使用组策略管理用户环境.docx
《使用组策略管理用户环境.docx》由会员分享,可在线阅读,更多相关《使用组策略管理用户环境.docx(19页珍藏版)》请在冰豆网上搜索。
使用组策略管理用户环境
第7章使用组策略管理用户环境
本章概述
本章节主要是和大家介绍了使用组策略管理用户环境的知识和技能。
本章介绍使用组策略管理用户环境所需的知识和技能,具体包括:
使用组策略配置“文件夹重定向”、Microsoft?
InternetExplorer网络连接和用户桌面。
教学目标
●了解配置组策略设置的相关知识点。
●了解使用组策略指派脚本的相关知识点。
●了解配置“文件夹重定向”功能的操作。
●掌握应用组策略对象(GPO,GroupPolicyObject)。
教学重点
●配置组策略是我们部署组策略的基础,学好配置组策略设置的相关知识及学会使用组策略指派脚本显的尤为重要。
教学难点
●文件夹重定向的功能,对于大多学生来说会是比较陌生的概念,需要仔细讲解。
教学资源
课本
知识点
配置组策略设置
使用组策略指派脚本
配置“文件夹重定向”
确定已应用的策略对象
实验
使用组策略报告
练习1为标准桌面计算机创建组策略对象
练习2为“文件夹重定向”创建组策略对象
练习3为便携式计算机创建组策略对象
练习4为桌面计算机创建一个组策略对象
练习5生成“GroupPolicyModeling”报告
练习6生成“GroupPolicyResults”报告
习题
习题1对应知识点配置“文件夹重定向”
习题2对应知识点确定已应用的策略对象
习题3对应知识点使用组策略指派脚本
习题4对应知识点确定已应用的策略对象
习题5对应知识点配置组策略设置
教学指导手册包
新版幻灯片
光盘:
\Powerpnt\
习题解答
光盘:
\Tprep\answer
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
先修知识
推荐补充
了解2000内核类的Windows操作系统的基础知识
《Windows2000初级管理》
建议学时
课堂教学(2课时)+实验教学(1课时)
教学过程
配置组策略设置
教学提示:
本节主要达到以下目的:
●了解使用组策略的原因。
(略讲)
●掌握禁用和启用的组策略设置的操作。
(精讲)
●掌握编辑组策略设置的操作。
(精讲)
教学内容
教学方法
教学提示
讲授:
对用户环境的管理意味着控制用户登录到网络后能够进行哪些操作。
通过组策略控制用户的桌面、网络连接和用户界面可以达到管理用户环境的目的。
管理员通过管理用户环境来保证用户拥有执行作业所需的资源,也要保证用户不能破坏或错误地配置他们的环境。
在集中配置和管理用户环境时,管理员能够执行以下任务:
●管理用户和计算机
即使用户从不同的计算机上登录,管理员也可以使用基于注册表的策略管理用户桌面设置,以保证他们能够拥有同样的计算机环境。
管理员能够控制MicrosoftWindows?
