27组策略在企业中的应用.docx
《27组策略在企业中的应用.docx》由会员分享,可在线阅读,更多相关《27组策略在企业中的应用.docx(10页珍藏版)》请在冰豆网上搜索。
![27组策略在企业中的应用.docx](https://file1.bdocx.com/fileroot1/2022-10/11/a36119ab-07a6-44ea-8d58-79de805e2430/a36119ab-07a6-44ea-8d58-79de805e24301.gif)
27组策略在企业中的应用
27.组策略在企业中的应用
济南铁道职业技术学院
教
师授课教案学年第课程
目的要求:
掌握组策略的设置;了解权限委派
旧知复习:
组策略的作用
组策略的特点
重点难点:
组策略的设置
教学过程:
(包括主要教学环节、时间分配)
旧知复习(15‘)
组策略在企业中的应用(60‘)
小结(10‘)
作业(5‘)
课后作业:
补充
教学后记:
学生对概念的理解缺乏实际性,在今后的上机过程中要给学生多结合实际加以介绍。
任课教师:
平寒教研室主任
复习:
组策略的作用:
使用户或计算机按照管理员的设置得到工作环境组策略的特点:
组策略只对本容器中的用户和计算机起作用
一个组策略可以应用到多个容器上
创建和链接组策略对象的方法
讨论:
如何确定最终组策略设置
有四个GPO:
GPO1、GPO2、GPO3、GPO4
GPO1-使“收藏夹”出现在“开始”菜单中
GPO2-要求输入一个至少含有11个字符的密码
GPO3-从“开始”菜单中移去“WindowsUpdate”
GPO4-使“WindowsUpdate”出现在“开始”菜单中,并从“开始”菜单中删
除“收藏夹”
问题:
在OU中用户对象的最终组策略设置是什么?
为什么?
第八章组策略在企业中的应用
8-1利用组策略管理用户环境
●管理用户环境-控制用户在登录网络时有哪些权力。
可以通过控制用户
的桌面、网络连接和用户界面来控制用户权力。
●用户环境-为用户或计算机设置的。
8-1-1组策略设置的结构
●组策略的设置总体分为:
计算机配置和用户配置
●计算机配置和用户配置下面又有三个子层:
(1)软件设置-统一管理所有软件
(2)Windows设置
计算机配置:
脚本、安全设置
用户配置:
IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(3)管理模板-解决用户环境的问题
计算机配置:
Windows组件、系统、网络、打印机
用户配置:
Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单
8-1-2计算机配置中的Windows配置
●脚本(启动/关闭)
组策略脚本设置的功能:
(1)集中配置脚本,在计算机启动或关闭时,自动运行。
(2)指定在Windows2000上运行任何脚本,包括批处理文件、可执行
程序等。
案例一:
添加脚本
(1)计算机配置-Windows设置-脚本-右击“启动”-单击“添加”
(2)单击“浏览”,选定要运行的脚本或可执行文件
注:
如果同时添加多个脚本,则Windows2000按照从上到下的顺序执行;如果多个脚本之间有冲突,则最后处理的脚本有效。
●安全设置
安全设置包括:
帐号策略、本地策略、事件日志、无限制的组、系统服务、注册表、
文件系统、公钥策略、IP安全策略
案例二:
计算机中的安全设置是如何起作用的
(1)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”-
单击“编辑”
(2)计算机配置-Windows设置-安全设置-右击“登录屏幕不要显示
上次登录的用户名”
(3)选择“安全性”-选中“定义这个策略设置”和“已启用”
8-1-3计算机配置中的管理模板
计算机配置中的管理模板-控制计算机桌面的外观和行为
管理模板包括:
Windows组件、系统、网络
●Windows组件
Windows组件中规定了一些操作系统自带的组件,如:
IE、Netmeeting、若任务计划等。
案例三:
设置Windows组件(以“任务计划程序”为例)
(1)控制面板-任务计划-添加一个任务计划
(2)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”
-单击“编辑”
(3)计算机配置-管理模板-Windows组件-选中“任务计划程序”项
(4)右击“禁用‘创建新任务’”-选择“属性”-在“策略”选项卡
中选中“启用”
●系统子树
系统子树包括:
登录、磁盘配额、DNS客户端、组策略、Windows文件保护
●网络子树
网络子树包括:
脱机文件(处理与脱机文件夹有关的事项);网络及拨号连接
案例四:
禁用网络连接共享
(1)新建一个拨号连接,设置共享
(2)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”
-单击“编辑”
(3)计算机配置-管理模板-网络-网络及拨号连接
(4)右击“允许连接共享”-选中“禁用”
●打印机子树
打印机子树中包括与打印机相关的各种策略
8-1-4用户配置中的Windows配置
Windows配置中包括:
IE维护、脚本、安全设置、远程安装服务、文件夹重定向
●IE维护子树
IE维护子树中的选项与IE选项一致
案例五:
用用户策略中的IE维护为用户指定默认主页
(1)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”
-单击“编辑”
(2)用户配置-Windows设置-IE维护-URL
