司使用計(jì)算機(jī)的規(guī)范推行公司使用計(jì)算機(jī)的規(guī)范p桌面環(huán)境規(guī)范桌面環(huán)境規(guī)范p安全策略安全策略組策略適用的操作系統(tǒng)組策略適用的操作系統(tǒng)組策略的具體設(shè)置數(shù)據(jù)保存在組策略的具體設(shè)置數(shù)據(jù)保存在GPO中中 默認(rèn)默認(rèn)GPO 默認(rèn)域策略默認(rèn)域策略 默認(rèn)域控制器策略默認(rèn)域控制器策略 GPO所鏈接的對象所鏈接的對象 SDOUGPO控制控制 用戶和計(jì)算機(jī)用戶和計(jì)算機(jī)組策略組策略GPOSDOU計(jì)算機(jī)計(jì)算機(jī)用

4、戶用戶站點(diǎn)的概念站點(diǎn)的概念 活動目錄中的站點(diǎn)是從物理上抽象的概念活動目錄中的站點(diǎn)是從物理上抽象的概念 由一個或幾個通過高速鏈路連接在一起的由一個或幾個通過高速鏈路連接在一起的IP子網(wǎng)組成子網(wǎng)組成站點(diǎn)和域的關(guān)系站點(diǎn)和域的關(guān)系一個站點(diǎn)中可以有多個域一個站點(diǎn)中可以有多個域 一個域中可以有多個站點(diǎn)一個域中可以有多個站點(diǎn)站點(diǎn)的主要作用站點(diǎn)的主要作用 優(yōu)化復(fù)制優(yōu)化復(fù)制使用戶能夠使用可靠、高速的連接登錄到域控制器上使用戶能夠使用可靠、高速的連接登錄到域控制器上 GPC（組策略容器）與（組策略容器）與GPT（組策略模板）（組策略模板） GPC：GPC是包含是包含GPO屬性和版本信息的活動目錄對屬性和版本信息的

5、活動目錄對象象 GPT：GPT在域控制器的共享系統(tǒng)卷（在域控制器的共享系統(tǒng)卷（SYSVOL）中，）中，是一種文件夾層次結(jié)構(gòu)是一種文件夾層次結(jié)構(gòu)計(jì)算機(jī)配置計(jì)算機(jī)配置策略策略p軟件設(shè)置軟件設(shè)置pWindows設(shè)置設(shè)置p管理模板管理模板首選項(xiàng)首選項(xiàng)pWindows設(shè)置設(shè)置p控制面板設(shè)置控制面板設(shè)置用戶配置用戶配置策略策略p軟件設(shè)置軟件設(shè)置pWindows設(shè)置設(shè)置p管理模板管理模板首選項(xiàng)首選項(xiàng)pWindows設(shè)置設(shè)置p控制面板設(shè)置控制面板設(shè)置需求：需求：公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進(jìn)行管理，銷售部員工的用戶公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進(jìn)行管理，銷售部員工的用戶賬戶都位于銷售部賬戶都位于銷售部_OU中，現(xiàn)要求銷售部的員

6、工禁止中，現(xiàn)要求銷售部的員工禁止使用控制面板使用控制面板實(shí)現(xiàn)思路：實(shí)現(xiàn)思路：創(chuàng)建并鏈接組策略創(chuàng)建并鏈接組策略配置組策略配置組策略p用戶配置用戶配置策略策略管理模板管理模板控制面板控制面板禁止訪問禁止訪問“控制面板控制面板”請思考：請思考：組策略能夠鏈接在哪些對象上？組策略能夠鏈接在哪些對象上？請舉一個組策略應(yīng)用的實(shí)例。請舉一個組策略應(yīng)用的實(shí)例。繼承與阻止繼承繼承與阻止繼承 累加累加 應(yīng)用順序應(yīng)用順序 強(qiáng)制生效強(qiáng)制生效 篩選篩選在默認(rèn)情況下，下層容器會繼承來自上層容器的在默認(rèn)情況下，下層容器會繼承來自上層容器的GPO子容器可以阻止繼承上級的組策略子容器可以阻止繼承上級的組策略右擊容器右擊容器阻止

