windows2003网络之应用组策略.ppt

Chapter 应用组策略 第十章 内容回顾 理解目录服务的组成和规划 掌握目录服务的实现和管理 本章目标 理解GPO的概念 掌握组策略管理器的使用 理解GPO的应用规则 利用组策略完成用户环境的管理 利用GPO实现软件分发 利用GPO实现文件夹重定向 应用组策略的前提条件 组策略只能管理AD中的计算机和用户 必须在域控制器上设置组策略 必须针对整个站点、域或组织单位来设置组策略 要使用组策略，必须有相对的管理权限 组策略只适用于Windows 2000以上的操作系统 组策略结构 组策略的设置数据皆保存在GPO中 GPO链接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的计算机和用户 GPO与SDOU间的链接关系 新建GPO 组策略的添加和删除 编辑GPO 组策略的继承 计算机配置 用户配置 管理用户桌面环境 利用GPO实现软件分发 软件分发的好处 自动安装 自动修复 自动升级 远程删除 软件分发的方式 发布给用户 指派给用户 指派给计算机 使用软件安装必须具备的条件 建立软件分发点 建立共享文件夹 msiexec -a f:\data1.msi 建立部署软件的组策略 发布软件 指派软件 建立共享文件夹 msiexec -a C:\WINDOWS\system32\adminpak.msi 指派软件（Cont.） 利用GPO实现安全设置 管理模板 定义系统中所有涉及到注册数据的设置 计算机配置 用户配置 文件夹重定向 本章总结 组策略是一组策略的集合，应用组策略，管理员可以很方便的管理Active Directory中的计算机和用户 组策略的设置数据皆保存在GPO中，GPO链接至SDOU 管理员可以为一个SDOU新建、添加、编辑和删除GPO 总结(Cont.) 子容器会继承来自上层容器的GPO，可以利用阻止策略继承和禁止替代两种方式来调整默认的继承与累加关系 组策略由两部分组成:计算机配置和用户配置，能够设置各种策略，管理活动目录中的计算机和用户 可以利用软件分发组策略方便地实现软件管理，实现软件的自动修复、自动升级和远程删除等功能 总结(Cont.) 可以利用GPO实现与系统相关的安全设置，如密码长度最小值、帐户锁定阈值等 利用文件夹重定向组策略，系统管理员可以将本地用户配置文件夹移动到网络上 实验目标 利用组策略实现域的管理 建立、添加和删除GPO 设置计算机配置 设置用户配置 验证组策略的继承与禁止继承 利用组策略实现软件分发 实验拓扑结构 实验完成标准 任务1，成功地建立、添加和删除GPO 任务2，重新启动域内任意一台计算机，不能再添加新的任务计划 任务3，在“桌面”选项卡中不能再更改桌面背景 任务4，用该组织单位中的一个用户名重新登录，不能再更改墙纸 任务5，在控制面板的“添加/删除程序”中出现Microsoft Office 2000 标准版的安装程序 */29 Version 1.0 */29 组策略的作用 方便地管理AD中的计算机和用户 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 文件夹重定向 软件安装 安全设置 域 域控制器 组策略 活 动 目 录 SDOU GPO 计算机 用户 组策略 域 组织单位 GPO 1 组织单位 组织单位 组织单位 组织单位 组织单位 站点 GPO 2 GPO 4 GPO 3 GPO 5 A 一个容器对一个GPO B 多个容器对一个GPO C 一个容器对 多个GPO 链接到GPO 域 组织单位 Product 组织单位 Employees GPO f 站点组策略 域的组策略 组织单位的组策略 下层组织单位的组策略 不设置阻止 策略继承 设置阻止 策略继承 设置阻止 策略继承 设置禁止替代 域 域控制器