使用组策略配置用户环境.pdf

微思网络，福建IT精英的发源地！ 第四章 使用组策略配置用户环境 章节概述 组策略概述 组策略的处理规则 利用组策略来管理计算机与用户环境 组策略建模与组策略结果 组策略的委派管理 第 1 节：组策略概述 组策略的功能 组策略对象 策略设置与首选项设置 组策略的应用时限 组策略的功能 组策略使 IT 管理员能实现用户和计算机的一对多管理自动化。 组策略使 IT 管理员能实现用户和计算机的一对多管理自动化。 组策略的功能： •账户策略的设置 •本地策略的设置 •脚本的设置 •用户工作环境的设置 •软件的安装与删除 •限制软件的运行 •文件夹重定向 •限制访问“可移动存储设备” •其他众多的系统设置 组策略对象（Group Policy Object） 组策略是通过组策略对象来设置的，只要将GPO链接到指定的站点、域 组策略是通过组策略对象来设置的，只要将GPO链接到指定的站点、域 或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的 或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的 所有用户和计算机 所有用户和计算机 •内置的GPO • Default Domain Policy • Default Domain Controller Policy •GPO的组件 • GPC （Group Policy Container） • GPT （Group Policy Template ） 组策略对象（续） 组策略容器 组策略容器 •存储在AD DS 中 •提供版本信息 组策略对象 组策略对象 组策略模板 组策略模板 •包含组策略设置 •在两个位置存储内容 •存储在共享 SYSVOL 文件夹中 •配置组策略设置 •支持ADM 和ADMX 模板 策略设置与首选项设置 组策略的设置可分为策略设置与首选项设置，主要区别如下： •只有域内的组策略才有首选项设置功能，本地计算机策略无此功能 •策略设置是强制性设置，首选项设置属于非强制性 •若要过滤策略设置，必须针对整个GPO，而首选项可以针对单一设置项 目来过滤 •如果在策略设置与首选项设置内有相同的设置项目，但值冲突了，则以策 略设置优先 •要应用首选项设置的客户端计算机必须安装支持首选项设置的client- side extension （CSE） 组策略的应用时限 计算机配置的应用时限： •计算机启动时自动应用 •若计算机已经启动，系统会每隔一段时间自动应用 • 域控制器：默认每隔5分钟自动应用一次 • 非域控制器：默认每隔90~120分钟之间自动应用一次 • 不论策略设置是否变动，系统每隔16小时应用一次安全性设置策略 •手动应用：gpupdate /target:computer /force 组策略的应用时限（续） 用户配置的应用时限： •用户登录时自动应用 •若用户已经登录，系统会每隔一段时间自动应用 • 默认每隔90~120分钟之间自动应用一次 • 不论策略设置是否变动，系统每隔16小时应用一次安全性设置策略 •手动应用：g