1、組策略,第四章,上節(jié)回顧,域組的分類(lèi) 信任關(guān)系的種類(lèi) 將資源發(fā)布到活動(dòng)目錄中 跨域訪問(wèn)資源,本章目標(biāo),理解GPO的概念 掌握組策略管理器的使用 理解GPO的應(yīng)用規(guī)則 利用組策略完成用戶環(huán)境的管理 組策略的委派管理,介紹組策略,通過(guò)使用組策略，可以: 設(shè)置整個(gè)組織的集中化策略或分散式策略 確保用戶有適合他們工作的環(huán)境 降低控制用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用 推行公司策略,組策略的作用,方便地管理AD中的計(jì)算機(jī)和用戶 賬戶策略的設(shè)定 本地策略的設(shè)定 腳本的設(shè)定 用戶桌面環(huán)境 計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)與用戶登錄/注銷(xiāo)時(shí)所執(zhí)行的腳本文件 文件夾重定向 軟件分發(fā) 安全設(shè)置,組策略,應(yīng)用組策略的前提條件,組策略只能管理

2、AD中的計(jì)算機(jī)和用戶 只能在域控制器上設(shè)置組策略 只能針對(duì)整個(gè)站點(diǎn)、域或組織單位來(lái)設(shè)置組策略 要使用組策略，必須有相應(yīng)的管理權(quán)限 組策略只適用于Windows 2000以上操作系統(tǒng)的計(jì)算機(jī),組策略結(jié)構(gòu),組策略的設(shè)置數(shù)據(jù)皆保存在GPO中 GPO鏈接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的計(jì)算機(jī)和用戶,SDOU,GPO,計(jì)算機(jī),用戶,組策略,GPO與SDOU間的鏈接關(guān)系,域,組織單位,GPO 1,組織單位,組織單位,組織單位,組織單位,組織單位,站點(diǎn),GPO 2,GPO 4,GPO 3,GPO 5,A 一個(gè)容器對(duì)一個(gè)GPO,B 多個(gè)容器對(duì)一個(gè)GPO

3、,C 一個(gè)容器對(duì) 多個(gè)GPO,鏈接到GPO,組策略的對(duì)象,查看GPC、GPT、LCP,GPC-group policy container AD計(jì)算機(jī)用戶和計(jì)算機(jī)-高級(jí)-選擇域-展開(kāi)System容器-policies，將會(huì)看到包含用GUID所標(biāo)識(shí)兩個(gè)默認(rèn)GPO的文件夾(default domain policy and domain controller policy) GPT-group policy templates 存放于當(dāng)前DC的%systemroot%SYSVOLsysvol域名稱(chēng)policies文件夾內(nèi)，同樣是以GUID所標(biāo)識(shí)兩個(gè)默認(rèn)GPO的文件夾(default domain

4、policy and domain controller policy) LCP-local computer policy 本地計(jì)算機(jī)策略，存放于本地計(jì)算機(jī)的%systemroot%system32grouppolicy文件內(nèi),1,2,3,4,5,新建GPO,6,7,8,9,組策略的添加和刪除,1,2,3,4,編輯GPO,組策略的繼承,域,組織單位 Product,組織單位 Employees,GPO f,應(yīng)用GPO-f到域,繼承,繼承,John受到GPO-f的約束,域的組策略,組織單位的組策略,下層組織單位的組策略,不設(shè)置阻止 策略繼承,設(shè)置阻止 策略繼承,阻礙,John不受GPO-f的約

5、束,設(shè)置阻止 策略繼承,設(shè)置禁止替代,課堂討論：如何應(yīng)用組策略 :,課堂討論：如何應(yīng)用組策略(2),What are the resultant Group Policy settings for the OU?,A password must be at least 11 characters long The Windows Update icon appears on the Start menu Favorites does not appear on the Start menu,GPO3,課堂討論：改變組策略的繼承性,課堂討論：改變組策略的繼承性(2),計(jì)算機(jī)配置,1,2,3,4,

6、5,6,7,8,用戶配置,1,2,3,4,5,6,7,8,管理用戶桌面環(huán)境,1,2,3,利用GPO實(shí)現(xiàn)安全設(shè)置,管理模板,定義系統(tǒng)中所有涉及到注冊(cè)數(shù)據(jù)的設(shè)置 計(jì)算機(jī)配置 用戶配置,文件夾重定向,2,1,3,4,5,6,組策略的應(yīng)用時(shí)機(jī),在下列情況時(shí) GetGPOList 功能在客戶機(jī)運(yùn)行： 當(dāng)計(jì)算機(jī)開(kāi)始決定應(yīng)用哪個(gè)包含計(jì)算機(jī)配置設(shè)置的 GPO 時(shí)，在客戶機(jī)上運(yùn)行該功能 當(dāng)用戶登錄，決定處理哪個(gè)包含用戶配置設(shè)置的 GPO 時(shí)，在客戶機(jī)上再次運(yùn)行該功能,組策略的委派管理,鏈接GPO到站點(diǎn)、域或OU的委派 添加GPO的委派 編輯GPO的委派,鏈接GPO到站點(diǎn)、域或OU的委派,系統(tǒng)默認(rèn)Domain A

