組策略（基礎(chǔ)篇）學(xué)習(xí)目標懂得組策略如何簡化管理windows2003網(wǎng)絡(luò)；了解在windows2003網(wǎng)絡(luò)中組策略的結(jié)構(gòu)；了解組策略各項的功能；掌握組策略對象的創(chuàng)建；掌握組策略對象的生效規(guī)則。內(nèi)容介紹組策略概念組策略的內(nèi)容結(jié)構(gòu)在活動目錄中設(shè)置組策略組策略的生效規(guī)則重、難點分析重點：組策略的功能組策略的結(jié)構(gòu)組策略對象的創(chuàng)建組策略的生效難點：組策略對象的存儲結(jié)構(gòu)組策略對象的創(chuàng)建組策略的生效組策略(GroupPolicy)是一個管理用戶工作環(huán)境的技術(shù),通過它可以確保用戶擁有所需的工作環(huán)境,也可以通過它來限制用戶,這不僅讓用戶擁有適當?shù)沫h(huán)境,也減輕了系統(tǒng)管理員的管理負擔.任務(wù)一組策略概述使用組策略可以做到：站點/域級別的集中管理，OU級別分散的管理控制用戶的系統(tǒng)軟件環(huán)境通過控制用戶和計算機環(huán)境，降低管理成本任務(wù)一組策略介紹2003就能連接使用這些設(shè)置管理員使用組策略配置設(shè)置后站點域OU組策略用戶計算機組策略的功能展示帳戶策略的設(shè)定:例如設(shè)定用戶密碼的長度、密碼使用期限、帳戶鎖定策略等。本地策略的設(shè)置：例如審核策略的設(shè)置、用戶權(quán)限的指派、安全性的設(shè)置。腳本（scripts）的設(shè)置：例如登錄/注銷、啟動/關(guān)機腳本的設(shè)置。用戶工作環(huán)境的設(shè)置：例如隱藏用戶桌面上所有圖標，刪除“開始”菜單中的“運行”/“搜索”/“關(guān)機”等功能，添加“注銷”功能等。軟件的安裝與刪除:用戶登錄或計算機啟動時，自動為用戶安裝應(yīng)用軟件、自動修復(fù)應(yīng)用軟件或自動刪除應(yīng)用軟件。限制軟件的運行:通過各種不同軟件限制的規(guī)則，來限制域用戶只能運行某些軟件。文件夾重定向:例如改變“我的文檔”、“開始菜單”等文件夾的存儲位置。其他系統(tǒng)設(shè)置用戶組策略設(shè)置:用戶登錄時，系統(tǒng)根據(jù)此內(nèi)容來配置用戶的工作環(huán)境。桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置計算機策略設(shè)置:啟動計算機時，系統(tǒng)就會根據(jù)此內(nèi)容來配置計算機的環(huán)境。桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置組策略的組成組策略的配置選項計算機配置：當啟動計算機時，系統(tǒng)就會根據(jù)“計算機配置”的內(nèi)容來配置計算機的環(huán)境。用戶配置：當用戶登錄時，系統(tǒng)就會根據(jù)“用戶配置”來配置用戶的工作環(huán)境。注：除了可以針對站點、域、OU來設(shè)定組策略之外，還可以針對每一臺計算機配置“本地計算機策略”，這個策略只會應(yīng)用到本地計算機以及在此計算機登錄的所有用戶。組策略基本規(guī)則組策略只能夠管理計算機與用戶，不可以管理打印機、共享文件夾等其它對象。組策略不能應(yīng)用到組，只可以應(yīng)用到站點、域控制器或者組織單位（Site、Domain、OU）等容器上。組策略不會影響未加入域的計算機和用戶，對于這些計算機和用戶，應(yīng)該使用本地安全策略來管理。組策略是通過“組策略對象（GroupPolicyObject,GPO）”來設(shè)定的，只要將GPO鏈接到指定的站點、域或OU等容器上，該GPO內(nèi)的設(shè)定值就會影響到該站點、域或OU內(nèi)的所有用戶和計算機。內(nèi)建的GPO：系統(tǒng)已經(jīng)有兩個內(nèi)建的GPO，分別是：DefaultDomainPloicy

