主講教師:譚鳴鐘WindowsServer2003服務(wù)器操作系統(tǒng)主講教師:譚鳴鐘WindowsServer2003服務(wù)器1第10章組策略及其應(yīng)用主要知識(shí)點(diǎn)：一、活動(dòng)目錄結(jié)構(gòu)和組策略 （了解）二、配置安全策略 （掌握）三、管理用戶環(huán)境 （掌握）四、文件夾重定向 （掌握）第10章組策略及其應(yīng)用主要知識(shí)點(diǎn)：2一組策略概述組策略是WindowsServer2003操作系統(tǒng)中提供的一種重要的更新和配置管理技術(shù)。系統(tǒng)管理員使用組策略來為計(jì)算機(jī)和用戶組管理桌面配置指定的選項(xiàng)。組策略很靈活，它包括如下的一些選項(xiàng)：基于注冊(cè)表的策略設(shè)置、安全設(shè)置、軟件安裝、腳本、計(jì)算機(jī)啟動(dòng)與關(guān)閉、用戶登錄和注銷，文件重定向等。WindowsServer2003包括幾百種可以配置的組策略設(shè)置。組策略設(shè)置允許企業(yè)管理員通過增強(qiáng)和控制用戶桌面來減少總的開銷。一組策略概述組策略是Windows3組策略只允許用戶一次性地規(guī)定自己的環(huán)境，在這之后，依賴操作系統(tǒng)來強(qiáng)制實(shí)施。組策略對(duì)象不是用戶配置文件。用戶配置文件是用來進(jìn)行用戶環(huán)境設(shè)置的，它允許用戶進(jìn)行更改，如：桌面設(shè)置、NTUSER.DAT文件中的注冊(cè)表配置、用戶配置文件目錄、MyDocuments以及Favorites等。而組策略是由系統(tǒng)管理員管理和維護(hù)的，系統(tǒng)管理員使用（MMC，MicrosoftManageController）工具來對(duì)用戶組和計(jì)算機(jī)組設(shè)置策略。組策略只允許用戶一次性地規(guī)定自己的環(huán)4默認(rèn)情況下，組策略能夠從站點(diǎn)、域、最后到組織單元繼承而來。應(yīng)用組策略對(duì)象（把它們鏈接到它們的目標(biāo)上）的順序和級(jí)別決定了用戶或計(jì)算機(jī)實(shí)際能收到的組策略設(shè)置。另外，組策略能夠在站點(diǎn)、域、組織單元這些級(jí)別上被阻塞；組策略還能夠基于組策略對(duì)象強(qiáng)制實(shí)施。這可以通過將組策略對(duì)象鏈接到它們的目標(biāo)上，然后將鏈接設(shè)置為非覆蓋方式來實(shí)現(xiàn)。默認(rèn)情況下，組策略影響站點(diǎn)、域、或組織單元中所有用戶和計(jì)算機(jī)，而不影響站點(diǎn)、域、或組織單元中的其他對(duì)象。默認(rèn)情況下，組策略能夠從站點(diǎn)、域、最5組策略插件為基于注冊(cè)表的策略、安全設(shè)置、軟件安裝、腳本和文件夾重定向提供內(nèi)置的特征。用戶創(chuàng)建的組策略設(shè)置包含在組策略對(duì)象中，也可以從屬于任何非本地（即基于活動(dòng)目錄）的組策略對(duì)象。使用組策略指定的策略設(shè)置是WindowsServer2003中啟用中心化的更新和配置管理的首選方式。組策略插件為基于注冊(cè)表的策略、安全設(shè)6組策略設(shè)置能夠：與站點(diǎn)、域、組織單元相關(guān)聯(lián)在站點(diǎn)、域、組織單元中影響用戶和計(jì)算機(jī)被安全組中的用戶或計(jì)算機(jī)成員進(jìn)一步控制是安全的，僅僅系統(tǒng)管理員能更改設(shè)置在策略改變時(shí)被刪除和重寫用于很好地調(diào)整桌面控制，增強(qiáng)用戶的計(jì)算環(huán)境組策略設(shè)置能夠：與站點(diǎn)、域、組織單元相關(guān)聯(lián)7二活動(dòng)目錄結(jié)構(gòu)和組策略組策略的實(shí)現(xiàn)是企業(yè)在規(guī)劃活動(dòng)目錄結(jié)構(gòu)設(shè)置時(shí)需要考慮的因素之一。