7、dmins或Enterprise Admins組內(nèi)的用戶可以將GPO鏈接到站點(diǎn)、域或OU 一般用戶如果擁有對(duì)站點(diǎn)、域或OU的gPLink與gPOptions這兩個(gè)屬性的讀取與寫(xiě)入權(quán)限，就可以將GPO鏈接到站點(diǎn)、域或OU 可以通過(guò)“委派控制”的方式來(lái)賦予一般用戶gPLink與gPOptions這兩個(gè)屬性的讀取與寫(xiě)入權(quán)限,添加GPO的委派,只要用戶是屬于Domain Admins、Enterprise Admins、Group Policy Creator Owners組的用戶，他就擁有添加GPO的權(quán)限 Group Policy Creator Owners組內(nèi)的一般用戶，在添加GPO后，就是這個(gè)

8、GPO的擁有者，對(duì)這個(gè)GPO擁有完全控制的權(quán)限，可以編輯這個(gè)GPO的內(nèi)容，但無(wú)權(quán)限編輯其他的GPO Group Policy Creator Owners組內(nèi)的用戶，雖然可以添加GPO，但無(wú)權(quán)限將GPO鏈接到站點(diǎn)、域或OU，除非他們被委派權(quán)限,編輯GPO的委派,只要用戶是屬于Domain Admins或Enterprise Admins、GPO的擁有者、被賦予修改GPO權(quán)限，就可以編輯GPO的內(nèi)容。,控制組策略的處理,同步和異步處理 默認(rèn)的組策略處理是同步的 可以通過(guò)使用組策略設(shè)置將默認(rèn)的行為改為異步 在選定的時(shí)間間隔內(nèi)刷新組策略 在運(yùn)行 Windows2003 Sever 但沒(méi)有配置成域控制

9、器的計(jì)算機(jī)和運(yùn)行Windows XP的計(jì)算機(jī)上每90120分鐘刷新一次 域控制器每5分鐘刷新一次 不論策略配置值是否有變化，系統(tǒng)仍然會(huì)每隔16小時(shí)自動(dòng)啟用一次 手動(dòng)強(qiáng)制刷新組策略 gpupdate /force 未發(fā)生變更的組策略設(shè)置的處理 你可以配置每一個(gè)客戶端的擴(kuò)展來(lái)處理所有可用的組策略設(shè)置,解決組策略間的沖突,應(yīng)用組策略的結(jié)果是那些除了發(fā)生沖突以外設(shè)置的應(yīng)用 組策略的配置具有累加性 如果發(fā)生沖突，默認(rèn)的狀態(tài)下，實(shí)施最后的設(shè)置 來(lái)自父容器的GPO設(shè)置和來(lái)自子容器的GPO設(shè)置發(fā)生沖突。子容器的設(shè)置后執(zhí)行并發(fā)揮作用 當(dāng)站點(diǎn)、域、OU的GPO策略發(fā)生沖突時(shí)，則以處理順序在后的GPO優(yōu)先。處理優(yōu)先

10、順序?yàn)椋赫军c(diǎn)的GPO、域的GPO、OU的GPO 當(dāng)用戶設(shè)置和計(jì)算機(jī)設(shè)置發(fā)生沖突時(shí)，忽略用戶設(shè)置而執(zhí)行計(jì)算機(jī)設(shè)置 如果多個(gè)GPO鏈接到同一個(gè)OU，那么所有GPO的配置將被累加作為最后的有效配置。如果這些GPO配置有沖突，則以排在GPO列表最上面的GPO配置為優(yōu)先。 “本地計(jì)算機(jī)策略”的優(yōu)先權(quán)最低，也就是在其策略配置與站點(diǎn)、域、OU的策略配置發(fā)生沖突時(shí)，本地計(jì)算機(jī)策略無(wú)效。,解決組策略沖突,最佳方案,限制使用阻止、過(guò)濾GPO限制，特別是域相互之間 的使用,限制影響計(jì)算機(jī)或用戶的GPO數(shù)目,在單個(gè)GPO中與設(shè)置相關(guān)的組,在把GPO委派給管理員時(shí)限制管理員的數(shù)目為一至兩個(gè),避免把GPO連接到包含多個(gè)域的站點(diǎn)上,在開(kāi)始添加GPO前規(guī)劃好如何在網(wǎng)絡(luò)中執(zhí)行組策略模型,本章總結(jié),組策略是一組策略的集合，應(yīng)用組策略，管理員可以很方便的管理Active Directory中的計(jì)算機(jī)和用戶 組策略的設(shè)置數(shù)據(jù)皆保存在GPO中，GPO鏈接至SDOU 管理員可以為一個(gè)SDOU新建、添加、編輯和刪除GPO,本章總結(jié),子容器會(huì)繼承來(lái)自上層容器的GPO，可以利用阻止策略繼承和禁止替代兩種方式來(lái)調(diào)整默認(rèn)的繼承與累加關(guān)系 組策略由兩部分組成:計(jì)算機(jī)配置和用戶配置，能夠設(shè)置各種策略，管理活動(dòng)目錄中的計(jì)算機(jī)和用戶 可以利用GPO實(shí)現(xiàn)與系統(tǒng)相關(guān)的安全設(shè)置，如密碼長(zhǎng)度