1、BENET3.0第二學(xué)期課程第八章 組策略應(yīng)用 理論部分課程回顧域、樹、林之間是什么關(guān)系？如何將一臺計(jì)算機(jī)安裝成域控制器？本地域組的特點(diǎn)是什么？全局組的特點(diǎn)是什么？如何實(shí)現(xiàn)OU的委派功能？2技能展示理解組策略的作用理解組策略的應(yīng)用順序會配置組策略的繼承會配置組策略的強(qiáng)制生效會配置組策略實(shí)現(xiàn)軟件分發(fā) 3本章結(jié)構(gòu)組策略的概念軟件分發(fā)組策略的作用分發(fā)軟件修復(fù)軟件組策略結(jié)構(gòu)刪除軟件計(jì)算機(jī)/用戶配置組策略組策略應(yīng)用規(guī)則繼承與阻止繼承累加應(yīng)用順序強(qiáng)制生效篩選升級軟件組策略簡單應(yīng)用4組策略的作用2-1方便管理AD中用戶和計(jì)算機(jī)的工作環(huán)境用戶桌面環(huán)境計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)與用戶登錄/注銷時(shí)所執(zhí)行的腳本文件軟件分發(fā)安

2、全設(shè)置域組策略5組策略的作用2-2通過組策略可以對域設(shè)置組策略影響整個(gè)域的工作環(huán)境，對OU設(shè)置組策略影響本OU下的工作環(huán)境降低布置用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用只須設(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置減少用戶不正確配置環(huán)境的可能性推行公司使用計(jì)算機(jī)的規(guī)范桌面環(huán)境規(guī)范安全策略組策略適用的操作系統(tǒng)6組策略的結(jié)構(gòu)3-1組策略的具體設(shè)置數(shù)據(jù)保存在GPO中 默認(rèn)GPO默認(rèn)域策略 默認(rèn)域控制器策略 GPO所鏈接的對象 SDOUGPO控制用戶和計(jì)算機(jī)組策略GPOSDOU計(jì)算機(jī)用戶7組策略的結(jié)構(gòu)3-2站點(diǎn)的概念 活動(dòng)目錄中的站點(diǎn)是從物理上抽象的概念 由一個(gè)或幾個(gè)通過高速鏈路連接在一起的IP子網(wǎng)組成站點(diǎn)

3、和域的關(guān)系一個(gè)站點(diǎn)中可以有多個(gè)域 一個(gè)域中可以有多個(gè)站點(diǎn)站點(diǎn)的主要作用 優(yōu)化復(fù)制使用戶能夠使用可靠、高速的連接登錄到域控制器上 8組策略的結(jié)構(gòu)3-3GPC（組策略容器）與GPT（組策略模板） GPC：GPC是包含GPO屬性和版本信息的活動(dòng)目錄對象 GPT：GPT在域控制器的共享系統(tǒng)卷（SYSVOL）中，是一種文件夾層次結(jié)構(gòu)教員演示操作過程9計(jì)算機(jī)配置與用戶配置2-1計(jì)算機(jī)配置策略軟件設(shè)置Windows設(shè)置管理模板首選項(xiàng)Windows設(shè)置控制面板設(shè)置教員演示操作過程10計(jì)算機(jī)配置與用戶配置2-2用戶配置策略軟件設(shè)置Windows設(shè)置管理模板首選項(xiàng)Windows設(shè)置控制面板設(shè)置教員演示操作過程11

4、案例：組策略的簡單應(yīng)用需求：公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進(jìn)行管理，銷售部員工的用戶賬戶都位于Sales_OU中，現(xiàn)要求銷售部的員工統(tǒng)一使用公司指定的桌面背景，而且不能隨意更改成其它桌面背景實(shí)現(xiàn)思路：創(chuàng)建并鏈接組策略配置組策略用戶配置策略管理模板桌面桌面桌面墻紙 教員演示操作過程12小結(jié)請思考：組策略能夠鏈接在哪些對象上？請舉一個(gè)組策略應(yīng)用的實(shí)例。13組策略的應(yīng)用規(guī)則繼承與阻止繼承 累加 應(yīng)用順序 強(qiáng)制生效 篩選14繼承與阻止繼承在默認(rèn)情況下，下層容器會繼承來自上層容器的GPO子容器可以阻止繼承上級的組策略右擊容器阻止繼承教員演示操作過程繼承Sales_OU的組策略繼承域的組策略15累加容器的多個(gè)組策略

5、設(shè)置如果不沖突，則最終有效策略是所有組策略設(shè)置的總和容器的多個(gè)組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略組策略設(shè)置是否沖突OU的有效設(shè)置域：IE主頁設(shè)置為OU：已啟用“阻止更改墻紙”否IE主頁設(shè)置為阻止更改墻紙域：已啟用“阻止更改墻紙”O(jiān)U：已禁用“阻止更改墻紙”是可以更改墻紙教員演示操作過程16應(yīng)用順序組策略按以下順序被應(yīng)用： LSDOU首先應(yīng)用本地組策略對象如果有站點(diǎn)組策略對象，則應(yīng)用之然后應(yīng)用域組策略對象如果計(jì)算機(jī)或用戶屬于某個(gè)OU，則應(yīng)用OU上的組策略對象如果計(jì)算機(jī)或用戶屬于某個(gè)OU的子OU，則應(yīng)用子OU上的組策略對象如果同一個(gè)容器下鏈接了多個(gè)組策略對象，則按照策略優(yōu)先級從