組策略的基本單元是組策略對(duì)象（GroupPolicyObject）。組策略對(duì)象是用戶鏈接所有組策略對(duì)象的基本單元。不能僅僅將組策略對(duì)象的一個(gè)子集鏈接到目標(biāo)上。使用安全組來過濾組策略范圍同樣可達(dá)到打開或關(guān)閉組策略對(duì)象的目的，它不是僅能作用到部分組策略對(duì)象上。有兩種類型的組策略對(duì)象：本地組策略對(duì)象和非本地組策略對(duì)象。二活動(dòng)目錄結(jié)構(gòu)和組策略組策略的8組策略對(duì)象存儲(chǔ)在WindowsServer2003的域中，其作用由它們所鏈接的站點(diǎn)、域或組織單元啟用。鏈接到一個(gè)站點(diǎn)（使用活動(dòng)目錄站點(diǎn)和服務(wù)）的組策略對(duì)象能夠應(yīng)用于站點(diǎn)上的所有域。一個(gè)域的組策略對(duì)象直接應(yīng)用于域中的所有計(jì)算機(jī)和用戶，從而被組織單元（通常為活動(dòng)目錄容器）中的所有用戶和計(jì)算機(jī)繼承。應(yīng)用到組織單元的組策略對(duì)象直接應(yīng)用到組織單元中所有用戶和計(jì)算機(jī)，從而被組織單元（通常為活動(dòng)目錄容器）中所有用戶和計(jì)算機(jī)繼承。組策略對(duì)象存儲(chǔ)在WindowsSe9不可能將一組策略對(duì)象鏈接到通常的活動(dòng)目錄容器中。（通常的活動(dòng)目錄容器可以由它在活動(dòng)目錄用戶與計(jì)算機(jī)控制臺(tái)上的文件夾圖標(biāo)來區(qū)分。同一個(gè)組織單元中的圖標(biāo)是類似的，除了有一本小書的圖形疊放在文件夾上）然而，通常的活動(dòng)目錄容器中的用戶和計(jì)算機(jī)接收這些類型的策略，這些策略繼承于鏈接到較高層次的活動(dòng)目錄的組策略對(duì)象。例如，在活動(dòng)目錄用戶與計(jì)算機(jī)中見到的【User】和【Computer】不能有組策略對(duì)象直接鏈接到它們，但是它們可以通過繼承接收鏈接到域的組策略對(duì)象。不可能將一組策略對(duì)象鏈接到通常的活動(dòng)10本地組策略對(duì)象首先被應(yīng)用，然后是鏈接到站點(diǎn)的組策略對(duì)象，再然后是鏈接到域的組策略對(duì)象以特定順序被應(yīng)用，最后是鏈接到組織單元的組策略對(duì)象，其順序是開始于最高層（在活動(dòng)目錄層次）的組織單元（它包含用戶或計(jì)算機(jī)帳戶），終止于最低層（最接近用戶和計(jì)算機(jī)）的組織單元（它包含用戶和計(jì)算機(jī)）。在每個(gè)組織單元中，任何鏈接到它的組策略對(duì)象以指定的管理順序被應(yīng)用。本地組策略對(duì)象首先被應(yīng)用，然后是鏈接11應(yīng)用的順序（本地、站點(diǎn)、域和組織單元）對(duì)于活動(dòng)目錄體系結(jié)構(gòu)非常有意義。因?yàn)槿笔∏闆r下，對(duì)每種設(shè)置而言，后來被應(yīng)用的策略覆蓋前面應(yīng)用的策略，而無論后來被應(yīng)用的策略是“開啟”還是“關(guān)閉”。設(shè)置為“未定義”將不覆蓋任何東西（任何早期被應(yīng)用的設(shè)置），“打開”或“關(guān)閉”允許保留。組策略編輯器是如下圖所示的MMC插件，它分為兩個(gè)節(jié)點(diǎn)：【計(jì)算機(jī)配置】和【用戶配置】。每個(gè)節(jié)點(diǎn)包含了各自的安全主體的策略?？