此GPO已經(jīng)被鏈接到域，因此它的設(shè)定值會被應(yīng)用到整個域內(nèi)的所有用戶和計算機。DefaultDomainControllerPloicy

此GPO已經(jīng)被鏈接到DomainControllerOU，因此它的設(shè)定值會被應(yīng)用到域控制器組織單位內(nèi)的所有用戶和計算機，即默認只有域控制器。任務(wù)二組策略對象（GroupPolicyObject）GPO包含組策略設(shè)置內(nèi)容存儲在兩個場所存儲在活動目錄數(shù)據(jù)庫內(nèi)記載此GPO的屬性與版本等數(shù)據(jù)查看GPC：AD用戶和計算機--查看--高級--選擇域--展開System容器--Policies位于DC%systemroot%\SYSVOL\Sysvol\域名稱\Policies文件夾內(nèi),以GUID為文件夾名存儲GPO的配置值與相關(guān)文件的文件夾組策略容器GPC組策略模板GPT組策略所有配置信息GPO內(nèi)容被分為GPC和GPT兩部分：GPO的內(nèi)容創(chuàng)建連接的組策略對象創(chuàng)建連接的GPO連接的GPO的名字

默認：連接到域/OU—域/企業(yè)管理員組連接到站點—企業(yè)管理員組GroupPolicyCreatorOwners組可創(chuàng)建和修改GPO，但不能建立連接。新建的GPO沒有任何設(shè)置創(chuàng)建連接的組策略對象當修改了站點、域或OU的GPO配置值后，并不是立刻就有效，而是必須等它們被應(yīng)用到用戶或計算機后才有效。計算機配置的啟用時間計算機開機時自動啟用即使不重新開機，系統(tǒng)仍然會每隔一段時間自動啟用：域控制器默認每隔5分鐘自動啟用非域控制器默認每隔90~120分鐘自動啟用不論策略配置值是否有變動，系統(tǒng)仍然會每隔16小時自動啟用一次手動啟用：gpupdate/darget:computer/force可從事件查看器內(nèi)查看“SceCli”事件來檢查是否已經(jīng)啟用成功。任務(wù)三組策略的生效應(yīng)用用戶配置的啟用時間用戶登錄時自動啟用。即使用戶不注銷、登錄，系統(tǒng)默認每隔90~120分鐘自動啟用。而且會每隔16小時自動啟用一次。手動啟用：gpupdate/darget:user/force組策略實例在繼續(xù)組策略高級功能之前，為了加深印象，下面關(guān)于計算機和用戶的兩個實例：實例1：計算機配置由于系統(tǒng)默認只有某些組內(nèi)（administrators）的用戶才有權(quán)限在扮演域控制器的計算機上登陸，因此一般用戶登陸時會提示“此系統(tǒng)的本地策略不允許您交互登陸”讓所有的域用戶都能登陸，修改“DefaultDomainControllerPloicy”中的“允許本地登陸”的權(quán)限。組策略實例實例2：用戶配置利用“用戶配置”讓某OU容器內(nèi)的用戶登陸后在“開始”菜單內(nèi)沒有“運行”選項。選擇此OU—屬性—組策略—新建—用戶配置—管理模板—任務(wù)欄和[開始]菜單—從[開始]菜單中刪除‘運行’菜單總結(jié)組策略的介紹組策略的結(jié)構(gòu)組策略對象的內(nèi)容組策略的生效時間9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Tuesday,March18,202510、人的志向通常和他們的能力成正比例。00:43:0100:43:0100:433/18/202512:43:01AM11、夫?qū)W須志也，才須學(xué)也，非學(xué)無以廣才，非志無以成學(xué)。3月-2500:43:0100:43Mar-2518-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。00:43:0100:43:0100:43Tuesday,March18,202513、志不立，天下無可成之事。3月-253月-2500:43:0100:43:01March18,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。18三月202512:43:01上午00:43:013月-2515、會當凌絕頂，一覽眾山小。三月2512:43上午3月-250