Server2003管理用户配置文件的方式,包括如何获得用户的个人数据。
通过将本地硬盘的用户文件夹重定向到服务器的中心位置,管理员还能够使用户不论在哪台计算机上登录,都可以使用自己的数据。
举个例子:
比如小李是A公司RND部门的员工,但因为工作需要,暂时把小李派到公司的PSS部门进行工作。
RND和PSS部门都在公司的域里。
但RND和PSS部门在地理位置上却相隔很远,所以小李没办法把自己的台式机搬过去,只能使用PSS暂时提供给他的机器,这台机器上本没有任何小李的资料,这会给小李的工作带来很大的不便利,但通过组策略,小李可以得到和他在RND的机器上一样的计算机环境。
这样就可以保证小李在相同的环境下进行工作了。
●部署软件:
讲解课本:
执行安全设置:
讲解课本:
设定统一的桌面环境:
讲解课本:
阅书:
讲授:
我们现在需要了解一下已禁用和已启用的组策略设置。
禁用某项策略设置,就意味着禁用了该策略设置能够进行的操作。
例如,默认情况下用户可以访问“控制面板”。
因此,为了保证用户能够访问“控制面板”,无需禁用“禁止访问‘控制面板’”策略设置,但对于一些低端用户或者容易被攻击的用户,例如公司的前台的电脑,我们就可以设置禁用“控制面板”以确保她不能随便更改计算机的一些设置,从而造成一些不必要的损坏,同时也可以大幅度的保证安全。
启用策略设置就是启用策略设置能够进行的操作。
也就是上面禁用某项策略设置的逆操作,
组策略对象保存着能够改变该组策略对象中的用户和计算机注册信息的可选值。
策略设置的默认配置是“未配置”。
如需将计算机或用户策略设置恢复到默认值或恢复到本地策略,则选择“未配置”选项。
例如,如果为一些客户端启用了某个策略设置,当使用“未配置”选项时,该策略将恢复到默认的本地策略设置。
最后我们再了解一下多值策略设置
讲解课本:
阅书:
演示:
说了这么多,大家现在来看一下我是如何进行编辑组策略设置的。
演示课本:
阅书:
按照书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
阅书:
按照书本内容进行演示。
使用组策略指派脚本
教学提示:
本节主要达到以下目的
●掌握组策略脚本设置。
(略讲)
●掌握利用组策略指派脚本的操作。
(精讲)
教学内容
教学方法
教学提示
讲授:
组策略设置可以用来集中配置计算机开机、关机及用户登录、注销时自动运行的脚本。
管理员可以通过组策略设置指定任何能够在WindowsServer2003中运行的脚本,包括批处理文件、可执行程序以及Windows脚本宿主(WSH,WindowsScriptHost)支持的脚本程序。
Windows脚本宿主(WSH)是用于32位Windows平台的与语言无关的脚本环境。
利用WSH,Microsoft提供VBScript、Jscript和JScript.NET脚本引擎。
这些脚本语言可用于:
Web服务器的ASP页、运行于InternetExplorer中的HTML页、Windows98和Windows2000上Windows脚本宿主的脚本引擎中。
WSH可使用任何脚本语言使服务器上的管理任务自动化。
例如,管理员可以编写VBScript以创建一个新的虚拟目录,然后,利用在后台工作的WSH,从命令行运行脚本文件,以在Web站点上创建新的虚拟目录。
此外,管理员可编写单个脚本来面向多个Web站点或多个物理服务器。
第三方公司为其他语言(如Perl、TCL、REXX和Python)提供ActiveX脚本引擎。
相关VBScript,Jscript,JScript.NET请参照边上的介绍。
现在我们再来看一下组策略脚本设置的优点:
讲解课本:
阅书:
VBScript
MicrosoftVisualBasicScriptingEdition(VBScript)是MicrosoftVisualBasic的子集,如果以前用过VisualBasic,您会发现它看起来非常熟悉。
但是,它并不完全相同。
因为VBScript是专门设计为在InternetExplorer(IE)浏览器中工作的,所以它不包括通常在脚本范围以外的功能,如文件访问和打印。
但是,使用带有VBScript的FileSystem对象来操纵文件,这一点则是共同的。
VBScript将活动脚本应用于各种各样的环境中,包括IE中的Web客户端脚本、MicrosoftInternet信息服务(IIS)中的Web服务器脚本、MicrosoftInternetSecurityandAccelerationServer(ISA)和SunSolaris。
