資源描述:
《【精品】組策略配置、應(yīng)用與管理》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、第10章組策略配置、應(yīng)用與管理摘要:《金牌網(wǎng)管師(初級(jí))■■中小企業(yè)網(wǎng)絡(luò)組建、配置與管理》第10章組策略配置、應(yīng)用與管理,本章主耍介紹WindowsServer2003域中組策略GPMC的主:要使用方法和基于組策略的一些常見(jiàn)應(yīng)用。本節(jié)為人家介紹組策略基礎(chǔ)。組策略的配置與管理一直是WindowsServer2003域管理的重點(diǎn)和難點(diǎn),特別是基于組策略的應(yīng)用,那更是千變?nèi)f化、層出不窮。其實(shí)組策略中實(shí)現(xiàn)的功能原來(lái)在注冊(cè)表中已冇體現(xiàn),但是使用注冊(cè)表冇些功能的配置顯得比較復(fù)朵,一般人難以掌握,而組策略中對(duì)這些功能
2、的配置采取了完全不同的組織方式,更加容易掌握,所以通過(guò)組策略來(lái)實(shí)現(xiàn)域網(wǎng)絡(luò)的用戶(hù)、計(jì)算機(jī)桌面環(huán)境和安全策略的配置就成了日常網(wǎng)絡(luò)管理中最常用的方法。但在組策略中的配置都會(huì)同步應(yīng)用到對(duì)應(yīng)的注冊(cè)表項(xiàng)的。隨著GPMC的應(yīng)用,組策略的管理思路更加清晰,管理功能也更加強(qiáng)大。本節(jié)主要介紹WindowsServer2003域中組策略GPMC的主要使用方法和基于組策略的一?些常見(jiàn)應(yīng)用。教學(xué)(口學(xué))課吋女排課時(shí)安排本章老師共需安排3個(gè)授課課時(shí),著重介紹GPMC結(jié)構(gòu),主要使用、配置方法,以及組策略的一歧典型應(yīng)用。授課課時(shí)主要內(nèi)
3、容占/nt1①組策略結(jié)構(gòu)②組策略對(duì)象(GPO)③組策略管理模板④使用GPMC両后的②組策略配査操作區(qū)別①組策略對(duì)彖(GPO)②組策略管理模板2①新建和鏈接GPO②編輯和查看GPO設(shè)置③更改GPO鏈接順序和訪(fǎng)問(wèn)權(quán)限委派④組策略繼承⑤組策略應(yīng)用篩選①新建和鏈接GPO②更改GPO鏈接順②序和訪(fǎng)問(wèn)權(quán)限委派③組策略繼承④組策略應(yīng)用篩選3①密碼復(fù)雜性策略配置②限制本地登錄策略配置③限制網(wǎng)絡(luò)訪(fǎng)問(wèn)策略配置④阻止更改組成員和隸屬關(guān)②系策略配置⑤文件夾重定向策略配置⑥軟件安裝策略配置⑦限制軟件運(yùn)行策略配置⑧隱藏/禁上訪(fǎng)問(wèn)光
4、鞭和U盤(pán)策略①密碼復(fù)雜性策略配置②限制本地登錄策略配査③限制網(wǎng)絡(luò)訪(fǎng)問(wèn)策略配置④阻止更改組成員和隸屬關(guān)系策略配置⑤文件夾重定向策略配置⑥軟件安裝策略配置⑦限制軟件運(yùn)行策略配査配置⑧隱藏/禁止訪(fǎng)問(wèn)光驅(qū)和U盤(pán)策略配置10.1組策略基礎(chǔ)組策略是ActiveDirectory(活動(dòng)bl錄)服務(wù)屮允許管理員針對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。它與注冊(cè)表的功能類(lèi)似,但其設(shè)置組織形式更加直觀(guān),更加便于操作、配査與管理。它將系統(tǒng)重要的配置功能匯集成各種配置模塊,供用戶(hù)直接便用,從而達(dá)到方便管理計(jì)算機(jī)的目的。10.1.1組
