windows2008-域管理3组策略应用ppt课件.ppt

1、组策略应用组策略应用组策略应用组策略应用课程回顾课程回顾课程回顾课程回顾域、树、林之间是什么关系？域、树、林之间是什么关系？域、树、林之间是什么关系？域、树、林之间是什么关系？如何将一台计算机安装成域控制器？如何将一台计算机安装成域控制器？如何将一台计算机安装成域控制器？如何将一台计算机安装成域控制器？本地域组的特点是什么？本地域组的特点是什么？本地域组的特点是什么？本地域组的特点是什么？全局组的特点是什么？全局组的特点是什么？全局组的特点是什么？全局组的特点是什么？如何实现如何实现如何实现如何实现OUOU的委派功能？的委派功能？的委派功能？的委派功能？2 2技能展示技能展示技能展示技能展示理

2、解组策略的作用理解组策略的作用理解组策略的作用理解组策略的作用理解组策略的应用顺序理解组策略的应用顺序理解组策略的应用顺序理解组策略的应用顺序会配置组策略的继承会配置组策略的继承会配置组策略的继承会配置组策略的继承会配置组策略的强制生效会配置组策略的强制生效会配置组策略的强制生效会配置组策略的强制生效会配置组策略实现软件分发会配置组策略实现软件分发会配置组策略实现软件分发会配置组策略实现软件分发 3 3本章结构本章结构本章结构本章结构组策略的概念组策略的概念软件分发软件分发组策略的作用组策略的作用分发软件分发软件修复软件修复软件组策略结构组策略结构删除软件删除软件计算机计算机/用户配置用户配置

3、组策略组策略组策略应用规则组策略应用规则继承与阻止继承继承与阻止继承累加累加应用顺序应用顺序强制生效强制生效筛选筛选升级软件升级软件组策略简单应用组策略简单应用4 4组策略的作用组策略的作用组策略的作用组策略的作用2-12-1方便管理方便管理方便管理方便管理ADAD中用户和计算机的工作环境中用户和计算机的工作环境中用户和计算机的工作环境中用户和计算机的工作环境用户桌面环境用户桌面环境用户桌面环境用户桌面环境计算机启动计算机启动计算机启动计算机启动/关机与用户登录关机与用户登录关机与用户登录关机与用户登录/注销时所执行的脚本文件注销时所执行的脚本文件注销时所执行的脚本文件注销时所执行的脚本文件软

4、件分发软件分发软件分发软件分发安全设置安全设置安全设置安全设置域域域域组策略组策略组策略组策略5 5组策略的作用组策略的作用组策略的作用组策略的作用2-22-2通过组策略可以通过组策略可以通过组策略可以通过组策略可以对域设置组策略影响整个域的工作环境，对对域设置组策略影响整个域的工作环境，对对域设置组策略影响整个域的工作环境，对对域设置组策略影响整个域的工作环境，对OUOU设置组设置组设置组设置组策略影响本策略影响本策略影响本策略影响本OUOU下的工作环境下的工作环境下的工作环境下的工作环境降低布置用户和计算机环境的总费用降低布置用户和计算机环境的总费用降低布置用户和计算机环境的总费用降低布置

5、用户和计算机环境的总费用pp只须设置一次，相应的用户或计算机即可全部使用规定的设置只须设置一次，相应的用户或计算机即可全部使用规定的设置只须设置一次，相应的用户或计算机即可全部使用规定的设置只须设置一次，相应的用户或计算机即可全部使用规定的设置pp减少用户不正确配置环境的可能性减少用户不正确配置环境的可能性减少用户不正确配置环境的可能性减少用户不正确配置环境的可能性推行公司使用计算机的规范推行公司使用计算机的规范推行公司使用计算机的规范推行公司使用计算机的规范pp桌面环境规范桌面环境规范桌面环境规范桌面环境规范pp安全策略安全策略安全策略安全策略组策略适用的操作系统组策略适用的操作系统组策略适