VBScript是一种快速、可移植、已解释的、基于对象的脚本语言,它处理的是直接嵌入HTML页中的源代码。
可使用VBScript为WSH、ASP和HTML页增添智能和交互功能。
像Jscript一样,VBScript使用Windows脚本与宿主应用程序会话。
利用Windows脚本,浏览器和其他宿主应用程序不需要针对每个脚本组件的特殊集成代码。
Windows脚本允许宿主编译脚本、获取和调用入口点、管理开发人员可使用的命名空间。
VBScript是松类型化语言。
松类型化意味着不必显式声明变量的数据类型。
事实上,也无法在VBScript中显式声明数据类型。
而且,在许多情况下,VBScript根据需要自动执行转换。
例如,如果向由文本组成的项(字符串)中添加数字,则该数字会转换成文本。
JScript
MicrosoftJScript是为Web页脚本设计的。
JScript遵循ECMA262语言规范。
JScript是专门面向Internet的功能强大的脚本语言。
像VBScript一样,JScript是一种已解释的、基于对象的脚本语言,它处理的是直接嵌入HTML页中的源代码。
JScript可在InternetExplorer和Netscape浏览器上运行。
像VBScript一样,JScript使用Windows脚本宿主与宿主应用程序会话。
利用Windows脚本宿主,浏览器和其他宿主应用程序不需要针对每个脚本组件的特殊集成代码。
Windows脚本宿主允许宿主编译脚本、获取和调用入口点、管理开发人员可使用的命名空间。
JScript是松类型化语言。
松类型化意味着不必显式声明变量的数据类型。
事实上,您也无法在Jscript中显式声明数据类型。
而且,在许多情况下,JScript根据需要自动执行转换。
例如,如果向由文本组成的项(字符串)中添加数字,则该数字会转换成文本。
JScript.NET
JScript.NET是Microsoft的ECMA262语言实现的下一代,它是结合ECMAScriptEdition4一起开发的。
它被设计成在公共语言运行库中运行,以便管理代码的执行并提供使开发过程更方便的服务。
利用JScript.NET,可以获得多种功能,如跨语言集成,跨语言异常处理,增强的安全性,版本和部署支持,用于组件交互的简化模型,以及调试和分析服务。
JScript.NET将传统的JScript(它向后完全兼容)的现有功能集与公共语言运行库和基于类的语言的最佳功能结合在一起,可为您提供世界上最好的功能。
JScript.NET中的改进涉及以下内容:
真正的编译代码、类型化和无类型变量、类(具有继承、函数重载、属性访问器等)、包、跨语言支持和对.NETFramework的访问。
演示:
现在大家再来看看我是怎么进行使用组策略指派脚本的方法的:
演示课本
阅书:
根据书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
阅书:
按照书本内容进行演示。
配置“文件夹重定向”
教学提示:
本节主要达到以下目的:
●了解“文件夹重定向”的概念及哪些文件夹可以重定向。
(略讲)
●掌握配置“文件夹重定向”的相关操作和设置。
(精讲)
教学内容
教学方法
教学提示
讲授:
文件夹重定向就是将文件夹的存储位置从用户的本地计算机硬盘更改到网络文件服务器上的共享文件夹。
将文件夹重定向到文件服务器后,从用户的角度看来,该文件夹似乎仍然存储在本地硬盘上。
其实现在市面上也有很多软件也能完成这样的功能。
比如说网易推出的网络邮盘,QQ推出的网络硬盘等,都能让你在任何只要有网络的地方就能得到你存储在相应目录内的资源。
现在我们来看一下使用文件夹重定向的优点是什么:
讲解课本:
阅书:
讲授:
可以重定向的文件夹包括:
“我的文档”、“ApplicationData”、“桌面”以及“「开始」菜单”。
组织应当重定向这些文件夹,以保护重要的用户数据和设置。
根据组织的不同需求,重定向这些文件夹能够为组织带来不同的好处。
现在我们来具体说一下:
讲解课本:
阅书:
一边讲解一边进行相对应的演示。
讲授:
“文件夹重定向”有三个可用的设置:
无、基本、高级。
“基本文件夹重定向”供需要将文件夹重定向到公共区域的用户或者要求数据专用的用户使用。
书上分别介绍了基本文件夹重定向和高级文件夹重定向的内容:
讲解课本:
阅书:
讲授:
配置“文件夹重定向”时的安全注意事项也是我们必须注意的,毕竟我们将本地的文件通过网络传输到远程的一个服务器上,这当中就会产生风险。
我们来看一下如何避免这些风险
讲解课本:
阅书:
演示:
