BENET3.0 第二学期课程

BENET3.0第二学期课程 第八章组策略应用 ——理论部分

课程回顾 • 域、树、林之间是什么关系？ • 如何将一台计算机安装成域控制器？ • 本地域组的特点是什么？ • 全局组的特点是什么？ • 如何实现OU的委派功能？

技能展示 • 理解组策略的作用 • 理解组策略的应用顺序 • 会配置组策略的继承 • 会配置组策略的强制生效 • 会配置组策略实现软件分发

本章结构 组策略的作用组策略的概念组策略结构计算机/用户配置继承与阻止继承组策略简单应用累加组策略组策略应用规则应用顺序强制生效分发软件筛选修复软件软件分发删除软件升级软件

域组策略组策略的作用2-1 • 方便管理AD中用户和计算机的工作环境 • 用户桌面环境 • 计算机启动/关机与用户登录/注销时所执行的脚本文件 • 软件分发 • 安全设置

组策略的作用2-2 • 通过组策略可以 • 对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 • 降低布置用户和计算机环境的总费用 • 只须设置一次，相应的用户或计算机即可全部使用规定的设置 • 减少用户不正确配置环境的可能性 • 推行公司使用计算机的规范 • 桌面环境规范 • 安全策略 • 组策略适用的操作系统

组策略 GPO SDOU 计算机用户组策略的结构3-1 • 组策略的具体设置数据保存在GPO中 • 默认GPO • 默认域策略 • 默认域控制器策略 • GPO所链接的对象 • SDOU • GPO控制 • 用户和计算机

组策略的结构3-2 • 站点的概念 • 活动目录中的站点是从物理上抽象的概念 • 由一个或几个通过高速链路连接在一起的IP子网组成 • 站点和域的关系 • 一个站点中可以有多个域 • 一个域中可以有多个站点 • 站点的主要作用 • 优化复制 • 使用户能够使用可靠、高速的连接登录到域控制器上

教员演示操作过程 组策略的结构3-3 • GPC（组策略容器）与GPT（组策略模板） • GPC：GPC是包含GPO属性和版本信息的活动目录对象 • GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

教员演示操作过程 计算机配置与用户配置2-1 • 计算机配置 • 策略 • 软件设置 • Windows设置 • 管理模板 • 首选项 • Windows设置 • 控制面板设置

教员演示操作过程 计算机配置与用户配置2-2 • 用户配置 • 策略 • 软件设置 • Windows设置 • 管理模板 • 首选项 • Windows设置 • 控制面板设置

教员演示操作过程 案例：组策略的简单应用 • 需求： • 公司的网络采用域结构进行管理，销售部员工的用户账户都位于Sales_OU中，现要求销售部的员工统一使用公司指定的桌面背景，而且不能随意更改成其它桌面背景 • 实现思路： • 创建并链接组策略 • 配置组策略 • 用户配置→策略→管理模板→桌面→桌面→桌面墙纸

小结 • 请思考： • 组策略能够链接在哪些对象上？ • 请举一个组策略应用的实例。

组策略的应用规则 • 继承与阻止继承 • 累加 • 应用顺序 • 强制生效 • 筛选

教员演示操作过程 继承与阻止继承 • 在默认情况下，下层容器会继承来自上层容器的GPO • 子容器可以阻止继承上级的组策略 • 右击容器→阻止继承继承Sales_OU的组策略继承域的组策略

教员演示操作过程 累加 • 容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和 • 容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略

应用顺序 • 组策略按以下顺序被应用： LSDOU • 首先应用本地组策略对象 • 如果有站点组策略对象，则应用之 • 然后应用域组策略对象 • 如果计算机或用户属于某个OU，则应用OU上的组策略对象 • 如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象 • 如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用

教员演示操作过程 强制生效 • 强制生效是上级容器强制下级容器执行其GPO设置强制的

教员演示操作过程 筛选 • 筛选可以阻止一个GPO应用于容器内的特定计算机和用户 benet.com.cn Sales_OU GPO 设置: 阻止更改墙纸 Sales ManagerA

