1 / 53

第 11 章 组策略

第 11 章 组策略. 11.1 组策略概述 11.2 管理模板策略的设置 11.3 Windows 设置策略的管理 11.4 通过软件设置策略部署应用程序. 本章学习目标. 组策略概述 管理模板策略的设置 Windows 设置策略的管理 通过软件设置策略部署应用程序. 返回本章首页. 11.1 组策略概述. 11.1.1 组策略对象 11.1.2 组策略的应用顺序与规则. 返回本章首页. 组策略包括:计算机配置、用户配置 其组策略包含以下内容:

chauncey-arturo
Download Presentation

第 11 章 组策略

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第11章组策略 • 11.1 组策略概述 • 11.2 管理模板策略的设置 • 11.3 Windows 设置策略的管理 • 11.4 通过软件设置策略部署应用程序

  2. 本章学习目标 • 组策略概述 • 管理模板策略的设置 • Windows 设置策略的管理 • 通过软件设置策略部署应用程序 返回本章首页

  3. 11.1 组策略概述 • 11.1.1 组策略对象 • 11.1.2 组策略的应用顺序与规则 返回本章首页

  4. 组策略包括:计算机配置、用户配置 其组策略包含以下内容: 1)管理模板:包括Windows组件、网络、桌以及任务栏和开始菜单等相关的策略。 2)Windows设置:包括脚本、安全设置(户策略和本地策略)等相关的策略。 3)软件设置:包括软件安装策略,可以进应用程序的指派与发布。

  5. 11.1.1 组策略对象 图11-1 “组策略”选项卡

  6. 1.更改组策略 (1)选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”选项,选择“属性”→“组策略”命令。 (2)选定“Default Domain Controllers Policy”,然后单击“编辑”按钮。 (3)打开如图11-2所示的“组策略”窗口后,然后双击窗口右侧的“在本地登录”。

  7. (4)出现如图11-3所示的对话框时,单击“添加”按钮,选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。 (5)返回“组策略”窗口时,请关闭此窗口。 (6)返回“Domain Controllers属性”对话框,单击“确定”。

  8. 图11-2 组策略窗口

  9. 图11-3 有“在本地登录”权限的用户和组

  10. 2.验证更改组策略的有效性 (1)在服务器端,以administrator账户登录。 (2)依次选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算”选项,从中选择“新建”→“用户”命令添加一个一般的用户账户。 (3)完成后,注销administrator,然后等待此组策略生效。 (4)重新登录时,请用刚建立的域用户登录,此时应该可以正常登录成功。 返回本节

  11. 11.1.2 组策略的应用顺序与规则 (1)如果是在高层容器内建立了组策略,则低层容器会继承在高层容器内所建立的组策略。 (2)如果在低层的容器内建立了组策略,则此组策略内的设置默认会替代由其高层的父容器所传递下来的组略。   (3)如果在父容器的某个策略被设为“未被配置”,则子容器并不会继承这个策略。  

  12. (4)如果在父容器的组策略内的某个设为“启用”或“禁用”,则子容器会继承这个设置。(4)如果在父容器的组策略内的某个设为“启用”或“禁用”,则子容器会继承这个设置。 (5)直接以子容器的组策略为其设置。 (6)在父容器的组策略内,通过“禁止替代” 子容器必须继承由父容器传递的组策略设置。 返回本节

  13. 11.2 管理模板策略的设置 • 11.2.1 设置管理模板策略 • 11.2.2 设置组策略的替代功能 返回本章首页

  14. 图11-4 组策略示例 返回本节

  15. 11.2.1 设置管理模板策略 (1)在“Active Directory中,选择“属性”→“组策略”→“新建”命令,添加一个GPO,命名为“xuexiao Policy”。 (2)在如图11-5所示的对话框中,单击“编辑”。 (3)在如图11-6所示的“组策略”窗口中,选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”选项。

  16. (4)在如图11-6所示选择“用户配置”→“管理模板”→“桌面”。(4)在如图11-6所示选择“用户配置”→“管理模板”→“桌面”。 (5)完成后,关闭“组策略”窗口。 (6)单击“关闭”按钮,结束组策略设置。

  17. 图11-5 添加新的组策略

  18. 图11-6 设置组策略

  19. 图11-7 设置策略的是否启用 返回本节

  20. 11.2.2 设置组策略的替代功能 (1)在“Active Directory用户和计算” 选择“属性”→“组策略”→“新建”选项,添加一个GPO,命名为“9901 Poliicy”,单击“编辑”按钮。 (2)在 “组策略” 中选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,选择“禁用”,单击“确定” 。 (3)在 “组策略”中选择“用户配置”→“管理模板”→“桌面”。选择“禁用”,单击“确定”。关闭“组策略”窗口。单击“关闭”结束组策略设置。 返回本节

  21. 11.3 Windows 设置策略的管理 • 11.3.1 账户策略的设置 • 11.3.2 本地策略的设置 • 11.3.3 登录/注销、启动/关闭脚本 返回本章首页

