组策略的创建和管理.docx
《组策略的创建和管理.docx》由会员分享,可在线阅读,更多相关《组策略的创建和管理.docx(9页珍藏版)》请在冰豆网上搜索。
组策略的创建和管理
组策略的创建和管理
本次课标题
学习情境一WindowsServer2003操作系统安装与基础管理
子情境1.4组策略的创建和管理
授课班级
计算机网络技术2010级
授课地点
多媒体教室、实训室
授课日期
年月日第周
授课时数
4
教
学
目
标
知识
目标
1.掌握组策略的基本概念。
2.熟悉组策略的特点。
3.掌握组策略对象的管理。
4.掌握组策略应用。
能力
目标
1.掌握创建组策略操作能力。
2.掌握设置组策略操作能力。
3.熟练掌握指派、发布应用程序的基本操作。
4.熟练掌握利用组策略配置桌面、文件夹重定向、安全设置等基本操作。
素质
目标
1.通过创设情景、问题、典型案例激发学生的求知欲;
2.通过小组讨论培养学生自信心和成就感。
通过任务教学,培养学生互助合作的团队精神;
3.养成良好的职业素养。
项目提出
本项目主要介绍完成组策略的创建与删除,并能正确链接己有的组策略对象,对组策略进行设置,进而完成组策略的应用操作。
项目实现
任务:
组策略的创建和管理
1.任务目标
(1)掌握创建组策略操作能力。
(2)掌握设置组策略操作能力。
(3)熟练掌握指派、发布应用程序的基本操作。
2.项目所需设备准备
若干计算机,VMware虚拟机,WIN2003ISO镜像文件。
3.项目实施步骤
1)创建组策略
每一计算机上的本地策略都是只能有一个,因此只能编辑本地策略而不能创建本地策略,而域上或组织单元级别上可以有多个组策略,我们可以在一个域上或组织单元上同时应用多个组策略。
创建组策略如下图:
2)链接已有的GPO
3)设置组策略
4)删除GPO链接
5)指派应用程序
可以将一个软件通过组策略指派给用户或者计算机,这样当用户登录时,软件会被通告给用户,但是软件并没有真正安装在该计算机,而只是安装了与软件有关的部分信息,当用户运行软件的快捷方式或者双击和该软件的文档时,该软件才会被自动安装。
如下图:
6)发布应用程序
和指派软件不同,发布一个软件时计算机并无该软件的快捷方式,用户需要用“控制面板”中的“添加或者删除应用程序”来安装软件。
发布应用程序只用于用户配置,在组策略中发布的程序是否被用户安装,取决于用户。
如下图:
知识点
学习情景二WindowsServer2003操作系统管理基本手段
子情境2.3组策略的创建和管理
2.3组策略概述
2.3.1组策略的概念
“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系,不要把组策略理解为是针对用户组所配置的策略。
组策略是一种在用户或计算机集合上强制使用一些配置的方法,组策定义了用户的桌面环境等多种设置。
使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括菜单启动项、软件设置,这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。
1.组策略对象(GPO)
系统已经有两个内建GPO,分别是:
DefaultDomainPolicy此策略已被连接到域,因此该策略将影响域内所有计算机和用户。
DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU,因此该策略将影响域控制器组织单元内的所有计算机和用户
2.组策略配置类型
应用组策略时存在两种配置选项:
计算机配置和用户配置。
计算机配置:
用于管理控制计算机特定项目的策略。
包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。
这些配置应用到特定的计算机上,当该计算机启动后,自动应用设置的组策略。
用户配置:
用于管理控制更多用户特定项目的管理策略。
包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。
当用户登录到计算机时,就会应用用户配置组策略。
3.组策略功能类型
软件部署:
软件部署包括“应用程序分配”和“应用程序发行”两部分内容。
