Download
1 / 25
250 likes | 400 Views
组策略的配置. 课程内容 : 什么是组策略 组策略的应用 组策略的组成 使用 GPMC 来管理组策略 创建组策略 应用组策略 备份还原组策略 组策略的作用 管理模板 文件夹重定向 软件分发 WMI 筛选器 软件限制. 什么是组策略. 组策略是一类功能,必须是在部署好 AD 环境下应用组策略
E N D
组策略的配置 课程内容: • 什么是组策略 • 组策略的应用 • 组策略的组成 • 使用GPMC来管理组策略 创建组策略 应用组策略 备份还原组策略 • 组策略的作用 管理模板 文件夹重定向 软件分发 WMI筛选器 软件限制
什么是组策略 • 组策略是一类功能,必须是在部署好AD环境下应用组策略 • 能够帮我们去做网络管理,包括统一管理网络中全部部分计算机,全部部分用户的某些属性,比如桌面显示状况,控制面板的显示状况, IE的设置,windows media的设置,各种软件的设置,还有能不能装某些软件,能不能卸某些软件,能不能使用某些软件,所有能在计算机上对客户端调整的工作,都可以用组策略来实现 • 能够充分利用好组策略,管理员的工作量大大减少
组策略可以: • 集中化管理 • 管理用户环境 • 降低管理用户的开销 • 强制执行企业策略
组策略的应用 组策略和哪个 容器连接起来 就在那个容器 生效。 站点 GPO1 域 GPO2 组策略只能 给这三中容器 做设置 GPO3 OU OU OU
组策略的组成 • Group Policy Container • 存储在AD中 • 保存组策略版本信息 • Group Policy Object • 包括组策略设置 • 存储在两个位置 • Group Policy Template • 存储在SYSVOL文件夹 • 保存组策略的设置
使用GPMC管理组策略 GPMC是一个组策略管理的强大软件 • 运行--gpmc.msc • 默认域控制器策略和默认域策略 • 在详细信息选项卡中可以查看该组策略的唯一ID(GUID)--- 查看C:\WINDOWS\SYSVOL\SYSVOL\contoso.COM\POLICIES存放是该组策略的模板 • 想知道在组策略中设置了什么---设置--生成报告---以web方式显示
演示:1.新建一个组策略 组策略对象---右--新建---test 2.编辑组策略 test--右--编辑(组策略编辑器) 计算机配置和用户配置有什么区别? 3.让test策略应用于一个OU • 在gpmc中把test拖到那个OU上面 • 则在test里面对用户的配置会对bob生效(注销再登陆),对计算机配置会对计算机帐户生效(重启).
4.备份,还原组策略 test--右--备份--选择一个位置--新建一个文件夹---开始备份 删除test---组策略对象--右--管理备份---选择备份的文件---还原
5.组策略的继承关系 • 默认继承:子OU默认可以继承父OU的所 有组策略 • 阻止继承 • 强制继承 • 设置权限
(1)☻删除test--新建1组策略和2组策略--把1拖到OU上(1)☻删除test--新建1组策略和2组策略--把1拖到OU上 查看: OU---组策略继承--两个组策略1和defualt domain(域级别默认组策略,从域上继承过来的组策略) 那么OU上的用户计算机,登陆或开机生效的组策略是两个组策略的和 ☻把2拖到域级别上 查看: OU---组策略继承---三个组策略 OU同时应用了三条组策略,如果之间有了冲突,则列表中顺序上面的优先级最高
(2).不希望OU继承来自域的组策略--OU--右--阻止继承(2).不希望OU继承来自域的组策略--OU--右--阻止继承 (3).让默认域级别组策略强制继承---default domain policy--右--强制 强制继承和阻止继承冲突时听强制继承的 (4).组策略只对某一个用户alice不生效 组策略1---委派---高级---添加alice---拒绝应用组策略(权限控制用户应用组策略)
组策略的作用 • 管理模板 • 脚本 • 文件夹重定向 • 软件分发 • WMI筛选器 • 软件限制
管理模板 • 编辑组策略1---用户配置---管理模板: 主要作用通过图形化设置界面可以改客户端的注册表 例如:IE禁止更改主页---任务栏和开始菜单中删除运行---桌面从桌面删除回收站---控制面板--显示(隐藏设置选项卡) • 查看: OU中任意一个用户来登陆会发现所有的设置都已经修改了
脚本 • 计算机下启动和关机脚本 • 用户下登陆和注销脚本 • 两者生效时间不一样 1.建一个脚本logon.vbs,所有能在windows下做的操作都能用脚本实现,写入: msgbox “hello” 调用函数---调用一个简单的windows对话框 • 让这个脚本在OU用户登陆时生效 2. 脚本---登陆--添加---浏览(脚本必须放在默认位置)