7、繼承阻止繼承繼承繼承test的組策略的組策略繼承域的組策略繼承域的組策略容器的多個組策略設(shè)置如果不沖突，則最終有效策略是容器的多個組策略設(shè)置如果不沖突，則最終有效策略是所有組策略設(shè)置的總和所有組策略設(shè)置的總和容器的多個組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆容器的多個組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略蓋先應(yīng)用的組策略組策略設(shè)置組策略設(shè)置是否沖突是否沖突OU的有效設(shè)置的有效設(shè)置域：域：IE主頁設(shè)置為主頁設(shè)置為http:/www.ABCOU：已啟用：已啟用“阻止更改墻紙阻止更改墻紙”否否IE主頁設(shè)置為主頁設(shè)置為http:/www.ABC阻止更改墻紙阻止更改墻紙域：已啟用域：已啟用

8、“阻止更改墻紙阻止更改墻紙”O(jiān)U：已禁用：已禁用“阻止更改墻紙阻止更改墻紙”是是可以更改墻紙可以更改墻紙組策略按以下順序被應(yīng)用：組策略按以下順序被應(yīng)用： LSDOU首先應(yīng)用本地組策略對象首先應(yīng)用本地組策略對象如果有站點(diǎn)組策略對象，則應(yīng)用之如果有站點(diǎn)組策略對象，則應(yīng)用之然后應(yīng)用域組策略對象然后應(yīng)用域組策略對象如果計(jì)算機(jī)或用戶屬于某個如果計(jì)算機(jī)或用戶屬于某個OU，則應(yīng)用，則應(yīng)用OU上的組策上的組策略對象略對象如果計(jì)算機(jī)或用戶屬于某個如果計(jì)算機(jī)或用戶屬于某個OU的子的子OU，則應(yīng)用子，則應(yīng)用子OU上的組策略對象上的組策略對象如果同一個容器下鏈接了多個組策略對象，則按照策如果同一個容器下鏈接了多個組策

9、略對象，則按照策略優(yōu)先級從大到小逐個應(yīng)用略優(yōu)先級從大到小逐個應(yīng)用強(qiáng)制生效是上級容器強(qiáng)制下級容器執(zhí)行其強(qiáng)制生效是上級容器強(qiáng)制下級容器執(zhí)行其GPO設(shè)設(shè)置置強(qiáng)制的強(qiáng)制的請思考：請思考：如果如果OU上的組策略設(shè)置與域上的組策略設(shè)置沖突，上的組策略設(shè)置與域上的組策略設(shè)置沖突，OU的有效策略是什么？的有效策略是什么？如果如果OU上的組策略設(shè)置與域上的組策略設(shè)置不沖突，上的組策略設(shè)置與域上的組策略設(shè)置不沖突，OU的有效策略是什么？的有效策略是什么？組策略的應(yīng)用順序是什么？組策略的應(yīng)用順序是什么？分發(fā)軟件分發(fā)軟件 修復(fù)軟件修復(fù)軟件刪除軟件刪除軟件 升級軟件升級軟件 分發(fā)軟件的步驟分發(fā)軟件的步驟 獲取獲取Win

10、dows安裝程序包文件；該軟件包包含一安裝程序包文件；該軟件包包含一個個.msi文件以及必要的相關(guān)安裝文件文件以及必要的相關(guān)安裝文件將軟件安裝文件放到一個軟件分發(fā)點(diǎn)將軟件安裝文件放到一個軟件分發(fā)點(diǎn)創(chuàng)建或修改創(chuàng)建或修改GPO分配與發(fā)布的區(qū)別分配與發(fā)布的區(qū)別分配：分配到用戶或計(jì)算機(jī)分配：分配到用戶或計(jì)算機(jī)發(fā)布：發(fā)布給用戶發(fā)布：發(fā)布給用戶分配比發(fā)布更具強(qiáng)制性分配比發(fā)布更具強(qiáng)制性用戶的軟件發(fā)生文件丟失或損壞時(shí)，自動重新復(fù)制用戶的軟件發(fā)生文件丟失或損壞時(shí)，自動重新復(fù)制正確的文件來修復(fù)正確的文件來修復(fù)如果原來軟件分發(fā)點(diǎn)上的安裝文件發(fā)生丟失或損壞如果原來軟件分發(fā)點(diǎn)上的安裝文件發(fā)生丟失或損壞在服務(wù)器上修復(fù)該軟