梢园巡呗詰?yīng)用到任何一個(gè)組策略對(duì)象中的兩個(gè)節(jié)點(diǎn)之一。應(yīng)用的順序（本地、站點(diǎn)、域和組織單元12組策略編輯器組策略編輯器133、配置安全策略安全策略用于WindowsServer2003網(wǎng)絡(luò)的安全設(shè)置。安全配置包含有應(yīng)用到一個(gè)或多個(gè)WindowsServer2003支持的安全領(lǐng)域的設(shè)置。指定的安全配置被應(yīng)用到計(jì)算機(jī)作為組策略強(qiáng)制的一部分。組策略插件的安全設(shè)置擴(kuò)展對(duì)已存在的系統(tǒng)安全工具進(jìn)行了補(bǔ)充。能為計(jì)算機(jī)配置安全領(lǐng)域的包括：（1）帳戶策略它們是WindowsServer2003域中關(guān)于密碼策略、帳戶鎖定策略的計(jì)算機(jī)安全設(shè)置。3、配置安全策略14（2）本地策略包括有關(guān)審核策略（試圖登錄時(shí)審計(jì)成功或失?。?、用戶權(quán)限分配（他們連接到網(wǎng)上）、以及安全選項(xiàng)（以匿名連接到計(jì)算機(jī)的能力）。（3）事件日志它控制如應(yīng)用的大小和保持方法、安全、系統(tǒng)事件日志等設(shè)置。可以通過事件瀏覽器來訪問這些日志。（2）本地策略15（4）受限組允許用來控制是否需要屬于安全敏感組，以及哪些其他組需要屬于安全敏感組。這就允許系統(tǒng)管理員強(qiáng)制有關(guān)敏感組的成員關(guān)系策略，這種敏感組的例子有企業(yè)管理員、薪水冊(cè)等。例如，有可能決定僅僅有兩個(gè)用戶成為企業(yè)管理員組，這樣就定義企業(yè)行政組為一個(gè)受限組，它僅包含兩個(gè)成員。如果第三個(gè)人添加到這個(gè)組（例如，在緊急情況下處理某個(gè)事情），下一次策略實(shí)施時(shí)該用戶被自動(dòng)的從企業(yè)管理員組刪除。這種策略也可以強(qiáng)制用于域中工作站上的組成員（即，強(qiáng)制使一些系統(tǒng)管理員從域中移到工作站上本地管理員組）。（4）受限組16（5）系統(tǒng)服務(wù)它控制啟動(dòng)模式及系統(tǒng)服務(wù)的訪問權(quán)限，如哪些用戶能關(guān)閉和啟動(dòng)傳真服務(wù)。（6）注冊(cè)表用來為注冊(cè)表表項(xiàng)配置注冊(cè)表設(shè)置，包括訪問控制、審計(jì)、所有者。（7）文件系統(tǒng)它用來為文件系統(tǒng)對(duì)象配置安全設(shè)置，包括訪問控制、審計(jì)、所有者。（5）系統(tǒng)服務(wù)171、帳戶策略裝入組策略的MMC管理單元后，出現(xiàn)本地計(jì)算機(jī)策略選項(xiàng)。要訪問帳戶策略文件夾，需展開【本地計(jì)算機(jī)策略】、【計(jì)算機(jī)配置】、【W(wǎng)indows設(shè)置】、【安全設(shè)置】和【帳戶策略】。如下圖所示。1、帳戶策略18設(shè)置帳戶策略設(shè)置帳戶策略19（1）密碼策略密碼策略（Passwordpolicies）可以強(qiáng)制在計(jì)算機(jī)上執(zhí)行安全要求。一定要注意，密碼策略在各個(gè)計(jì)算機(jī)上設(shè)置，而不能對(duì)特定用戶配置。密碼策略選項(xiàng)使用如下（如下圖所示）：強(qiáng)制密碼歷史：用戶不能用相同的密碼。用戶在舊密碼到期或改變時(shí)要?jiǎng)?chuàng)建新密碼。密碼最長(zhǎng)使用期限：到達(dá)最大密碼壽命期后強(qiáng)迫用戶改變密碼。密碼最短使用期限：不允許用戶連續(xù)多次改變密碼以破壞強(qiáng)制密碼歷史策略。