第 11 章 组策略
DESCRIPTION
第 11 章 组策略. 11.1 组策略概述 11.2 管理模板策略的设置 11.3 Windows 设置策略的管理 11.4 通过软件设置策略部署应用程序. 本章学习目标. 组策略概述 管理模板策略的设置 Windows 设置策略的管理 通过软件设置策略部署应用程序. 返回本章首页. 11.1 组策略概述. 11.1.1 组策略对象 11.1.2 组策略的应用顺序与规则. 返回本章首页. 组策略包括:计算机配置、用户配置 其组策略包含以下内容: - PowerPoint PPT PresentationTRANSCRIPT
第 11 章 组策略
11.1 组策略概述
11.2 管理模板策略的设置
11.3 Windows 设置策略的管理
11.4 通过软件设置策略部署应用程序
本章学习目标
组策略概述 管理模板策略的设置 Windows 设置策略的管理 通过软件设置策略部署应用程序
返回本章首页
11.1 组策略概述
11.1.1 组策略对象
11.1.2 组策略的应用顺序与规则
返回本章首页
组策略包括:计算机配置、用户配置其组策略包含以下内容: 1 )管理模板:包括 Windows 组件、网络、桌以及任务栏和开始菜单等相关的策略。 2 ) Windows 设置:包括脚本、安全设置(户策略和本地策略)等相关的策略。 3 )软件设置:包括软件安装策略,可以进应用程序的指派与发布。
11.1.1 组策略对象
图11-1 “
组策略”
选项卡
1.更改组策略
( 1 )选择“开始”→“程序”→“管理工具”→“ Active Directory 用户和计算机”选项,选择“属性”→“组策略”命令。( 2 )选定“ Default Domain Controllers Policy” ,然后单击“编辑”按钮。( 3 )打开如图 11-2 所示的“组策略”窗口后,然后双击窗口右侧的“在本地登录”。
( 4 )出现如图 11-3 所示的对话框时,单击“添加”按钮,选择 Domain Users 组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。( 5 )返回“组策略”窗口时,请关闭此窗口。( 6 )返回“ Domain Controllers 属性”对话框,单击“确定”。
图 11-2 组策略窗口
图 11-3 有“在本地登录”权限的用户和组
2.验证更改组策略的有效性
( 1 )在服务器端,以 administrator 账户登录。( 2 )依次选择“开始”→“程序”→“管理工具”→“ Active Directory 用户和计算”选项,从中选择“新建”→“用户”命令添加一个一般的用户账户。( 3 )完成后,注销 administrator ,然后等待此组策略生效。( 4 )重新登录时,请用刚建立的域用户登录,此时应该可以正常登录成功。
返回本节
11.1.2 组策略的应用顺序与规则
( 1 )如果是在高层容器内建立了组策略,则低层容器会继承在高层容器内所建立的组策略。( 2 )如果在低层的容器内建立了组策略,则此组策略内的设置默认会替代由其高层的父容器所传递下来的组略。 ( 3 )如果在父容器的某个策略被设为“未被配置”,则子容器并不会继承这个策略。
( 4 )如果在父容器的组策略内的某个设为“启用”或“禁用”,则子容器会继承这个设置。( 5 )直接以子容器的组策略为其设置。( 6 )在父容器的组策略内,通过“禁止替代” 子容器必须继承由父容器传递的组策略设置。
返回本节
11.2 管理模板策略的设置
11.2.1 设置管理模板策略
11.2.2 设置组策略的替代功能
返回本章首页
图 11-4 组策略示例
返回本节
11.2.1 设置管理模板策略
( 1 )在“ Active Directory 中,选择“属性”→“组策略”→“新建”命令,添加一个 GPO ,命名为“ xuexiao Policy” 。( 2 )在如图 11-5 所示的对话框中,单击“编辑”。( 3 )在如图 11-6 所示的“组策略”窗口中,选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”选项。
( 4 )在如图 11-6 所示选择“用户配置”→“管理模板”→“桌面”。( 5 )完成后,关闭“组策略”窗口。( 6 )单击“关闭”按钮,结束组策略设置。
图11-5
添加新的组策略
图 11-6 设置组策略
图11-7
设置策略的是否启用
返回本节
11.2.2 设置组策略的替代功能
( 1 ) 在 “ Active Directory 用 户 和 计 算 ” 选 择“属性”→“组策略”→“新建”选项,添加一个GPO ,命名为“ 9901 Poliicy” ,单击“编辑”按钮。( 2 )在 “组策略” 中选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,选择“禁用”,单击“确定” 。( 3 )在 “组策略”中选择“用户配置”→“管理模板”→“桌面”。选择“禁用”,单击“确定”。关闭“组策略”窗口。单击“关闭”结束组策略设置。
返回本节
11.3 Windows 设置策略的管理
11.3.1 账户策略的设置
11.3.2 本地策略的设置
11.3.3 登录/注销、启动/关闭脚本
返回本章首页
图 11-8 账户策略的设置
11.3.1 账户策略的设置
1.密码策略的设置( 1 ) 密码最长存留期 ( 2 )密码最短存留期( 3 ) 密码长度最小值( 4 )强制密码历史
2.账户锁定策略的设置 账户锁定阈值 账户锁定时间 复位账户锁定计数器
图 11-11 设置账户锁定策略
图 11-9 设置密码策略
