1、精選優(yōu)質(zhì)文檔-傾情為你奉上本次課標(biāo)題學(xué)習(xí)情境一 Windows Server 2003操作系統(tǒng)安裝與基礎(chǔ)管理子情境1.4 組策略的創(chuàng)建和管理授課班級計算機(jī)網(wǎng)絡(luò)技術(shù)2010級授課地點多媒體教室、實訓(xùn)室授課日期 年 月 日 第 周授課時數(shù)4教學(xué)目標(biāo)知識目標(biāo)1.掌握組策略的基本概念。2.熟悉組策略的特點。3.掌握組策略對象的管理。4.掌握組策略應(yīng)用。能力目標(biāo)1.掌握創(chuàng)建組策略操作能力。2.掌握設(shè)置組策略操作能力。3.熟練掌握指派、發(fā)布應(yīng)用程序的基本操作。4.熟練掌握利用組策略配置桌面、文件夾重定向、安全設(shè)置等基本操作。素質(zhì)目標(biāo)1.通過創(chuàng)設(shè)情景、問題、典型案例激發(fā)學(xué)生的求知欲； 2.通過小組討論培養(yǎng)學(xué)

2、生自信心和成就感。通過任務(wù)教學(xué)，培養(yǎng)學(xué)生互助合作的團(tuán)隊精神；3.養(yǎng)成良好的職業(yè)素養(yǎng)。項目提出本項目主要介紹完成組策略的創(chuàng)建與刪除，并能正確鏈接己有的組策略對象，對組策略進(jìn)行設(shè)置，進(jìn)而完成組策略的應(yīng)用操作。項目實現(xiàn)任務(wù): 組策略的創(chuàng)建和管理1任務(wù)目標(biāo)(1)掌握創(chuàng)建組策略操作能力。(2)掌握設(shè)置組策略操作能力。(3)熟練掌握指派、發(fā)布應(yīng)用程序的基本操作。2項目所需設(shè)備準(zhǔn)備若干計算機(jī)，VMware虛擬機(jī), WIN2003 ISO鏡像文件。3項目實施步驟1)創(chuàng)建組策略每一計算機(jī)上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)建本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上

3、或組織單元上同時應(yīng)用多個組策略。創(chuàng)建組策略如下圖： 2) 鏈接已有的GPO3)設(shè)置組策略4) 刪除GPO鏈接5)指派應(yīng)用程序可以將一個軟件通過組策略指派給用戶或者計算機(jī)，這樣當(dāng)用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計算機(jī)，而只是安裝了與軟件有關(guān)的部分信息，當(dāng)用戶運行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。 如下圖： 6)發(fā)布應(yīng)用程序和指派軟件不同，發(fā)布一個軟件時計算機(jī)并無該軟件的快捷方式，用戶需要用“控制面板”中的“添加或者刪除應(yīng)用程序”來安裝軟件。發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。 如下圖：知識點學(xué)習(xí)情景二W

4、indows Server 2003操作系統(tǒng)管理基本手段子情境2.3組策略的創(chuàng)建和管理2.3組策略概述2.3.1組策略的概念“組策略”中的“組”和我們在以前介紹的用戶組并沒有什么直接關(guān)系，不要把組策略理解為是針對用戶組所配置的策略。組策略是一種在用戶或計算機(jī)集合上強(qiáng)制使用一些配置的方法，組策定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動項、軟件設(shè)置，這樣計算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。1. 組策略對象（GPO）系統(tǒng)已經(jīng)有兩個內(nèi)建GPO，分別是：Default Domain Policy 此策略已被連接到域，因此該

5、策略將影響域內(nèi)所有計算機(jī)和用戶。Default Domain Controller Policy此策略已被連接到Domain Controller OU，因此該策略將影響域控制器組織單元內(nèi)的所有計算機(jī)和用戶2組策略配置類型應(yīng)用組策略時存在兩種配置選項：計算機(jī)配置和用戶配置。 計算機(jī)配置：用于管理控制計算機(jī)特定項目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運行、文件部署、應(yīng)用程序分配和計算機(jī)啟動和關(guān)機(jī)腳本運行。這些配置應(yīng)用到特定的計算機(jī)上，當(dāng)該計算機(jī)啟動后，自動應(yīng)用設(shè)置的組策略。 用戶配置：用于管理控制更多用戶特定項目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計算機(jī)啟動和關(guān)機(jī)腳本運行

6、等。當(dāng)用戶登錄到計算機(jī)時，就會應(yīng)用用戶配置組策略。3組策略功能類型 軟件部署：軟件部署包括“應(yīng)用程序分配”和“應(yīng)用程序發(fā)行”兩部分內(nèi)容?！皯?yīng)用程序分配”指把應(yīng)用軟件提供給桌面，當(dāng)計算機(jī)或用戶根據(jù)組策略安裝后就不能修改或刪除應(yīng)用程序；“應(yīng)用程序發(fā)行”指將應(yīng)用軟件提供給用戶或計算機(jī)，允許它們選擇安裝。 軟件策略：軟件策略是最常用的配置設(shè)置。這些選項定義了用戶的工作環(huán)境。例如，用戶的“開始”菜單、屏保程序或用戶配置文件的設(shè)置，包括操作系統(tǒng)組件和注冊表設(shè)置。文件夾管理：文件夾管理允許組策略系統(tǒng)管理員添加文件、文件夾和快捷方式到用戶桌面。例如，可以根據(jù)安全組成員的身份把網(wǎng)絡(luò)應(yīng)用程序提供給用戶。腳本：腳本

