Windows Server 2008网络管理电子教案王隆杰 第15章 组策略.ppt

Windows Server 2008网络管理 主编 王隆杰 梁广民 杨名川 中国水利水电出版社 15.1 组策略介绍 15.1.1 理解组策略 Windows组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。 安装了活动目录后，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置等，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。组策略仍然允许用户在保持标准的系统配置的同时，也能定制自己的配置。 15.1.2各种组策略 本地安全策略与本地策略 :本地安全策略只是本地策略的一部分 。 查看本地策略 查看本地策略 查看本地策略 默认域策略 默认域策略 ：域策略会应用到整个域，域策略存储在域控制器上 默认域控制器策略 默认域控制器策略是应用到域中的域控制器的 Default Domain Controllers Policy”策略，这个策略就是默认域控制器策略，是安装Windows Server 2008时自动创建的、仅应用到域控制器上的策略。 组织单元上的策略 组策略也常常在组织单元上实施，如果我们在这个组织单元上实施组策略，那么这个策略将对这个组织单元中的计算机和用户起作用。 Active Directory环境中的各组策略的作用范围 15.1.3 策略的应用顺序 首先是本地策略，然后是域策略，最后是组织单元或者域控制器上的策略，如果组织单元下还有组织单元则从上级到下级应用各个组织单元上的策略。 组策略是可以继承的，组织单元或域控制器会继承域的组策略，下一级组织单元会继承上一级组织单元上的策略。 15.1.4 组策略规划 如果是针对所有计算机或者用户的策略，应该在域这一级的策略上设置。 如果是针对各部门的策略，应该在组织单元这一级的策略上设置。 15.2 组策略的管理 15.2.1 创建新的组策略 每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略；而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略。 15.2.1 创建新的组策略 15.2.1 创建新的组策略 15.2.2 编辑组策略 组策略的属性 组策略的属性 单击“立即查找”按钮可以查找该策略被应用在域中的何处，这对于维护组策略来说是非常重要的。 组策略的属性 可以控制哪些用户对该组策略的控制权限，例如创建子对象，单击“高级”按钮可以控制对组策略的审核 设置策略项 设置策略项 策略项的三种选择 刷新策略 在域控制器上配置了组策略后，普通的计算机90 分钟刷新组策略，新的组策略才生效；对于域控制器，5 分钟刷新。 可以手工进行刷新，语法为： gpupdate [/Target:{Computer | User}] [/Force] 策略的结果集 组策略是如此复杂，以至于我们在设置组策略时可能无法准确知道最后的结果会是怎样，好在微软提供查看组策略结果集的工具 策略的结果集 策略的结果集 策略的结果集 策略的结果集 15.2.3 管理组策略 在Active Directory环境中，我们介绍过组策略的应用顺序是：本地策略、域策略、组织单元策略、子组织单元策略；在同一级的组织单元上也可以有多个组策略存在。我们可以管理这些组策略之间的关系。 改变组策略的排列顺序 改变策略的继承关系 默认时，组织单元会继承域上的组策略，子组织单元会继承父组织单元的组策略，然而我们可以改变这一行为。在图选中“阻止继承”菜单，则该组织单元就不会继承域上的组策略 。 强制策略的继承关系 可以强制策略的继承 ，则组织单元上采取阻止措施也不能阻止该组策略被继承了 。 组策略的设置举例 15.3 使用组策略定制用户环境、安全设置 15.3.1 设置IE浏览器的主页 15.3.2 设置密码策略 15.3.3 帐户锁定策略 15.3.4 Windows防火墙设置 15.3.5 时间提供程序 15.3.6 禁止安装可移动设备 15.4 使用组策略发布软件 15.4.1 软件部署简介 将软件分配给用户 ： 当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装： 开始运行此软件： 例如用户登录后执行操作：“开始”?“所有程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。 利用“文件启动”功能： 例如假设这个被“通告”的