图 11-10 “ 密码最长存留期”的设置
返回本节
11.3.2 本地策略的设置
审核目录服务访问 审核登录事件 审核对象访问 审核策略更改 审核特权使用
审核账户登录事件
审核账户管理
审核账户管理 审核过程追踪
1.审核策略的设置
2.用户权利指派策略的设置( 1 )在本地登录;( 2 )域中添加工作站;( 3 )关闭系统;( 4 )从网络访问此计算机;( 5 )从远端系统强制关机;( 6 )备份文件和目录;( 7 )还原文件和目录;( 8 )管理审核和安全日志;( 9 )更改系统时间;( 10 )装载和卸载设备驱动程序;( 11 )取得文件或其他对象的所有权
3.安全选项策略的设置 登录屏幕上不要显示上次登录的用户名 允许在未登录前关机 在密码到期前提示用户更改密码 禁用按 Ctrl+Alt+Del 进行登录的设置 用户试图登录时消息文字与用户试图登录时消息标题
返回本节
11.3.3 登录 / 注销、启动 / 关闭脚本
1.登录 /注销脚本的设置( 1 )准备好登录与注销脚本。( 2 )在“ Active Directory 用户和计算机” 中选择 “组策略”命令,选定 GPO ,双击 “登录”图标。( 3 )单击“显示文件”按钮。( 4 )先切换到“ Windows资源管理器”并选定登录脚本,选择“复制” 、“粘贴”命令。
( 5 )返回到图 11-14 所示的对话框后,单击“添加”。( 6 )出现图 11-16 所示的对话框时,单击“浏览”按钮,7 )返回到图 11-14 所示的对话框时,单击“确定”按钮。( 8 )回到图 11-13 所示的窗口,单击画面右方的“注销”图标,然后重复步骤( 2 ) ~ ( 6 ),以便设置注销脚本。
图 11-13 设置登录和注销脚本
图11-14 “
登录属性”
对话框
图 11-15 复制登录脚本
图 11-16 指定登录脚本
2.启动 /关闭脚本的设置( 1 )创建一个名称为 startup.bat 的启动脚本。( 2 )在“ Active Directory 用户和计算机”对话框中,选择“属性”→“组策略”命令,选定 GPO 后,出现图 11-17 所示的窗口,双击 “启动”图标。( 3 )单击“显示文件”按钮。( 4 )切换到“ Windows资源管理器”中,选择“复制” 粘贴”命令,将登录脚本复制到该窗口中后关闭窗口。
( 5 )单击“添加”按钮。( 6 )出现类似图 11-16 所示的对话框,单击“浏览”按钮,从 startup 文件夹内选定登录脚本。如果你的脚本需要输入参数,则在“脚本参数”文本框中输入参数,完成后单击“确定”按钮。( 7 )单击“确定”按钮。( 8 )回到图 11-17 所示的窗口后,单击画面右方的 “ 关 机 ” 图 标 , 然 后 重 复步骤( 2 ) ~( 6 ),以便设置“关机脚本”。
图 11-17 设置启动和关机脚本
返回本节
11.4 通过软件设置策略部署应用程序
11.4.1 给用户发布或指派应用程序
11.4.2 给计算机指派应用程序
11.4.3 更改部分应用程序的设置
返回本章首页
通过软件设置策略,可以为用户与计算机来部署应用程序。 1 、将应用程序发布或指派给用户。2 、将应用程序指派给计算机。3 、自动修复应用程序。4 、删除用户的应用程序。
11.4.1 给用户发布或指派应用程序
1.给用户发布或指派应用程序
2.安装被发布或指派应用程序
( 1 )利用 administrator 账户登录到域控制器。( 2 )在域控制器上建立一个文件夹,设为共享文件夹。( 3 )将Windows 2000CD 文件夹内的所有文件复制到共享文件夹内。( 4 )依次选择“开始”→“程序”→“管理工具”→“ Active Directory 用户和计算”选项,打开对话框,选择“属性”→“组策略”命令,选定 GPO ,软件安装”选项,打开如图 11-18所示的窗口。
1.给用户发布或指派应用程序
( 5 )将 “软件安装”中弹出的选择“属性”命令。出现如图 11-19 所示的对话框,在“默认程序包位置” 用 UNC路径。( 6 )将鼠标指向“软件安装” 中选择“新建”→“程序包”命令。出现如图 11-20 所示的窗口,单击“打开”按钮。( 7 )出现图 11-21 所示的对话框时,在“选择部署方法”选择区中选择,然后单击“确定”按钮。( 8 )出现图 11-22 所示的窗口,图中右方的“ WinINSTALL LE”己被发行成功。
图 11-18 软件安装
图 11-19 “ 软件安装属性”窗口
图 11-20 选择程序包
图 11-21 选择部署方式
图 11-22 “WinINSTALL LE” 发行成功
2.安装被发布或指派应用程序
( 1 )注销,然后利用域内的用户账户来登录。 ( 2) 依次单击“开始”→“设置”→“控制面板”→“添加 /删除程序”。( 3 )单击“添加新程序”按钮,则右方的“从网络添加程序”处就会显示所有己被发布的应用程序。( 4 )选择要安装的应用程序,然后单击“添加”按钮,就会安装该应用程序。
返回本节
11.4.2 给计算机指派应用程序
应用程序被安装在用户的用户配置文件内,只能被用户使用;也可以将应用程序“指派给计算机”,则只要计算机启动,这个应用程序就会自动被安装到此计算机的“公用程序组”内,所有在这台计算机上登录的用户都可以使用这个应用程序。
返回本节
11.4.3 更改部分应用程序的设置
改变应用程序的部署类型。 取消被部署的应用程序。 设置当安装此应用程序时,是否出现完整的安装界面,或者只显示部分的安装界面。 将应用程序升级 。
返回本节
THANK YOU VERY MUCH !
本章到此结束,谢谢您的光临!
结 束放映 返回本章首页