（1）密碼策略密碼策略選項(xiàng)使用如下（如下圖所示）：20密碼長(zhǎng)度最小值：保證用戶創(chuàng)建密碼并指定其符合長(zhǎng)度要求。如果不設(shè)置這個(gè)選項(xiàng)，則用戶不需要?jiǎng)?chuàng)建密碼。密碼必須符合復(fù)雜性要求：防止用戶將常用字典中的項(xiàng)目當(dāng)作密碼。用可還原的加密來存儲(chǔ)密碼：提供用戶密碼的高級(jí)安全性。密碼長(zhǎng)度最小值：保證用戶創(chuàng)建密碼并指定其符合長(zhǎng)度要求。如果不21密碼策略密碼策略22（2）帳戶鎖定策略帳戶鎖定策略用于指定無效登錄企圖的最大次數(shù)。它通常被配置成在y分鐘內(nèi)進(jìn)行x次登錄失敗時(shí)帳戶將在指定的時(shí)間段內(nèi)鎖定，直到管理員打開這個(gè)帳戶鎖，如下圖所示。帳戶鎖定策略類似于銀行處理ATM訪問碼安全性的方法。用戶有幾次機(jī)會(huì)輸入訪問碼。這樣，如果別人企圖盜用，那么他無法一直猜訪問碼。通常，幾次訪問失敗后，ATM機(jī)會(huì)吃掉這個(gè)卡，然后需要從銀行申請(qǐng)辦理新卡。（2）帳戶鎖定策略23帳戶鎖定策略帳戶鎖定策略242、本地策略帳戶策略可控制登錄過程。要控制用戶登錄之后的操作，需使用本地策略（localpolicies），如下圖所示。利用本地策略可以實(shí)現(xiàn)審核、指定用戶權(quán)限和設(shè)置安全選項(xiàng)。設(shè)置本地策略2、本地策略設(shè)置本地策略25（1）審核策略可以通過審計(jì)策略審核與用戶管理有關(guān)的事件。通過跟蹤某個(gè)事件，可以創(chuàng)建特定任務(wù)的歷史，其界面如下圖所示。審核策略（1）審核策略審核策略26定義審計(jì)策略時(shí)，可以選擇采用審核訪問也可以選擇特定事件故障。事件成功表示任務(wù)順利完成，事件失敗表示任務(wù)沒有順利完成。缺省情況下，審核過程并不啟用，需要手工配置。配置審核過程之后，可以通過事件查看器、安全日志瀏覽審核結(jié)果。審核太多事件會(huì)因?yàn)樵龃筇幚硪蠖档拖到y(tǒng)性能。審核還需要大量磁盤空間來存放審核日志，因此事件查看實(shí)用程序要慎用。定義審計(jì)策略時(shí)，可以選擇采用審核訪問27（2）用戶權(quán)限分配用戶權(quán)限分配確定了用戶和組對(duì)計(jì)算機(jī)的權(quán)利。用戶權(quán)利的一個(gè)例子是備份文件和目錄權(quán)利。這個(gè)權(quán)利使用戶可以備份文件與文件夾，如下圖所示。用戶權(quán)限分配（2）用戶權(quán)限分配用戶權(quán)限分配28（3）安全選項(xiàng)啟用或禁用計(jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號(hào)、Administrator和Guest的帳戶名、軟盤驅(qū)動(dòng)器和光盤的訪問、驅(qū)動(dòng)程序的安裝以及登錄提示，如下圖所示。安全選項(xiàng)（3）安全選項(xiàng)安全選項(xiàng)29四管理用戶環(huán)境管理用戶環(huán)境意味著控制用戶在登錄網(wǎng)絡(luò)時(shí)有哪些權(quán)利，以及用戶桌面上會(huì)出現(xiàn)哪些內(nèi)容。集中配置和管理用戶環(huán)境，可以執(zhí)行下列任務(wù)：把用戶訪問限制在所選擇的操作系統(tǒng)的某些部分?？梢苑乐褂脩舸蜷_控制面板和關(guān)閉計(jì)算機(jī)。通過防止用戶訪問一些關(guān)鍵的操作系統(tǒng)組件和配置選項(xiàng)，可以減少用戶破壞系統(tǒng)的可能性。四管理用戶環(huán)境管理用戶環(huán)境意味著控30要有效地配置和管理用戶環(huán)境，應(yīng)確保用戶只可以訪問他們工作需要的資源。