6、大到小逐個(gè)應(yīng)用17強(qiáng)制生效強(qiáng)制生效是上級容器強(qiáng)制下級容器執(zhí)行其GPO設(shè)置教員演示操作過程強(qiáng)制的18篩選篩選可以阻止一個(gè)GPO應(yīng)用于容器內(nèi)的特定計(jì)算機(jī)和用戶Sales_OUManagerASalesGPO 設(shè)置:阻止更改墻紙教員演示操作過程19小結(jié)請思考：如果OU上的組策略設(shè)置與域上的組策略設(shè)置沖突，OU的有效策略是什么？如果OU上的組策略設(shè)置與域上的組策略設(shè)置不沖突，OU的有效策略是什么？組策略的應(yīng)用順序是什么？20利用組策略實(shí)現(xiàn)軟件分發(fā)分發(fā)軟件 修復(fù)軟件刪除軟件 升級軟件 21分發(fā)軟件分發(fā)軟件的步驟 獲取Windows安裝程序包文件；該軟件包包含一個(gè).msi文件以及必要的相關(guān)安裝文件將軟件安

7、裝文件放到一個(gè)軟件分發(fā)點(diǎn)創(chuàng)建或修改GPO分配與發(fā)布的區(qū)別分配：分配到用戶或計(jì)算機(jī)發(fā)布：發(fā)布給用戶分配比發(fā)布更具強(qiáng)制性教員演示操作過程22修復(fù)軟件用戶的軟件發(fā)生文件丟失或損壞時(shí)，自動(dòng)重新復(fù)制正確的文件來修復(fù)如果原來軟件分發(fā)點(diǎn)上的安裝文件發(fā)生丟失或損壞在服務(wù)器上修復(fù)該軟件的源文件重新部署一次23刪除軟件不再需要分發(fā)的軟件，可以在GPO中刪除軟件設(shè)置 下一次用戶和計(jì)算機(jī)登錄或啟動(dòng)時(shí)，軟件會被強(qiáng)制刪除用戶和計(jì)算機(jī)仍可繼續(xù)執(zhí)行使用軟件，但不允許重新安裝 24升級軟件強(qiáng)制升級強(qiáng)制用戶將當(dāng)前軟件升級到新的版本可選升級允許用戶同時(shí)使用一個(gè)應(yīng)用程序的兩個(gè)版本 教員演示操作過程25本章總結(jié)組策略的概念軟件分發(fā)組策

8、略的作用分發(fā)軟件修復(fù)軟件組策略結(jié)構(gòu)刪除軟件計(jì)算機(jī)/用戶配置組策略組策略應(yīng)用規(guī)則繼承與阻止繼承累加應(yīng)用順序強(qiáng)制生效篩選升級軟件組策略簡單應(yīng)用26BENET3.0第一學(xué)期課程第八章 組策略應(yīng)用 上機(jī)部分實(shí)驗(yàn)案例1：組策略簡單應(yīng)用需求描述：公司搭建了Windows 2008域，域中有多個(gè)賬戶UserA、UserB和計(jì)算機(jī)賬戶Client01，如何使域中所有用戶使用統(tǒng)一的桌面背景？ 域28實(shí)驗(yàn)案例1：組策略簡單應(yīng)用實(shí)現(xiàn)思路：利用組策略統(tǒng)一桌面背景準(zhǔn)備桌面背景圖片規(guī)劃桌面背景圖片的保存位置并共享注意共享權(quán)限與NTFS權(quán)限29實(shí)驗(yàn)案例1：組策略簡單應(yīng)用學(xué)員練習(xí)：在DC上共享文件夾并設(shè)置共享權(quán)限與NTFS權(quán)

9、限將背景圖片保存至共享文件夾在DC上創(chuàng)建并鏈接組策略配置組策略刷新組策略驗(yàn)證組策略的應(yīng)用結(jié)果 30分鐘完成30實(shí)驗(yàn)案例2：組策略的應(yīng)用順序 需求描述：公司搭建了Windows 2008域，域中有組織單位Sales_OU，該組織單位中有多個(gè)賬戶和計(jì)算機(jī)賬戶，所有的策略為默認(rèn)狀態(tài)，現(xiàn)在需要：所有計(jì)算機(jī)在關(guān)閉時(shí)會顯示“關(guān)閉事件跟蹤程序”所有經(jīng)典開始菜單的用戶不顯示“注銷”所有Sales_OU中使用經(jīng)典開始菜單的用戶顯示“注銷”31實(shí)驗(yàn)案例2：組策略的應(yīng)用順序?qū)崿F(xiàn)思路：在域的組策略上設(shè)置“關(guān)閉事件跟蹤程序”在域組策略和OU組策略上對同一策略做不同設(shè)置驗(yàn)證效果學(xué)員練習(xí)：分別設(shè)置組策略驗(yàn)證組策略的繼承與生效順序30分鐘完成32實(shí)驗(yàn)案例3：實(shí)現(xiàn)軟件分發(fā)和升級 需求描述：公司搭建了Windows 2008域，域中有多個(gè)用戶賬戶UserA、UserB和計(jì)算機(jī)賬戶Client01，現(xiàn)要將MBSA2.0分發(fā)給所有域用戶 33實(shí)驗(yàn)案例3：實(shí)現(xiàn)軟件分發(fā)和升級實(shí)現(xiàn)思路：利用組策略實(shí)現(xiàn)軟件的分發(fā)與升級準(zhǔn)備軟件的.msi安裝包規(guī)劃安裝包的保