  22. 图11-8 账户策略的设置

  23. 11.3.1 账户策略的设置 1.密码策略的设置 (1) 密码最长存留期 (2)密码最短存留期 (3) 密码长度最小值 (4)强制密码历史

  24. 2.账户锁定策略的设置 •   账户锁定阈值 • 账户锁定时间 • 复位账户锁定计数器

  25. 图11-11 设置账户锁定策略

  26. 图11-9 设置密码策略

  27. 图11-10 “密码最长存留期”的设置 返回本节

  28. 审核目录服务访问 审核登录事件 审核对象访问 审核策略更改 审核特权使用 审核账户登录事件 审核账户管理 审核账户管理 审核过程追踪 11.3.2 本地策略的设置 1.审核策略的设置

  29. 2.用户权利指派策略的设置 (1)在本地登录;(2)域中添加工作站;(3)关闭系统;(4)从网络访问此计算机;(5)从远端系统强制关机;(6)备份文件和目录;(7)还原文件和目录;(8)管理审核和安全日志;(9)更改系统时间;(10)装载和卸载设备驱动程序;(11)取得文件或其他对象的所有权

  30. 3.安全选项策略的设置 • 登录屏幕上不要显示上次登录的用户名 • 允许在未登录前关机 • 在密码到期前提示用户更改密码 • 禁用按Ctrl+Alt+Del进行登录的设置 • 用户试图登录时消息文字与用户试图登录时消息标题 返回本节

  31. 11.3.3 登录/注销、启动/关闭脚本 1.登录/注销脚本的设置 (1)准备好登录与注销脚本。 (2)在“Active Directory用户和计算机” 中选择 “组策略”命令,选定GPO,双击 “登录”图标。 (3)单击“显示文件”按钮。 (4)先切换到“Windows资源管理器”并选定登录脚本,选择“复制” 、“粘贴”命令。

  32. (5)返回到图11-14所示的对话框后,单击“添加”。(5)返回到图11-14所示的对话框后,单击“添加”。 (6)出现图11-16所示的对话框时,单击“浏览”按钮, 7)返回到图11-14所示的对话框时,单击“确定”按钮。 (8)回到图11-13所示的窗口,单击画面右方的“注销”图标,然后重复步骤(2)~(6),以便设置注销脚本。

  33. 图11-13 设置登录和注销脚本

  34. 图11-14 “登录属性”对话框

  35. 图11-15 复制登录脚本

  36. 图11-16 指定登录脚本

  37. 2.启动/关闭脚本的设置 (1)创建一个名称为startup.bat的启动脚本。 (2)在“Active Directory用户和计算机”对话框中,选择“属性”→“组策略”命令,选定GPO后,出现图11-17所示的窗口,双击 “启动”图标。 (3)单击“显示文件”按钮。 (4)切换到“Windows资源管理器”中,选择“复制” 粘贴”命令,将登录脚本复制到该窗口中后关闭窗口。

  38. (5)单击“添加”按钮。 (6)出现类似图11-16所示的对话框,单击“浏览”按钮,从startup文件夹内选定登录脚本。如果你的脚本需要输入参数,则在“脚本参数”文本框中输入参数,完成后单击“确定”按钮。 (7)单击“确定”按钮。 (8)回到图11-17所示的窗口后,单击画面右方的“关机”图标,然后重复步骤(2)~(6),以便设置“关机脚本”。

  39. 图11-17 设置启动和关机脚本 返回本节

  40. 11.4 通过软件设置策略部署应用程序 • 11.4.1 给用户发布或指派应用程序 • 11.4.2 给计算机指派应用程序 • 11.4.3 更改部分应用程序的设置 返回本章首页

  41. 通过软件设置策略,可以为用户与计算机来部署应用程序。 1、将应用程序发布或指派给用户。 2、将应用程序指派给计算机。 3、自动修复应用程序。 4、删除用户的应用程序。

  42. 11.4.1 给用户发布或指派应用程序 • 1.给用户发布或指派应用程序 • 2.安装被发布或指派应用程序

  43. 1.给用户发布或指派应用程序 (1)利用administrator账户登录到域控制器。 (2)在域控制器上建立一个文件夹,设为共享文件夹。 (3)将Windows 2000CD文件夹内的所有文件复制到共享文件夹内。 (4)依次选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算”选项,打开对话框,选择“属性”→“组策略”命令,选定GPO,软件安装”选项,打开如图11-18所示的窗口。

  44. (5)将 “软件安装”中弹出的选择“属性”命令。出现如图11-19所示的对话框,在“默认程序包位置” 用UNC路径。 (6)将鼠标指向“软件安装” 中选择“新建”→“程序包”命令。出现如图11-20所示的窗口,单击“打开”按钮。 (7)出现图11-21所示的对话框时,在“选择部署方法”选择区中选择,然后单击“确定”按钮。 (8)出现图11-22所示的窗口,图中右方的“WinINSTALL LE”己被发行成功。

  45. 图11-18 软件安装

  46. 图11-19 “软件安装属性”窗口

  47. 图11-20 选择程序包

  48. 图11-21 选择部署方式

  49. 图11-22 “WinINSTALL LE”发行成功

  50. 2.安装被发布或指派应用程序 (1)注销,然后利用域内的用户账户来登录。 (2)依次单击“开始”→“设置”→“控制面板”→“添加/删除程序”。 (3)单击“添加新程序”按钮,则右方的“从网络添加程序”处就会显示所有己被发布的应用程序。 (4)选择要安装的应用程序,然后单击“添加”按钮,就会安装该应用程序。 返回本节

More Related