7、能夠用于在某些時間自動運行批處理文件的進(jìn)程，如啟動和關(guān)機(jī)、登錄和注銷、映射網(wǎng)絡(luò)驅(qū)動器、映射網(wǎng)絡(luò)打印機(jī)等。安全：安全策略設(shè)置用于定義目錄樹、域、網(wǎng)絡(luò)和本地計算機(jī)的安全配置。它們能夠用于設(shè)置賬戶策略。例如，密碼的使用期、網(wǎng)絡(luò)安全策略和賬戶鎖定策略等。4.組策略的應(yīng)用時機(jī)組策略計算機(jī)配置的啟動時機(jī)是：計算機(jī)開機(jī)時自動啟動；如果用戶不重新開機(jī)，系統(tǒng)會每隔一段時間自動啟動；或手工啟動。組策略用戶配置的啟動時間是：用戶登錄時自動啟動；系統(tǒng)即使用戶不注銷、登錄，系統(tǒng)默認(rèn)每隔90120鐘自動啟動；手工啟動。2.3.2組策略的應(yīng)用順序組策略的應(yīng)用順序如下：（1）本地組策略（2）域組策略（3）域控制器策略（4）組

8、織單元組策略默認(rèn)情況下，這些策略不一致時，后應(yīng)用的策略將覆蓋以前的策略。但是，如果這些設(shè)置對象不一致，前后的策略都是有效策略。組策略可以繼承，也可以阻止策略繼承。2.3.3 Windows Server 2003組策略的特點組策略管理控制臺（GPMC）策略結(jié)果集（Rsop）新策略設(shè)置跨域林支持用戶數(shù)據(jù)設(shè)置和管理的增強(qiáng)組策略通過Web視圖整合到組策略對象編輯器中軟件限制策略組策略對象的管理2.3.4創(chuàng)建組策略每一計算機(jī)上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)建本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上或組織單元上同時應(yīng)用多個組策略2.3.5鏈接已有的GP

9、O2.3.6委托GPO管理控制2.3.7設(shè)置組策略未配置：表示該設(shè)置不會更改注冊表。已啟用：表示該配置應(yīng)用到該GPO的用戶和計算機(jī)。已禁用：表示注冊表將指示策略不會應(yīng)用到隸屬于該GPO的用戶和計算機(jī)。2.3.8刪除GPO鏈接2.3.9組策略的應(yīng)用2.3.10指派應(yīng)用程序可以將一個軟件通過組策略指派給用戶或者計算機(jī)，這樣當(dāng)用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計算機(jī)，而只是安裝了與軟件有關(guān)的部分信息，當(dāng)用戶運行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。2.3.11發(fā)布應(yīng)用程序和指派軟件不同，發(fā)布一個軟件時計算機(jī)并無該軟件的快捷方式，用戶需要用“控制面板”中

10、的“添加或者刪除應(yīng)用程序”來安裝軟件。發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。2.3.12配置桌面2設(shè)置最近打開文檔記錄不想讓人知道自己瀏覽過哪些網(wǎng)頁和打開過哪些文件。3設(shè)置系統(tǒng)關(guān)機(jī)每次關(guān)閉Windows Server 2003系統(tǒng)時，總會出現(xiàn)關(guān)機(jī)原因提示框，關(guān)閉關(guān)機(jī)原因提示窗口 .2.3.4使用腳本所謂的腳本就是一段類似Visual Basic Script或者Java Script的一段程序或命令。腳本用于管理用戶環(huán)境，Windows Server 2003提供了腳本用于計算機(jī)的啟動、關(guān)機(jī)和用戶的登錄和注銷。2.3.5文件夾重定向在組策略中系統(tǒng)管理員可以

11、重定向的文件夾有：應(yīng)用程序、桌面、我的文檔、開始菜單如果用戶要保存數(shù)據(jù)到我的文檔時，數(shù)據(jù)不再保存到本機(jī)而是網(wǎng)絡(luò)位置。這樣做好處是：用戶登錄到域中任何計算機(jī)，他的文檔會很容易獲得。2.3.6安全設(shè)置1. 賬戶策略2 本地策略這里的“本地策略”和本地安全策略是不一樣的，本地安全策略是本地組策略的安全設(shè)置這部分。這里的“本地策略”是組策略中的安全設(shè)置的小一部分（如圖1032的“計算機(jī)配置”“Windows設(shè)置” “安全設(shè)置”），也就是說本地組策略中包括本地安全策略，而本地安全策略包含這里所說的“本地策略”。當(dāng)然域組策略也包含了“本地策略”。審核策略決定哪些安全事件記錄到計算機(jī)的安全日志中，可以審核成

12、功和失敗事件，例如：審核對象訪問是審核用戶訪問文件、文件夾、打印機(jī)的事件用戶權(quán)利指派決定哪個用戶或組有登錄或任務(wù)特權(quán)，例如我們指定哪些用戶可以關(guān)閉系統(tǒng)。安全選項用以啟動或禁用計算機(jī)的安全設(shè)置，例如：Administrator和Guest的賬戶名、軟驅(qū)和光盤的訪問、驅(qū)動程序的安裝以及登錄提示等。3事件日志4受限制的組受限制的組是用以控制組的成員，防止有人增加某個組的成員。5系統(tǒng)服務(wù)系統(tǒng)服務(wù)策略項用于為計算機(jī)上運行的服務(wù)配置安全設(shè)置和啟動設(shè)置。6注冊表注冊表策略項用以指定用戶或組訪問注冊表的權(quán)限 .7文件系統(tǒng)文件系統(tǒng)允許你在策略級別上設(shè)置文件系統(tǒng)對象（NTFS目錄和文件）的權(quán)限。2.3.13 安全模板安全模式實際上是