现在大家再来看看我是怎么进行配置“文件夹重定向”的方法的:
演示课本:
阅书:
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
课堂演示:
阅书:
确定已应用的策略对象
教学提示:
本节主要达到以下目的:
●掌握“gpupdate”命令和“gpresult”命令。
(略讲)
●理解组策略报告的概念及使用组策略报告的方法。
(略讲)
●理解组策略模拟的概念及使用组策略模拟的方法。
(略讲)
●理解组策略结果的概念及使用组策略结果的方法。
(略讲)
教学内容
教学方法
教学提示
讲授:
“gpupdate”是用于刷新本地组策略设置和ActiveDirectory中存储的组策略设置(包括安全设置)的命令行工具。
默认情况下,工作站或服务器上的安全设置每90分钟刷新一次,域控制器每5分钟刷新一次。
通过运行“gpupdate”,可以测试组策略设置或执行组策略设置,我们看一下书上对它的实例和参数介绍:
讲解课本:
阅书:
参考连接:
讲授:
由于可能对用户或计算机重叠应用策略设置,所以组策略登录时会产生一个策略结果集。
“gpresult”用于显示计算机上特定用户登录时执行的策略结果集。
“gpresult”命令显示用户或计算机的组策略设置和策略的结果集(RSoP,ResultantSetofPolicy)数据。
“gpresult”命令可以用于查看有效的策略设置并找出问题所在。
我们看一下书上对它的实例和参数介绍:
讲解课本:
阅书:
参考连接:
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
阅书:
讲授:
系统管理员可能已经对某个组策略对象进行了上百次修改。
为了在不打开组策略对象以及不展开每个文件夹的情况下确认对组策略对象所做的修改,可以生成一个HTML(HypertextMarkupLanguage,超文本标记语言)格式的报告,列出组策略对象中已配置的项目。
:
讲解课本:
阅书:
演示:
现在大家再来看看我是怎么进行使用组策略报告的方法的:
演示课本:
阅书:
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
课堂演示:
阅书:
讲授:
在部署将要应用到用户和计算机上的组策略对象之前,WindowsServer2003允许管理员提前进行模拟部署。
模拟将生成一份报告,内容包括用户的组织单位、计算机的组织单位和任何组成员身份或WMI(WindowsManagementInstrumentation)筛选。
报告还包括所有组策略继承问题或冲突
讲解课本:
阅书:
演示:
现在大家再来看看我是怎么进行使用“GroupPolicyModeling”的方法的:
演示课本:
阅书:
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
阅书:
讲授:
“GroupPolicyResults”中显示的数据与“GroupPolicyModeling”中的数据非常相似。
但是,与“GroupPolicyModeling”数据的区别在于,“GroupPolicyResults”数据不是模拟的结果,而是从目标计算机获得的实际RSoP数据。
默认情况下,MicrosoftWindowsXP上所有用户都有访问这个数据的权限,但WindowsServer2003用户没有该权限。
演示:
现在大家再来看看我是怎么进行使用“GroupPolicyResults”的方法的:
演示课本:
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
总结
经过本章的学习,我们了解了下列的知识和内容:
了解配置组策略设置的相关知识点。
了解使用组策略指派脚本的相关知识点。
了解配置“文件夹重定向”功能的操作。
●掌握确定已应用组策略对象(GPO,GroupPolicyObject)。
在第8章中,我们将学习应用管理模板和审核策略的知识,了解如何使用WindowsServer2003进行应用管理模板和审核策略的操作。
随堂练习
1.你是公司网络的管理员。
网络包含一个单独的活动目录域。
所有的服务器运行WindowsServer2003。
所有的客户端使用WindowsXPProfessional。
网络包括一个域控制器Server1,你在一台客户机Client1上创建预先配置好的用户配置文件。
你要确保所有的用户首次登录到网络时收到预先配置好的用户配置文件。
所有的用户依然能够个性化设置他们的桌面环境。
你应当如何做?