6、用的操作系统组策略适用的操作系统6 6组策略的结构组策略的结构组策略的结构组策略的结构3-13-1组策略的具体设置数据保存在组策略的具体设置数据保存在组策略的具体设置数据保存在组策略的具体设置数据保存在GPOGPO中中中中 默认默认默认默认GPOGPO默认域策略默认域策略默认域策略默认域策略 默认域控制器策略默认域控制器策略默认域控制器策略默认域控制器策略 GPOGPO所链接的对象所链接的对象所链接的对象所链接的对象 SDOUSDOUGPOGPO控制控制控制控制用户和计算机用户和计算机用户和计算机用户和计算机组策略组策略GPOSDOU计算机计算机用户用户7 7组策略的结构组策略的结构组策略的结

7、构组策略的结构3-23-2站点的概念站点的概念站点的概念站点的概念 活动目录中的站点是从物理上抽象的概念活动目录中的站点是从物理上抽象的概念活动目录中的站点是从物理上抽象的概念活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速链路连接在一起的由一个或几个通过高速链路连接在一起的由一个或几个通过高速链路连接在一起的由一个或几个通过高速链路连接在一起的IPIP子网组成子网组成子网组成子网组成站点和域的关系站点和域的关系站点和域的关系站点和域的关系一个站点中可以有多个域一个站点中可以有多个域一个站点中可以有多个域一个站点中可以有多个域 一个域中可以有多个站点一个域中可以有多个站点一个域中可以

8、有多个站点一个域中可以有多个站点站点的主要作用站点的主要作用站点的主要作用站点的主要作用 优化复制优化复制优化复制优化复制使用户能够使用可靠、高速的连接登录到域控制器上使用户能够使用可靠、高速的连接登录到域控制器上使用户能够使用可靠、高速的连接登录到域控制器上使用户能够使用可靠、高速的连接登录到域控制器上 8 8组策略的结构组策略的结构组策略的结构组策略的结构3-33-3GPCGPC（组策略容器）与（组策略容器）与（组策略容器）与（组策略容器）与GPTGPT（组策略模板）（组策略模板）（组策略模板）（组策略模板）GPCGPC：GPCGPC是包含是包含是包含是包含GPOGPO属性和版本信息的活动

9、目录对属性和版本信息的活动目录对属性和版本信息的活动目录对属性和版本信息的活动目录对象象象象 GPTGPT：GPTGPT在域控制器的共享系统卷（在域控制器的共享系统卷（在域控制器的共享系统卷（在域控制器的共享系统卷（SYSVOLSYSVOL）中，）中，）中，）中，是一种文件夹层次结构是一种文件夹层次结构是一种文件夹层次结构是一种文件夹层次结构9 9计算机配置与用户配置计算机配置与用户配置计算机配置与用户配置计算机配置与用户配置2-12-1计算机配置计算机配置计算机配置计算机配置策略策略策略策略pp软件设置软件设置软件设置软件设置ppWindowsWindows设置设置设置设置pp管理模板管理模

10、板管理模板管理模板首选项首选项首选项首选项ppWindowsWindows设置设置设置设置pp控制面板设置控制面板设置控制面板设置控制面板设置1010计算机配置与用户配置计算机配置与用户配置计算机配置与用户配置计算机配置与用户配置2-22-2用户配置用户配置用户配置用户配置策略策略策略策略pp软件设置软件设置软件设置软件设置ppWindowsWindows设置设置设置设置pp管理模板管理模板管理模板管理模板首选项首选项首选项首选项ppWindowsWindows设置设置设置设置pp控制面板设置控制面板设置控制面板设置控制面板设置1111案例：组策略的简单应用案例：组策略的简单应用案例：组策略的