11、件的源文件在服務(wù)器上修復(fù)該軟件的源文件重新部署一次重新部署一次不再需要分發(fā)的軟件，可以在不再需要分發(fā)的軟件，可以在GPO中刪除軟件中刪除軟件設(shè)置設(shè)置 下一次用戶和計(jì)算機(jī)登錄或啟動時(shí)，軟件會被強(qiáng)制刪下一次用戶和計(jì)算機(jī)登錄或啟動時(shí)，軟件會被強(qiáng)制刪除除用戶和計(jì)算機(jī)仍可繼續(xù)執(zhí)行使用軟件，但不允許重新用戶和計(jì)算機(jī)仍可繼續(xù)執(zhí)行使用軟件，但不允許重新安裝安裝 強(qiáng)制升級強(qiáng)制升級強(qiáng)制用戶將當(dāng)前軟件升強(qiáng)制用戶將當(dāng)前軟件升級到新的版本級到新的版本可選升級可選升級允許用戶同時(shí)使用一個允許用戶同時(shí)使用一個應(yīng)用程序的兩個版本應(yīng)用程序的兩個版本 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有多

12、個賬，域中有多個賬戶戶ms1、ms2和計(jì)算機(jī)賬戶和計(jì)算機(jī)賬戶C1，如何使域中所有，如何使域中所有用戶使用統(tǒng)一的桌面背景？用戶使用統(tǒng)一的桌面背景？ 實(shí)現(xiàn)思路：實(shí)現(xiàn)思路：利用組策略統(tǒng)一桌面背景利用組策略統(tǒng)一桌面背景準(zhǔn)備桌面背景圖片準(zhǔn)備桌面背景圖片規(guī)劃桌面背景圖片的保存位置并共享規(guī)劃桌面背景圖片的保存位置并共享注意共享權(quán)限與注意共享權(quán)限與NTFS權(quán)限權(quán)限學(xué)員練習(xí)：學(xué)員練習(xí)：在在DC上共享文件夾并設(shè)置共享權(quán)限與上共享文件夾并設(shè)置共享權(quán)限與NTFS權(quán)限權(quán)限將背景圖片保存至共享文件夾將背景圖片保存至共享文件夾在在DC上創(chuàng)建并鏈接組策略上創(chuàng)建并鏈接組策略配置組策略配置組策略刷新組策略刷新組策略驗(yàn)證組策略的應(yīng)

13、用結(jié)果驗(yàn)證組策略的應(yīng)用結(jié)果 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有組織單，域中有組織單位位Sales_OU，該組織單位中有多個賬戶和計(jì)算機(jī)賬戶，該組織單位中有多個賬戶和計(jì)算機(jī)賬戶，所有的策略為默認(rèn)狀態(tài)，現(xiàn)在需要：所有的策略為默認(rèn)狀態(tài)，現(xiàn)在需要：p所有計(jì)算機(jī)在關(guān)閉時(shí)會顯示所有計(jì)算機(jī)在關(guān)閉時(shí)會顯示“關(guān)閉事件跟蹤程序關(guān)閉事件跟蹤程序”p所有經(jīng)典開始菜單的用戶不顯示所有經(jīng)典開始菜單的用戶不顯示“注銷注銷”p所有所有Sales_OU中使用經(jīng)典開始菜單的用戶顯示中使用經(jīng)典開始菜單的用戶顯示“注銷注銷”實(shí)現(xiàn)思路：實(shí)現(xiàn)思路：在域的組策略上設(shè)置在域的組策略上設(shè)置“關(guān)閉事件跟

14、蹤程序關(guān)閉事件跟蹤程序”在域組策略和在域組策略和OU組策略上對同一策略做不同設(shè)置組策略上對同一策略做不同設(shè)置驗(yàn)證效果驗(yàn)證效果學(xué)員練習(xí)：學(xué)員練習(xí)：分別設(shè)置組策略分別設(shè)置組策略驗(yàn)證組策略的繼承與生效順序驗(yàn)證組策略的繼承與生效順序需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域ABC.com，域中有多個，域中有多個用戶賬戶用戶賬戶ms1、ms2和計(jì)算機(jī)賬戶和計(jì)算機(jī)賬戶C1，現(xiàn)要將，現(xiàn)要將ocs分發(fā)給所有域用戶分發(fā)給所有域用戶 實(shí)現(xiàn)思路：實(shí)現(xiàn)思路：利用組策略實(shí)現(xiàn)軟件的分發(fā)與升級利用組策略實(shí)現(xiàn)軟件的分發(fā)與升級準(zhǔn)備軟件的準(zhǔn)備軟件的.msi安裝包安裝包規(guī)劃安裝包的保存位置并共享規(guī)劃安裝包的保存位置并共享注