小结 • 请思考： • 如果OU上的组策略设置与域上的组策略设置冲突，OU的有效策略是什么？ • 如果OU上的组策略设置与域上的组策略设置不冲突，OU的有效策略是什么？ • 组策略的应用顺序是什么？

利用组策略实现软件分发 • 分发软件 • 修复软件 • 删除软件 • 升级软件

教员演示操作过程 分发软件 • 分发软件的步骤 • 获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件 • 将软件安装文件放到一个软件分发点 • 创建或修改GPO • 分配与发布的区别 • 分配：分配到用户或计算机 • 发布：发布给用户 • 分配比发布更具强制性

修复软件 • 用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复 • 如果原来软件分发点上的安装文件发生丢失或损坏 • 在服务器上修复该软件的源文件 • 重新部署一次

删除软件 • 不再需要分发的软件，可以在GPO中删除软件设置 • 下一次用户和计算机登录或启动时，软件会被强制删除 • 用户和计算机仍可继续执行使用软件，但不允许重新安装

教员演示操作过程 升级软件 • 强制升级 • 强制用户将当前软件升级到新的版本 • 可选升级 • 允许用户同时使用一个应用程序的两个版本

本章总结 组策略的作用组策略的概念组策略结构计算机/用户配置继承与阻止继承组策略简单应用累加组策略组策略应用规则应用顺序强制生效分发软件筛选修复软件软件分发删除软件升级软件

BENET3.0第一学期课程 第八章组策略应用 ——上机部分

域实验案例1：组策略简单应用 • 需求描述： • 公司搭建了Windows 2008域benet.com，域中有多个账户UserA、UserB…和计算机账户Client01…，如何使域中所有用户使用统一的桌面背景？

实验案例1：组策略简单应用 • 实现思路： • 利用组策略统一桌面背景 • 准备桌面背景图片 • 规划桌面背景图片的保存位置并共享 • 注意共享权限与NTFS权限

实验案例1：组策略简单应用 • 学员练习： • 在DC上共享文件夹并设置共享权限与NTFS权限 • 将背景图片保存至共享文件夹 • 在DC上创建并链接组策略 • 配置组策略 • 刷新组策略 • 验证组策略的应用结果 30分钟完成

实验案例2：组策略的应用顺序 • 需求描述： • 公司搭建了Windows 2008域benet.com，域中有组织单位Sales_OU，该组织单位中有多个账户和计算机账户，所有的策略为默认状态，现在需要： • 所有计算机在关闭时会显示“关闭事件跟踪程序” • 所有经典开始菜单的用户不显示“注销” • 所有Sales_OU中使用经典开始菜单的用户显示“注销”

实验案例2：组策略的应用顺序 • 实现思路： • 在域的组策略上设置“关闭事件跟踪程序” • 在域组策略和OU组策略上对同一策略做不同设置 • 验证效果 • 学员练习： • 分别设置组策略 • 验证组策略的继承与生效顺序 30分钟完成

实验案例3：实现软件分发和升级 • 需求描述： • 公司搭建了Windows 2008域benet.com，域中有多个用户账户UserA、UserB…和计算机账户Client01…，现要将MBSA2.0分发给所有域用户

实验案例3：实现软件分发和升级 • 实现思路： • 利用组策略实现软件的分发与升级 • 准备软件的.msi安装包 • 规划安装包的保存位置并共享 • 注意共享权限与NTFS权限 • 注意安装软件用户的权限

实验案例3：实现软件分发和升级 • 学员练习： • 在DC上共享文件夹并设置共享权限与NTFS权限 • 将软件安装包保存至共享文件夹 • 在DC上创建并链接组策略 • 配置组策略软件分配 • 刷新组策略 • 在客户机登录检查软件是否已经成功安装 • 升级软件并验证 30分钟完成

BENET3.0 第二学期课程