利用管理模板可以簡(jiǎn)化用戶環(huán)境并防止用戶破壞工作環(huán)境或把時(shí)間花在不必要的應(yīng)用程序、軟件和文件上。限制使用WindowsServer2003中的工具和組件。這些工具和組件包括InternetExplorer、資源管理器和MMC?？梢圆蛔層脩艨吹竭@些工具，除非他們確實(shí)需要使用。組裝用戶桌面?？梢源_保用戶有他們所需要的文件、快捷方式和網(wǎng)絡(luò)連接。使用管理模板可以配置和管理用戶環(huán)境。要有效地配置和管理用戶環(huán)境，應(yīng)確保用31如下圖所示，【本地計(jì)算機(jī)】策略有兩個(gè)部分：計(jì)算機(jī)的配置主要集中于WindowsServer2003的管理，而用戶的配置主要集中于控制用戶如何能夠影響桌面環(huán)境。使用管理模板管理用戶環(huán)境如下圖所示，【本地計(jì)算機(jī)】策略有兩個(gè)部32管理模板設(shè)置分成七種類型，下表列出了管理模板擴(kuò)展中不同類型的設(shè)置。設(shè)置類型控制可使用者Windows組件用戶可以訪問的WindowsServer2003及其工具和組件部分，例如用戶對(duì)MMC的訪問。計(jì)算機(jī)和用戶系統(tǒng)登錄、退出過程。利用系統(tǒng)設(shè)置，可以管理組策略、更新間隔、磁盤配額等。計(jì)算機(jī)和用戶網(wǎng)絡(luò)網(wǎng)絡(luò)連接和撥號(hào)連接的屬性，包括共用網(wǎng)絡(luò)訪問。計(jì)算機(jī)和用戶任務(wù)欄和開始菜單用戶可以從開始菜單中訪問的功能部件。例如，如果刪除“運(yùn)行”菜單，用戶將不能運(yùn)行沒有圖標(biāo)或快捷方式的應(yīng)用程序?？梢园验_始菜單設(shè)置為只讀方式，這樣可以防止用戶修改。用戶桌面活動(dòng)桌面。通過隱藏某些桌面圖標(biāo)并控制用戶對(duì)MyDocuments文件夾使用，可以控制用戶對(duì)網(wǎng)絡(luò)的訪問。用戶控制面板控制面板上的一些應(yīng)用程序。包括限制對(duì)添加/刪除程序，顯示和打印機(jī)的使用。用戶共享文件夾控制用戶是否允許發(fā)布共享文件夾或DFS根。用戶管理模板設(shè)置分成七種類型，下表列出了管理模板33五文件夾重定向在用戶配置文件中，可以使用文件夾重定向擴(kuò)展來重定向下面的任何文件夾到可選的位置（如網(wǎng)絡(luò)共享）：ApplicationDataDesktopMyDocumentsMyPictures開始菜單五文件夾重定向在用戶配置文件中34可以重定向一名用戶的MyDocuments文件夾到\\server_name\share_name\%username%，并且提供如下的好處：可以確保用戶從一臺(tái)計(jì)算機(jī)漫游到另一臺(tái)計(jì)算機(jī)，并且無論在有或沒有漫游用戶配置文件的情況下用戶的文檔都是可用的?？梢园延脩舻臄?shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)上而不是本地計(jì)算機(jī)上，這就為用戶提供了管理和保護(hù)數(shù)據(jù)的另一種方式。當(dāng)用戶從企業(yè)網(wǎng)上斷開時(shí)，可以通過離線文件夾技術(shù)使用戶的基于網(wǎng)絡(luò)的文件夾可用?？梢灾囟ㄏ蛞幻脩舻腗yDocume35類似的好處適用任何重定向文件夾，而不僅僅是MyDocuments文件夾。重定向到一個(gè)DFS共享在服務(wù)器失敗時(shí)增加了安全性。設(shè)置文件夾重定向的步驟如下：第1步打開組策略編輯器。第2步展開【用戶配置】，展開【W(wǎng)indows設(shè)