11、简单应用案例：组策略的简单应用需求：需求：需求：需求：公司的网络采用域结构进行管理，销售部员工的用户公司的网络采用域结构进行管理，销售部员工的用户公司的网络采用域结构进行管理，销售部员工的用户公司的网络采用域结构进行管理，销售部员工的用户账户都位于销售部账户都位于销售部账户都位于销售部账户都位于销售部_OU_OU中，现要求销售部的员工禁止中，现要求销售部的员工禁止中，现要求销售部的员工禁止中，现要求销售部的员工禁止使用控制面板使用控制面板使用控制面板使用控制面板实现思路：实现思路：实现思路：实现思路：创建并链接组策略创建并链接组策略创建并链接组策略创建并链接组策略配置组策略配置组策略配置组策略

12、配置组策略pp用户配置用户配置用户配置用户配置策略策略策略策略管理模板管理模板管理模板管理模板控制面板控制面板控制面板控制面板禁止访问禁止访问禁止访问禁止访问“控制面板控制面板控制面板控制面板”1212小结小结小结小结请思考：请思考：请思考：请思考：组策略能够链接在哪些对象上？组策略能够链接在哪些对象上？组策略能够链接在哪些对象上？组策略能够链接在哪些对象上？请举一个组策略应用的实例。请举一个组策略应用的实例。请举一个组策略应用的实例。请举一个组策略应用的实例。1313组策略的应用规则组策略的应用规则组策略的应用规则组策略的应用规则继承与阻止继承继承与阻止继承继承与阻止继承继承与阻止继承 累加

13、累加累加累加 应用顺序应用顺序应用顺序应用顺序 强制生效强制生效强制生效强制生效 筛选筛选筛选筛选1414继承与阻止继承继承与阻止继承继承与阻止继承继承与阻止继承在默认情况下，下层容器会继承来自上层容器的在默认情况下，下层容器会继承来自上层容器的在默认情况下，下层容器会继承来自上层容器的在默认情况下，下层容器会继承来自上层容器的GPOGPO子容器可以阻止继承上级的组策略子容器可以阻止继承上级的组策略子容器可以阻止继承上级的组策略子容器可以阻止继承上级的组策略右击容器右击容器右击容器右击容器阻止继承阻止继承阻止继承阻止继承继承继承test的组策略的组策略继承域的组策略继承域的组策略1515累加累

14、加累加累加容器的多个组策略设置如果不冲突，则最终有效策略是容器的多个组策略设置如果不冲突，则最终有效策略是容器的多个组策略设置如果不冲突，则最终有效策略是容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和所有组策略设置的总和所有组策略设置的总和所有组策略设置的总和容器的多个组策略设置如果冲突，则后应用的组策略覆容器的多个组策略设置如果冲突，则后应用的组策略覆容器的多个组策略设置如果冲突，则后应用的组策略覆容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略盖先应用的组策略盖先应用的组策略盖先应用的组策略组策略设置组策略设置是否冲突是否冲突OU的有效设置的有效设置域

15、域：IE主页设置为主页设置为http:/www.ABCOU：已启用：已启用“阻止更改墙纸阻止更改墙纸”否否IE主页设置为主页设置为http:/www.ABC阻止更改墙纸阻止更改墙纸域：已启用域：已启用“阻止更改墙纸阻止更改墙纸”OU：已禁用：已禁用“阻止更改墙纸阻止更改墙纸”是是可以更改墙纸可以更改墙纸1616应用顺序应用顺序应用顺序应用顺序组策略按以下顺序被应用：组策略按以下顺序被应用：组策略按以下顺序被应用：组策略按以下顺序被应用：LSDOULSDOU首先应用本地组策略对象首先应用本地组策略对象首先应用本地组策略对象首先应用本地组策略对象如果有站点组策略对象，则应用之如果有站点组策略对象

16、则应用之如果有站点组策略对象，则应用之如果有站点组策略对象，则应用之然后应用域组策略对象然后应用域组策略对象然后应用域组策略对象然后应用域组策略对象如果计算机或用户属于某个如果计算机或用户属于某个如果计算机或用户属于某个如果计算机或用户属于某个OUOU，则应用，则应用，则应用，则应用OUOU上的组策上的组策上的组策上的组策略对象略对象略对象略对象如果计算机或用户属于某个如果计算机或用户属于某个如果计算机或用户属于某个如果计算机或用户属于某个OUOU的子的子的子的子OUOU，则应用子，则应用子，则应用子，则应用子OUOU上的组策略对象上的组策略对象上的组策略对象上的组策略对象如果同一个容器下链