A.将用户配置文件从Client1上拷贝到\\Sever1\netlogon\DefaultUser
B.将用户配置文件从Client1上拷贝到\\Sever1\netlogon\DefaultUser。
将所有活动目录用户的用户配置文件路径改为\\Sever1\netlogon\DefaultUser
C.将用户配置文件从Client1上拷贝到C:
\DocumentsandSettings\DefaultUser文件夹。
在网络上共享改文件夹
D.在活动目录中创建文件夹重定向策略
答案:
A
分析:
网络登录服务使用用户配置文件作为登录进程脚本。
将预先配置好的用户配置文件在用户首次登录到网络时分配给每个网络用户。
你只需将用户配置文件从Client1上拷贝到\\Sever1\netlogon\DefaultUser即可。
这样设置使用户依然能够个性化设置他们的桌面环境。
2.你是公司网络的管理员。
网络包含一个单独的活动目录域。
所有的服务器运行WindowsServer2003。
一些的客户端使用WindowsXPProfessional,其余的客户端使用Windows2000Professional。
所有的销售部账户保存在Sales管理单元(OU)。
为了保存漫游用户配置文件,你在成员服务器Sever1上创建共享文件夹Profile。
你分配给Everyone组完全控制权限。
你要为所有SaleOU用户账户创建用户配置文件。
你应当如何做?
A.选择所有SalesOU的用户账户。
修改账户属性定义\\Sever1\Profiles\%username%为配置文件路径
B.选择所有SalesOU的用户账户。
修改账户属性定义\\Sever1\Profiles为配置文件路径
C.创建组策略对象(GPO)连接到SalesOU。
在GPO的用户配置文件节中配置文件夹重定向到\\Sever1\Profiles
D.创建组策略对象(GPO)连接到DomainControllersOU。
在GPO的用户配置文件节中配置文件夹重定向到\\Sever1\Profiles
答案:
A
分析:
用户登录到计算机并在于域控制器验证身份。
漫游配置文件保存在成员服务器上,所以我们必须进入到保存配置文件的统一命名约定(UNC)路径。
在这道题中,UNC路径为\\Sever1\Profiles。
为了根据用户名创建配置文件名。
这里我们使用%username%变量表示不同的登录名。
3.你是公司网络的管理员。
网络包含一个单独的活动目录域。
所有的服务器运行WindowsServer2003。
其余的客户端使用Windows2000Professional。
你需要将所有客户端的桌面环境标准化。
你的解决方案必须防止域用户永久地修改地区信息和桌面背景。
你应当选择哪两个选项?
A.在活动目录用户和计算机的用户属性中指定配置文件的网络路径
B.在计算机管理中指定配置文件的本地路径
C.在计算机管理的用户属性中指定配置文件的网络路径
D.在保存配置文件的网络共享文件夹中将重命名为
E.在本地配置文件目录中,将重命名为
F.在保存配置文件的网络共享文件夹中将重命名为
答案:
A,D
4.你是公司网络的管理员。
网络包含一个单独的活动目录域。
销售部门正在雇佣员工。
创建名为Sales的OU存放销售部门新用户对象。
每个销售部门用户拥有一台移动计算机。
每台移动计算机使用WindowsXPProfessional操作系统。
销售部门的成员能将移动计算机连接到域中。
你要确保在SalesOU中创建销售部门用户的移动计算机账户。
你在实现目标时不具有任何不必要的权限。
你应当如何做?
A.在Computer容器中配置销售部门的用户Allow-Read权限
B.配置销售部门的用户允许委派
C.前置级SalesOU中销售部门的用户的移动计算机账户
D.在SalesOU中配置销售部门用户Allow-CreateallChildObjects权限
答案:
C
布置作业
1.完成书后习题1-习题5
2.预习本章中的要求的实验,在实验课上准备操作。
案例教学
本章介绍了使用组策略管理用户环境的知识点。
本章节所学习的内容将对应案例教学中的使用组策略的操作。
升级会员 