置】，然后展開【文件夾重定向】。第3步右鍵單擊需要重定向的文件夾名稱，單擊

【屬性】，然后提供目標(biāo)路徑和位置。后表

是【目標(biāo)】標(biāo)簽上的選項(xiàng)說明。類似的好處適用任何重定向文件夾，而不36選項(xiàng)說明設(shè)置【沒有具體指定的管理策略】。默認(rèn)設(shè)置。【基本】，把所有文件夾重定向到同一位置。【高級(jí)】，為不同的安全組指定位置。該選項(xiàng)允許重定向用戶的文件夾并根據(jù)組成員資格指定不同的位置。目標(biāo)文件夾位置選擇【基本】的時(shí)候會(huì)出現(xiàn)該選項(xiàng)。該選項(xiàng)把所有的文件夾重定向到同一位置，并允許為新位置指定通用命名條例（UNC）的路徑名?？梢园聪铝懈袷接玫卿浢纸⒛繕?biāo)文件夾名字：\\server_name\share_name\%username%。安全組成員資格選擇【高級(jí)】的時(shí)候會(huì)出現(xiàn)該選項(xiàng)。該選項(xiàng)為不同的安全組制定具體位置。這里會(huì)出現(xiàn)安全組和重定向文件夾的路徑。和上一個(gè)選項(xiàng)一樣，可以用登錄名建立文件夾名字。目標(biāo)標(biāo)簽選項(xiàng)選項(xiàng)說明設(shè)置【沒有具體指定的管理策略】。默認(rèn)設(shè)置。目37

【設(shè)置】標(biāo)簽上的選項(xiàng)控制文件夾重定向的方式。應(yīng)該注意這些設(shè)置的預(yù)設(shè)值，這可能和服務(wù)器磁盤空間與安全性相關(guān)。下表是文件夾重定向設(shè)置的解釋。選項(xiàng)效果授予文件夾用戶獨(dú)占權(quán)默認(rèn)選中，該設(shè)置確保只有用戶和系統(tǒng)有權(quán)訪問文件夾。管理人員不能訪問這些文件夾。把文件夾移到新位置默認(rèn)選中，該設(shè)置在組策略下一次實(shí)現(xiàn)的時(shí)候把文件夾移動(dòng)到新位置。策略刪除當(dāng)重定向策略刪除的時(shí)候，可以將文件夾保留在重定向的位置?！驹O(shè)置】標(biāo)簽上的選項(xiàng)控制文件夾重定向的方式。應(yīng)該注381.組策略概論:

是一個(gè)管理用戶工作環(huán)境的技術(shù),通過他可以確保用戶擁有所需要的工作環(huán)境,也可以用他來限制用戶,減輕管理員的負(fù)擔(dān)。1.1組策略的功能:1、賬戶策略：如設(shè)定用戶密碼長(zhǎng)度，使用期限，賬戶鎖定

2、本地策略：如審核策略、用戶權(quán)限的指派，安全性

3、腳本（scripts）：如登錄/注銷，啟動(dòng)/關(guān)機(jī)。

4、用戶工作環(huán)境：如隱藏桌面圖標(biāo)，刪除開始菜單中的“運(yùn)行/搜索/關(guān)機(jī)”等功能。

1.組策略概論:39

5、軟件的安裝與刪除：?jiǎn)?dòng)計(jì)算機(jī)時(shí)，自動(dòng)為用戶安裝應(yīng)用軟件，自動(dòng)修復(fù)應(yīng)用軟件或刪除。

6、限制軟件的運(yùn)行：限制域用戶只能運(yùn)行某些軟件。

7、文件夾轉(zhuǎn)移：改變文件夾的存儲(chǔ)位置

8、其他系統(tǒng)設(shè)定：讓所有計(jì)算機(jī)自動(dòng)信任指定CA

組策略包含“計(jì)算機(jī)配置”和“用戶配置”兩部分：一、計(jì)算機(jī)配置：當(dāng)啟動(dòng)計(jì)算機(jī)時(shí)，系統(tǒng)就會(huì)根據(jù)“計(jì)算機(jī)配置”的內(nèi)容來配置計(jì)算機(jī)的環(huán)境。如針對(duì)域配置了組策略，那么此組策略內(nèi)的“計(jì)算機(jī)配置”就會(huì)被應(yīng)用到此域內(nèi)的所有計(jì)算機(jī)。5、軟件的安裝與刪除：?jiǎn)?dòng)計(jì)算機(jī)時(shí)，自動(dòng)為用戶安裝應(yīng)用40二、用戶配置：當(dāng)用戶登錄時(shí)，系統(tǒng)就會(huì)根據(jù)“用戶配置”的內(nèi)容來配置用戶的工作環(huán)境。如針對(duì)“業(yè)務(wù)部”O(jiān)U設(shè)定了組策略內(nèi)的“用戶配置”就會(huì)被應(yīng)用到此OU內(nèi)的所有用戶。除了可以針對(duì)站點(diǎn)，域或OU設(shè)定策略外，還可以針對(duì)本地計(jì)算機(jī)設(shè)定組策略。1.2組策略對(duì)象：組策略是通過“組策略對(duì)象（GPO）”來設(shè)定的，只要將GPO連接到指定的站點(diǎn)、域或OU，該GPO內(nèi)的設(shè)定值就會(huì)影響到該對(duì)象的所有計(jì)算機(jī)或用戶。二、用戶配置：當(dāng)用戶登錄時(shí)，系統(tǒng)就會(huì)根據(jù)“用戶41域管理組策略及其應(yīng)用ppt課件42域管理組策略及其應(yīng)用ppt課件43域管理組策略及其應(yīng)用ppt課件441.3組策略的應(yīng)用時(shí)機(jī)：當(dāng)修改了GPO的配置后，這些配置值并不是立即有效，而是必須等他們應(yīng)用到用戶或計(jì)算機(jī)后才有效。何時(shí)有效，要看是計(jì)算機(jī)配置，還是用戶配置而定。一、計(jì)算機(jī)配置的啟用時(shí)間：

1、計(jì)算機(jī)開機(jī)時(shí)

2、即使計(jì)算機(jī)不重啟，系統(tǒng)也會(huì)自動(dòng)啟用：域控制器：每5分鐘非域控制器：每90—120分鐘不論策略配置是否改動(dòng)，系統(tǒng)每16小時(shí)自動(dòng)啟用一次