17、接了多个组策略对象，则按照策如果同一个容器下链接了多个组策略对象，则按照策如果同一个容器下链接了多个组策略对象，则按照策如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用略优先级从大到小逐个应用略优先级从大到小逐个应用略优先级从大到小逐个应用1717强制生效强制生效强制生效强制生效强制生效是上级容器强制下级容器执行其强制生效是上级容器强制下级容器执行其强制生效是上级容器强制下级容器执行其强制生效是上级容器强制下级容器执行其GPOGPO设设设设置置置置强制的强制的1818小结小结小结小结请思考：请思考：请思考：请思考：如果如果如果如果OUOU上的组策略设置与域上的组策略设置冲

18、突，上的组策略设置与域上的组策略设置冲突，上的组策略设置与域上的组策略设置冲突，上的组策略设置与域上的组策略设置冲突，OUOU的有效策略是什么？的有效策略是什么？的有效策略是什么？的有效策略是什么？如果如果如果如果OUOU上的组策略设置与域上的组策略设置不冲突，上的组策略设置与域上的组策略设置不冲突，上的组策略设置与域上的组策略设置不冲突，上的组策略设置与域上的组策略设置不冲突，OUOU的有效策略是什么？的有效策略是什么？的有效策略是什么？的有效策略是什么？组策略的应用顺序是什么？组策略的应用顺序是什么？组策略的应用顺序是什么？组策略的应用顺序是什么？1919利用组策略实现软件分发利用组策略实

19、现软件分发利用组策略实现软件分发利用组策略实现软件分发分发软件分发软件分发软件分发软件 修复软件修复软件修复软件修复软件删除软件删除软件删除软件删除软件 升级软件升级软件升级软件升级软件 2020分发软件分发软件分发软件分发软件分发软件的步骤分发软件的步骤分发软件的步骤分发软件的步骤 获取获取获取获取WindowsWindows安装程序包文件；该软件包包含一个安装程序包文件；该软件包包含一个安装程序包文件；该软件包包含一个安装程序包文件；该软件包包含一个.msi.msi文件以及必要的相关安装文件文件以及必要的相关安装文件文件以及必要的相关安装文件文件以及必要的相关安装文件将软件安装文件放到一个

20、软件分发点将软件安装文件放到一个软件分发点将软件安装文件放到一个软件分发点将软件安装文件放到一个软件分发点创建或修改创建或修改创建或修改创建或修改GPOGPO分配与发布的区别分配与发布的区别分配与发布的区别分配与发布的区别分配：分配到用户或计算机分配：分配到用户或计算机分配：分配到用户或计算机分配：分配到用户或计算机发布：发布给用户发布：发布给用户发布：发布给用户发布：发布给用户分配比发布更具强制性分配比发布更具强制性分配比发布更具强制性分配比发布更具强制性2121修复软件修复软件修复软件修复软件用户的软件发生文件丢失或损坏时，自动重新复制用户的软件发生文件丢失或损坏时，自动重新复制用户的软件

21、发生文件丢失或损坏时，自动重新复制用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复正确的文件来修复正确的文件来修复正确的文件来修复如果原来软件分发点上的安装文件发生丢失或损坏如果原来软件分发点上的安装文件发生丢失或损坏如果原来软件分发点上的安装文件发生丢失或损坏如果原来软件分发点上的安装文件发生丢失或损坏在服务器上修复该软件的源文件在服务器上修复该软件的源文件在服务器上修复该软件的源文件在服务器上修复该软件的源文件重新部署一次重新部署一次重新部署一次重新部署一次2222删除软件删除软件删除软件删除软件不再需要分发的软件，可以在不再需要分发的软件，可以在不再需要分发的软件，可以在不再