文件夹重定向 文件夹重定向---可以把客户端这四个文件夹重定向到任意一个共享文件夹 1.DC的E盘下创建一个doc文件夹---共享---权限放到最大(添加everyone给完全控制权限) 2.文件夹重定向---我的文档--右--属性---\\192.168.1.4\doc 会在这个文件夹下创建一个以该用户名字的文件夹,然后把客户端的我的文档里的文件存到这里
3.在客户端查看---我的文档--属性---目标文件夹的路径3.在客户端查看---我的文档--属性---目标文件夹的路径 4.查看--DC的E盘下的doc---里面有一个用户文件夹(但只有用户本人自己可以访问) • 注意:组策略刷新需要时间,为了刷新快点 gpupdate /force可以在客户端刷新服务器端的组策略
软件分发 在网络管理经常需要给客户端装很多软件,有了组策略不需要跑到客户端,只要在服务器端就可以给他装软件了 1.在DC软件gpmc---共享 2软件设置---软件安装---新建一个程序包(虽然在本地,必须通过网络路径去找)---gpmc.msi---发布方式---指派 3.查看:客户端登陆---该软件已经装上 其实当第一次运行时它才真正安装上
注意: • 如用组策略来把软件安装在客户端上,必须是msi的安装程序(只有windows操作系统是兼容的),wininstallle可以将exe安装程序转成这个格式。 • 还有一个SMS软件可以将所有的软件(任何格式)发到客户端上面
WMI筛选器 • 组策略能做软件分发,来装OFFICE,有的机器好有的机器坏,P4的装office 2003,P2的机器装offcie 97 • 原来做软件分发,把p4放在一个OU,P2机器放一个OU • 做一个wmi筛选器和一个组策略连接起来,然后组策略利用筛选器自己判断生效的客户端的CPU,是p3 以上就装office 2003,如果以下就装office 97 • 根据另一个参数,office要500M,组策略在应用到所有客户端上时,先检查一下计算机C盘够不够500M,如果不够就不应用,否则装一半就报错
演示: 1.查看组策略1---WMI筛选器--没有 2. WMI筛选器(作用查询客户端的某些参数,返回结果,两种0和1:磁盘空间大于500M,返回真,则组策略生效,假不生效) • 新建筛选器---disk--查询语句---保存 Select * FROM Win32LogicalDisk WHERE (Name="C:" or Name="D:" or Name="E:") AND DriveType=3 AND FreeSpace>10485760 AND FileSysytem="NTFS"
客户端必须满足这三个条件才会返回真,就可以应用该组策略,如果为假则不应用客户端必须满足这三个条件才会返回真,就可以应用该组策略,如果为假则不应用 3. 和组策略1做连接---WMI筛选器---disk
什么是软件限制策略 • 软件限制策略可以控制电脑上运行什么样的程序 • 只允许用户在多用户电脑上运行指定类型的文件 • 控制哪些用户运行软件时有限制 • 防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑 可以通过组策略来限制客户端能使用的软件
软件限制策略的规则 • 哈希规则 • 利用文件的MD5或SHA1的hash来 • 做比较 • 当您有一个多版本的文件时,来防 • 止有些版本的运行 • 证书规则 • 利用程序上的数码签名来做比较 • 防止有些win32的程序或含有 • Active X的程序运行 • internet区域规则 • 控制不同web Application在不同 • 的Internet区域里 • 路径规则 • 利用路径来做比较 • 当您的文件夹里含有许多要被 • 运行程序所用到的文件
组策略1--编辑---安全设置----软件限制策略---创建软件策略---其他规则--新建路径规则---组策略1--编辑---安全设置----软件限制策略---创建软件策略---其他规则--新建路径规则--- c:\windows\system32\notepad.exe---不允许(不受限--允许) 但是客户端可以把这个可执行程序拷贝到另一个地方就可以运行了 2. 删除路径规则---新建哈希规则---文件路径--自动算出哈希值--不允许 文件不管放在哪都不能运行
如果一个程序有多个规则,怎么办?? 比如: 给calc.exe做了三条规则 • 路径规则 不限制 • 哈系规则 不允许 • 证书规则 不允许 优先级: 1.哈系规则 2.证书规则 3.路径规则 4.Internet 区域规则