5、策略結(jié)構(gòu)組策略設(shè)直主要包括:用戶(hù)計(jì)算機(jī)環(huán)境(如”開(kāi)始”菜單、桌面快捷項(xiàng)、控制面板選項(xiàng)、可用程序等)、計(jì)算機(jī)和用戶(hù)的本地或網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)利,以及其他安全控制策略(如組策略屮的各種安全選項(xiàng)、IP安全策略等)??梢杂媒M策略定義用戶(hù)和計(jì)算機(jī)組的配置,如可以為基于注冊(cè)表的策略、安全、軟件安裝、腳木、文件夾重定向、遠(yuǎn)程安裝服務(wù)以及IE的維護(hù)指定策略設(shè)置。創(chuàng)建的組策略設(shè)置包含在組策略對(duì)象(GPO)屮,通過(guò)將GPO打所選的ActiveDirectory系統(tǒng)容器■■站點(diǎn)、域和組織單位相關(guān)聯(lián),實(shí)現(xiàn)組策略設(shè)置的具體應(yīng)用。還可以將
6、GPO策略設(shè)置應(yīng)用于A(yíng)ctiveDirectory容器中的具體用戶(hù)和計(jì)算機(jī)。組策略可基于活動(dòng)目錄中的用戶(hù)和計(jì)算機(jī)賬戶(hù)兩種對(duì)象分別進(jìn)行配置,所以在GPO中的組策略設(shè)置項(xiàng)屮包括”計(jì)算機(jī)配置”和”用戶(hù)配置“兩人部分(如圖10-1所示),這就是組策略的基本結(jié)構(gòu)。而且可以看到,在這兩大部分屮,有許多設(shè)置項(xiàng)是相同的,如都有”軟件設(shè)置”、'-Windows設(shè)置”和”管理模板”等這幾部分,而且在這些部分屮,又有許多相同的子設(shè)置選項(xiàng)。我們知道,”計(jì)算機(jī)配置“是針對(duì)計(jì)算機(jī)對(duì)彖而言的,“用戶(hù)配置”是針對(duì)用戶(hù)對(duì)彖而言的,而用戶(hù)
7、配置又是通過(guò)計(jì)算機(jī)來(lái)應(yīng)用的,這就存在一個(gè)可能兩者的和同選項(xiàng)設(shè)置不…致、有沖突的問(wèn)題,這吋又該應(yīng)用哪個(gè)設(shè)置呢?根據(jù)組策略規(guī)定,當(dāng)兩者的配置有沖突時(shí),最終以計(jì)算機(jī)策略為依據(jù)。組策略不僅應(yīng)用于用戶(hù)和客戶(hù)端計(jì)算機(jī),還hVJIJT-成員服務(wù)器、域控制器以及管理范圍內(nèi)的任何其他Windows2000計(jì)算機(jī)。組策略對(duì)象(GPO)的創(chuàng)建的最人容器是域,最小容器是組織單位(OU),當(dāng)然可以為各級(jí)OU創(chuàng)建不同的GPOo不能為特定的計(jì)算機(jī)或川戶(hù)創(chuàng)建單獨(dú)的GPOo應(yīng)用于域(即在域級(jí)別應(yīng)用,剛好在"ActiveDirectory
8、用戶(hù)和計(jì)算機(jī)”(ADUC)控制臺(tái)的根冃錄Z上)的組策略(也就是”域組策略“)會(huì)影響域中的所有計(jì)算機(jī)(包括域控制器)和用戶(hù)。默認(rèn)的域組策略是DefaultDomainPolicyeADUC還提供內(nèi)置的DomainControllers(域控制器)紐織單位(域控制器是域網(wǎng)絡(luò)屮最人的組織單位),默認(rèn)使用的組策略對(duì)象是DefaultDomainControllersPolicy。域控制器紐?策略應(yīng)用于域網(wǎng)絡(luò)屮的所有域控制器,將域控制器策略與其他計(jì)算