22、需要分发的软件，可以在GPOGPO中删除软件中删除软件中删除软件中删除软件设置设置设置设置 下一次用户和计算机登录或启动时，软件会被强制删下一次用户和计算机登录或启动时，软件会被强制删下一次用户和计算机登录或启动时，软件会被强制删下一次用户和计算机登录或启动时，软件会被强制删除除除除用户和计算机仍可继续执行使用软件，但不允许重新用户和计算机仍可继续执行使用软件，但不允许重新用户和计算机仍可继续执行使用软件，但不允许重新用户和计算机仍可继续执行使用软件，但不允许重新安装安装安装安装 2323升级软件升级软件升级软件升级软件强制升级强制升级强制升级强制升级强制用户将当前软件升强制用户将当前软件升强

23、制用户将当前软件升强制用户将当前软件升级到新的版本级到新的版本级到新的版本级到新的版本可选升级可选升级可选升级可选升级允许用户同时使用一个允许用户同时使用一个允许用户同时使用一个允许用户同时使用一个应用程序的两个版本应用程序的两个版本应用程序的两个版本应用程序的两个版本 2424实验案例实验案例实验案例实验案例1 1：组策略简单应用：组策略简单应用：组策略简单应用：组策略简单应用需求描述：需求描述：需求描述：需求描述：公司搭建了公司搭建了公司搭建了公司搭建了Windows 2008Windows 2008域域域域，域中有多个账，域中有多个账，域中有多个账，域中有多个账户户户户ms1ms1、ms

24、2ms2和计算机账户和计算机账户和计算机账户和计算机账户C1C1，如何使域中所有，如何使域中所有，如何使域中所有，如何使域中所有用户使用统一的桌面背景？用户使用统一的桌面背景？用户使用统一的桌面背景？用户使用统一的桌面背景？域域域域2525实验案例实验案例实验案例实验案例1 1：组策略简单应用：组策略简单应用：组策略简单应用：组策略简单应用实现思路：实现思路：实现思路：实现思路：利用组策略统一桌面背景利用组策略统一桌面背景利用组策略统一桌面背景利用组策略统一桌面背景准备桌面背景图片准备桌面背景图片准备桌面背景图片准备桌面背景图片规划桌面背景图片的保存位置并共享规划桌面背景图片的保存位置并共享规

25、划桌面背景图片的保存位置并共享规划桌面背景图片的保存位置并共享注意共享权限与注意共享权限与注意共享权限与注意共享权限与NTFSNTFS权限权限权限权限2626实验案例实验案例实验案例实验案例1 1：组策略简单应用：组策略简单应用：组策略简单应用：组策略简单应用学员练习：学员练习：学员练习：学员练习：在在在在DCDC上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与NTFSNTFS权限权限权限权限将背景图片保存至共享文件夹将背景图片保存至共享文件夹将背景图片保存至共享文件夹将背景图片保存至共享文件夹在在在在DCDC上创建并链接组策略上

26、创建并链接组策略上创建并链接组策略上创建并链接组策略配置组策略配置组策略配置组策略配置组策略刷新组策略刷新组策略刷新组策略刷新组策略验证组策略的应用结果验证组策略的应用结果验证组策略的应用结果验证组策略的应用结果 2727实验案例实验案例实验案例实验案例2 2：组策略的应用顺序：组策略的应用顺序：组策略的应用顺序：组策略的应用顺序 需求描述：需求描述：需求描述：需求描述：公司搭建了公司搭建了公司搭建了公司搭建了Windows 2008Windows 2008域域域域，域中有组织单，域中有组织单，域中有组织单，域中有组织单位位位位Sales_OUSales_OU，该组织单位中有多个账户和计算机账