(3)右击“重要URL”-选择“属性”-选中“自定义主页URL”-
输入网址
●脚本
用户配置中的脚本-在用户登录和注销时运行
计算机配置中的脚本-在计算机启动和关闭时运行
●安全设置
用户配置中的安全设置包括:
密钥策略
●远程安装服务
远程安装服务策略规定了:
用户在进行RIS安装时,客户安装向导运行期间,用户可以使用的选项设置
●文件夹重定向
文件夹重定向的功能:
将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。
案例六:
重定向文件夹(MyDocument)
(1)用户配置-Windows设置-文件夹重定向-右击“My
Document”子树-选择“属性”
(2)在“目标”选项卡中,选择“基本”,来为每个用户在服务器上
建立一个个人文件夹,文件夹名即用户名
(3)在目标文件夹的位置输入路径:
\\服务器名\共享文件夹名\%用户
名%
(4)在“设置”选项卡中设置:
只有用户和系统能够访问该文件夹8-1-5用户配置中的管理模板-控制用户环境
用户配置的管理模板包含:
Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
●Windows组件
案例七:
资源管理器中的策略(使资源管理器中的文件夹选项消失)
(1)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”
-单击“编辑”
(2)用户配置-管理面板-Windows组件-Windows资源管理器
(3)右击“从‘工具’菜单中删除‘文件夹选项’菜单”,选择“启
用”
●任务栏和开始菜单-控制任务栏和开始菜单中的各种环境
●桌面
桌面子树包括:
活动桌面、ActiveDirectory
●控制面板-规定用户对控制面板的操作
●网络子树
网络子树包括:
脱机文件夹、网络及拨号连接
用户配置中的网络子树与计算机配置中的网络子树的区别:
策略的控制范围不同
●系统子树
系统子树包括:
登录/撤销、组策略
8-2使用组策略管理软件
在Windows2000中,可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置,来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。
8-2-1软件布置(安装和维护)的步骤
●准备阶段
准备一个文件,以便一个应用程序能用组策略布置。
为完成这个,应将用于应用程序的Windows安装程序包文件(*.msi*.zap)复制到一个软件分布点,它可能是一个共享文件夹或服务器。
●布置阶段
管理员创建一个在计算机上安装软件并将GPO链接到相应的活动类别容器内的组策略对象(GPO)。
实际上,软件是在计算机启动或用户激活应用程序时安装。
●维护阶段
用新版本的软件升级软件或用一个补丁包来重新布置软件。
当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。
●删除阶段
为删除不再使用的软件,从开始布置软件的GPO中删除软件包设置。
当计算机启动或用户登录时软件将被自动删除。
8-3发布和分配软件
用组策略统一给客户端安装软件,有两种形式:
发布、分配(指派)8-3-1发布和分配软件
●所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装;也可以通过文档激活自动安装。
●只能将软件发布给用户,而不给计算机。
8-3-2分配软件
●可以将软件分配用户和计算机。
●分配软件确保用户需要的所有应用程序都安装到了他们的计算机上。
●通过分配软件,可以确保:
(1)软件对用户总是可用的。
可以采用文档激活方法安装,如使用Word、
Excel等应用程序的用户。
(2)软件是有弹性的。
如果缺少某些文件,当用户下次登录并激活应用
程序时,将重新安装。
(3)当给用户分配软件时,软件将出现在用户的桌面上,但是在用户双
击其图标或打开与应用程序关联的文件之前,安装不会开始。
(4)当给计算机分配软件时,在计算机启动时,软件将被自动安装。
●如果计算机是一个域控制器,分配软件给计算机将不起作用。
8-4用组策略布置软件包
案例八:
用组策略布置软件包(以用户配置中的软件设置为例)
(1)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”-单
击“编辑”
(2)用户配置-软件设置-右击“软件安装”-选择“新建”-单击“程
序包”
(3)选择安装程序包(*.msi*.zap)<该安装程序包所在目录必须是共享
的>-单击“打开”
(4)选择布置方法为“已发行”
(5)再选择另一个安装程序包,选择布置方法为“已指派”
(6)在域中另一台计算机上登录,控制面板-添加/删除程序-添加新程序注:
客户机一定要指向DNS
8-5删除布置的软件
案例九:
卸载已布置的软件
(1)打开域属性的“组策略”选项卡-选中“DefaultDomainPolicy”-单
击“编辑”
(2)用户设置-软件设置-软件安装-右击要删除的软件-选择“删除”
(3)客户注销帐户或重启计算机后,软件即被删除
8-6配置软件布置
8-6-1软件安装属性
●打开“软件安装属性”的方法:
用户配置-软件设置-右击“软件安装”-选择“属性”
●“常规”选项卡
设置新建程序包的默认安装位置、部署方式、安装界面
●“文件名扩展”选项卡
控制应用程序与文件扩展名关联时的优先权,并在文档激活过程中打开或安装。
●“类别”选项卡
添加软件类别,对软件进行分类,便于查找。
8-6-2软件安装包的属性
●“软件安装”属性-针