“应用程序分配”指把应用软件提供给桌面,当计算机或用户根据组策略安装后就不能修改或删除应用程序;“应用程序发行”指将应用软件提供给用户或计算机,允许它们选择安装。
软件策略:
软件策略是最常用的配置设置。
这些选项定义了用户的工作环境。
例如,用户的“开始”菜单、屏保程序或用户配置文件的设置,包括操作系统组件和注册表设置。
文件夹管理:
文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。
例如,可以根据安全组成员的身份把网络应用程序提供给用户。
脚本:
脚本能够用于在某些时间自动运行批处理文件的进程,如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。
安全:
安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。
它们能够用于设置账户策略。
例如,密码的使用期、网络安全策略和账户锁定策略等。
4.组策略的应用时机
组策略计算机配置的启动时机是:
计算机开机时自动启动;如果用户不重新开机,系统会每隔一段时间自动启动;或手工启动。
组策略用户配置的启动时间是:
用户登录时自动启动;系统即使用户不注销、登录,系统默认每隔90~120钟自动启动;手工启动。
2.3.2组策略的应用顺序
组策略的应用顺序如下:
(1)本地组策略
(2)域组策略
(3)域控制器策略
(4)组织单元组策略
默认情况下,这些策略不一致时,后应用的策略将覆
盖以前的策略。
但是,如果这些设置对象不一致,前后的策略都是有效策略。
组策略可以继承,也可以阻止策略继承。
2.3.3WindowsServer2003组策略的特点
组策略管理控制台(GPMC)
策略结果集(Rsop)
新策略设置
跨域林支持
用户数据设置和管理的增强
组策略通过Web视图整合到组策略对象编辑器中
软件限制策略
组策略对象的管理
2.3.4创建组策略
每一计算机上的本地策略都是只能有一个,因此只能编辑本地策略而不能创建本地策略,而域上或组织单元级别上可以有多个组策略,我们可以在一个域上或组织单元上同时应用多个组策略
2.3.5链接已有的GPO
2.3.6委托GPO管理控制
2.3.7设置组策略
未配置:
表示该设置不会更改注册表。
已启用:
表示该配置应用到该GPO的用户和计算机。
已禁用:
表示注册表将指示策略不会应用到隶属于该GPO的用户和计算机。
2.3.8删除GPO链接
2.3.9组策略的应用
2.3.10指派应用程序
可以将一个软件通过组策略指派给用户或者计算机,这样当用户登录时,软件会被通告给用户,但是软件并没有真正安装在该计算机,而只是安装了与软件有关的部分信息,当用户运行软件的快捷方式或者双击和该软件的文档时,该软件才会被自动安装。
2.3.11发布应用程序
包含这里所说的“本地策略”。
当然域组策略也包含了“本地策略”。
审核策略决定哪些安全事件记录到计算机的安全日志中,可以审核成功和失败事件,例如:
审核对象访问是审核用户访问文件、文件夹、打印机的事件
用户权利指派决定哪个用户或组有登录或任务特权,例如我们指定哪些用户可以关闭系统。
安全选项用以启动或禁用计算机的安全设置,例如:
Administrator和Guest的账户名、软驱和光盘的访问、驱动程序的安装以及登录提示等。
3.事件日志
4.受限制的组
受限制的组是用以控制组的成员,防止有人增加某个组的成员。
5.系统服务
系统服务策略项用于为计算机上运行的服务配置安全设置和启动设置。
6.注册表
注册表策略项用以指定用户或组访问注册表的权限.
7.文件系统
文件系统允许你在策略级别上设置文件系统对象(NTFS目录和文件)的权限。
2.3.13安全模板
安全模式实际上是保存有组策略中的安全设置的一个文件,可以把它当成一个样板应用到组策略中,则组策略中的安全设置就和模板中的安全设置一样。
把所有的安全设置存放在文件中方便于使用和管理,这样可以把安全设置进行备份或者复制到别的计算机上。
可以把安全模板导入到组策略中
也可以导出本地安全策略或者当前的有效安全策略到一个安全模板中,以实现安全设置的备份(常常在改变安全策略前进行这项工作)。