3、手動(dòng)（WIN2003）：gpupdate/target:computer/force

1.3組策略的應(yīng)用時(shí)機(jī)：45二、用戶配置的啟用時(shí)間：

1、用戶登錄時(shí)：

2、每90—120分鐘不論策略配置是否改動(dòng)，系統(tǒng)每16小時(shí)自動(dòng)啟用一次

3、手動(dòng)：gpupdate/target:user/force二、用戶配置的啟用時(shí)間：462.組策略實(shí)例：2.1計(jì)算機(jī)配置：由于系統(tǒng)默認(rèn)只有某些組內(nèi)的用戶，才有權(quán)限在域控制器的計(jì)算機(jī)上登錄，因此一般用戶在利用域控制器的時(shí)候，會(huì)出現(xiàn)“此系統(tǒng)的本地策略不允許你交互登錄”的字樣。那我們?nèi)绾巫屍渌脩粢部梢詠淼卿浀接蚩刂破魃夏兀?/p>

ActiveDirectory用戶和計(jì)算機(jī)——DomainContorllers——屬性——組策略

2.組策略實(shí)例：47域管理組策略及其應(yīng)用ppt課件48域管理組策略及其應(yīng)用ppt課件49域管理組策略及其應(yīng)用ppt課件50域管理組策略及其應(yīng)用ppt課件51但不是我們對(duì)策略配置好了，就可以馬上生效，而必須等待這個(gè)策略應(yīng)用到域控制器上后，才可以使用。2.2用戶配置：我們利用組策略中的“用戶配置”，讓一個(gè)OU中的用戶在登錄域后，刪除”開始“菜單中的“運(yùn)行”選項(xiàng)。業(yè)務(wù)部——屬性——組策略——按圖操作

但不是我們對(duì)策略配置好了，就可以馬上生效，而必52域管理組策略及其應(yīng)用ppt課件53域管理組策略及其應(yīng)用ppt課件54域管理組策略及其應(yīng)用ppt課件55域管理組策略及其應(yīng)用ppt課件56域管理組策略及其應(yīng)用ppt課件57域管理組策略及其應(yīng)用ppt課件583.組策略的處理規(guī)則：

域控制器與域內(nèi)的計(jì)算機(jī)在處理、應(yīng)用組策略時(shí)，有一定的程序與規(guī)則，了解他們，才可以通過組策略來管理用戶和計(jì)算機(jī)。3.1一般的繼承與處理規(guī)則：

1、如果父容器（high-levelcontainer）的某個(gè)策略被配置，但其子容器（low-levelcontainer）的策略未被配置，則子將繼承父的配置值。如：的GPO內(nèi)的某策略已經(jīng)配置了，但OU業(yè)務(wù)部的策略還是未配置，那么OU將繼承a的策略。3.組策略的處理規(guī)則：59

2、如果子容器內(nèi)的某個(gè)策略被配置，則此配置值會(huì)覆蓋由其父容器繼承下來的配置。

3.組策略的配置是累加性的，如在業(yè)務(wù)部?jī)?nèi)建立了一個(gè)GPO，同時(shí)在域和站點(diǎn)也都有GPO，則域、站點(diǎn)和業(yè)務(wù)部的GPO將累加起來，作為業(yè)務(wù)部的最后的有效值。但當(dāng)他們出現(xiàn)沖突時(shí)，則以處理順序在后的GPO優(yōu)先。系統(tǒng)處理順序是；站點(diǎn)、域、OU

所以其中OU的優(yōu)先級(jí)別最高最優(yōu)先。2、如果子容器內(nèi)的某個(gè)策略被配置，則此配置值會(huì)覆蓋由60

4、系統(tǒng)是先處理“計(jì)算機(jī)配置”，再處理“用戶配置”。如果他們發(fā)生沖突時(shí)，雖然“用戶配置”在后，但大部分情況下是以”計(jì)算機(jī)配置”為先。

5、如果將多個(gè)GPO連接到同一個(gè)OU，那么所有的GPO