计算机网络管理.ppt

第6章 组策略的管理 6.1组策略 6.2组策略的设置 6.1组策略 6.1.1组策略概述 6.1.2引入模板策略 在 Windows 2000 操作系统中，系统管理员使用【组策略】为用户和计算机组定义用户和计算机配置。通过使用【组策略】Microsoft 管理控制台 (MMC) 管理单元为特定用户和计算机组创建具体的桌面配置。所创建的【组策略】配置包含在一个【组策略对象】(Group Policy Object，组策略对象) 中，该对象转而又与选定的 Active Directory 服务容器如站点、域或组织单位 (Organized Unit，OU) 等关联。组策略允许管理员对用户工作环境状态只定义一次，然后靠系统实施所定义的策略。为达到这一状态，管理员需要首先在规划 Active Directory 域结构的同时仔细地创建、组织和规划组策略对象。 6.1.1组策略概述 1. 组策略概念 组策略是管理员为计算机和用户定义的，用来控制应用程序和管理模板的一种机制。 （1）组策略的应用顺序与规则：本地组策略、站点组策略、域组策略、组织单位的组策略，新设置的策略应用将覆盖以前的应用策略。 （2）阻止策略的继承 可以在子容器组策略内，通过【阻止策略继承】复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置。 （3）强迫继承策略 可以在父容器的组策略内，通过：【禁止替代】复选框来强迫子容器必须继承由父容器传送的组策略设置。 2. 组策略的作用 简单地说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 3. 组策略的版本 大部分Windows 9X/NT用户可能听过【系统策略】的概念，而现在大部分使用的则是【组策略】这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的【系统策略】发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 4. 使用“组策略”管理单元可进行的策略设置 （1）基于注册表的策略。包括 Windows 2000 操作系统及其组件以及应用程序的组策略。要管理这些设置，可以使用“组策略”管理单元的【管理模板】节点。 （2）安全性选项。包括针对本地计算机、域和网络安全设置的选项。 （3）软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。 （4）脚本选项。包括用于计算机启动和关闭，以及用户登录和注销的脚本。 （5）文件夹重定向选项。允许将用户的特殊文件夹重定向到网络。 5. 定义组策略要求 （1）要确定所需策略设置的类型。 （2）确定目录中哪些类型的对象（用户，计算机）将应用这些设置。 （3）产生的组策略对象列表 6. 确定设置的作用域 （1）各目标对象（如计算机、用户或域）的设置对组织中的所有对象是否通用的？或者说，这些对象中不同的分组是否需要应用不同的设置？ （2）组策略作用域另一个需考虑的方面是，某一特定的设置组是否需要对所有从属容器强制实施，或者相反，是否需要阻止某些设置的继承。在后面的【管理组策略】一节讨论这一问题。 7. 验证活动目录（ Active Directory）域/组织单位（Organization Unit，OU）设计 （1）需要考虑下面几个问题： ① 域设计能否支持组策略的有效使用和管理？如不能，需做何更改？ ②【Active Directory 网络和委派】要求与【组策略】要求之间有何冲突？为消除目录结构与组策略对象要求之间的冲突，往往需要用安全组来筛选组策略对象。 ③ 组策略不能跨域继承，也不能从一个域复制到另一个域。一个域中的 组策略对象 可以从另一个域中链接 ④ 拟设计的 OU 结构可能不能与组策略对象的作用域很好地对应。 （2）组策略对象的更改 除了所有组策略对象都必须在各域中复制外，对组策略对象的结构未做更改。 对域/OU 结构的更改包括在现有用户 OU 之上添加一个【用户账户 OU】—在此应用通用的用户策略。 （3）组策略对象筛选安全组 以下列举了两个一般类型的组策略对象筛选安全组： 每部门用户/应用程序组策略对象组 服务器类型组策略对象组 8. 管理组策略 （1）管理结构影响组策略对象结构。 （2）应用到【组策略】对象的访问控制列表 (ACL) 应反映出应由谁来管理这些对象。 （3）包含必须应用到子 OU 中所有对象的设置的组策略对象可能需要强制实施，以防这些设置被在 O