27、户，该组织单位中有多个账户和计算机账户，该组织单位中有多个账户和计算机账户，该组织单位中有多个账户和计算机账户，所有的策略为默认状态，现在需要：所有的策略为默认状态，现在需要：所有的策略为默认状态，现在需要：所有的策略为默认状态，现在需要：pp所有计算机在关闭时会显示所有计算机在关闭时会显示所有计算机在关闭时会显示所有计算机在关闭时会显示“关闭事件跟踪程序关闭事件跟踪程序关闭事件跟踪程序关闭事件跟踪程序”pp所有经典开始菜单的用户不显示所有经典开始菜单的用户不显示所有经典开始菜单的用户不显示所有经典开始菜单的用户不显示“注销注销注销注销”pp所有所有所有所有Sales_OUSales_OU中使

28、用经典开始菜单的用户显示中使用经典开始菜单的用户显示中使用经典开始菜单的用户显示中使用经典开始菜单的用户显示“注销注销注销注销”2828实验案例实验案例实验案例实验案例2 2：组策略的应用顺序：组策略的应用顺序：组策略的应用顺序：组策略的应用顺序实现思路：实现思路：实现思路：实现思路：在域的组策略上设置在域的组策略上设置在域的组策略上设置在域的组策略上设置“关闭事件跟踪程序关闭事件跟踪程序关闭事件跟踪程序关闭事件跟踪程序”在域组策略和在域组策略和在域组策略和在域组策略和OUOU组策略上对同一策略做不同设置组策略上对同一策略做不同设置组策略上对同一策略做不同设置组策略上对同一策略做不同设置验证效

29、果验证效果验证效果验证效果学员练习：学员练习：学员练习：学员练习：分别设置组策略分别设置组策略分别设置组策略分别设置组策略验证组策略的继承与生效顺序验证组策略的继承与生效顺序验证组策略的继承与生效顺序验证组策略的继承与生效顺序2929实验案例实验案例实验案例实验案例3 3：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级 需求描述：需求描述：需求描述：需求描述：公司搭建了公司搭建了公司搭建了公司搭建了Windows 2008Windows 2008域域域域ABC.comABC.com，域中有多个，域中有多个，域中有多个，域中有多个用户账户用户账户用户账户用户账户m

30、s1ms1、ms2ms2和计算机账户和计算机账户和计算机账户和计算机账户C1C1，现要将，现要将，现要将，现要将ocsocs分发给所有域用户分发给所有域用户分发给所有域用户分发给所有域用户 3030实验案例实验案例实验案例实验案例3 3：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级实现思路：实现思路：实现思路：实现思路：利用组策略实现软件的分发与升级利用组策略实现软件的分发与升级利用组策略实现软件的分发与升级利用组策略实现软件的分发与升级准备软件的准备软件的准备软件的准备软件的.msi.msi安装包安装包安装包安装包规划安装包的保存位置并共享规划安装包的保存位

31、置并共享规划安装包的保存位置并共享规划安装包的保存位置并共享注意共享权限与注意共享权限与注意共享权限与注意共享权限与NTFSNTFS权限权限权限权限注意安装软件用户的权限注意安装软件用户的权限注意安装软件用户的权限注意安装软件用户的权限3131实验案例实验案例实验案例实验案例3 3：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级：实现软件分发和升级学员练习：学员练习：学员练习：学员练习：在在在在DCDC上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与上共享文件夹并设置共享权限与NTFSNTFS权限权限权限权限将软件安装包保存至共享文件夹将软件安装包保存至共享文件夹将软件安装包保存至共享文件夹将软件安装包保存至共享文件夹在在在在DCDC上创建并链接组策略上创建并链接组策略上创建并链接组策略上创建并链接组策略配置组策略软件分配配置组策略软件分配配置组策略软件分配配置组策略软件分配刷新组策略刷新组策略刷新组策略刷新组策略在客户机登录检查软件是否已经成功安装在客户机登录检查软件是否已经成功安装在客户机登录检查软件是否已经成功安装在客户机登录检查软件是否已经成功安装升级软件并验证升级软件并验证升级软件并验证升级软件并验证3232