27组策略在企业中的应用.docx

27组策略在企业中的应用.docx

《27组策略在企业中的应用.docx》由会员分享，可在线阅读，更多相关《27组策略在企业中的应用.docx（10页珍藏版）》请在冰豆网上搜索。

27组策略在企业中的应用

27.组策略在企业中的应用

　　济南铁道职业技术学院

　　教

　　师授课教案学年第课程

　　目的要求：

掌握组策略的设置；了解权限委派

　　　　旧知复习：

组策略的作用

　　组策略的特点

　　　　重点难点：

组策略的设置

　　　　教学过程：

（包括主要教学环节、时间分配）

　　　　旧知复习（15‘）

　　组策略在企业中的应用（60‘）

　　小结（10‘）

　　作业（5‘）

　　　　课后作业：

补充

　　　　教学后记：

学生对概念的理解缺乏实际性，在今后的上机过程中要给学生多结合实际加以介绍。

　　　　任课教师：

平寒教研室主任

　　复习：

　　组策略的作用：

使用户或计算机按照管理员的设置得到工作环境组策略的特点：

　　组策略只对本容器中的用户和计算机起作用

　　一个组策略可以应用到多个容器上

　　创建和链接组策略对象的方法

　　讨论：

如何确定最终组策略设置

　　有四个GPO：

GPO1、GPO2、GPO3、GPO4

　　　　GPO1－使“收藏夹”出现在“开始”菜单中

　　GPO2－要求输入一个至少含有11个字符的密码

　　GPO3－从“开始”菜单中移去“WindowsUpdate”

　　GPO4－使“WindowsUpdate”出现在“开始”菜单中，并从“开始”菜单中删

　　除“收藏夹”

　　　　问题：

　　在OU中用户对象的最终组策略设置是什么？

为什么？

　　　　第八章组策略在企业中的应用

　　8-1利用组策略管理用户环境

　　●管理用户环境－控制用户在登录网络时有哪些权力。

可以通过控制用户

　　的桌面、网络连接和用户界面来控制用户权力。

　　●用户环境－为用户或计算机设置的。

　　8-1-1组策略设置的结构

　　●组策略的设置总体分为：

计算机配置和用户配置

　　●计算机配置和用户配置下面又有三个子层：

（1）软件设置－统一管理所有软件

（2）Windows设置

　　计算机配置：

脚本、安全设置

　　用户配置：

IE维护、脚本、安全设置、远程安装服务、文件夹重定向

　　（3）管理模板－解决用户环境的问题

　　计算机配置：

Windows组件、系统、网络、打印机

　　用户配置：

Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单

　　8-1-2计算机配置中的Windows配置

　　●脚本（启动/关闭）

　　组策略脚本设置的功能：

（1）集中配置脚本，在计算机启动或关闭时，自动运行。

（2）指定在Windows2000上运行任何脚本，包括批处理文件、可执行

　　程序等。

　　案例一：

添加脚本

（1）计算机配置－Windows设置－脚本－右击“启动”－单击“添加”

（2）单击“浏览”，选定要运行的脚本或可执行文件

　　注：

如果同时添加多个脚本，则Windows2000按照从上到下的顺序执行；如果多个脚本之间有冲突，则最后处理的脚本有效。

　　●安全设置

　　安全设置包括：

帐号策略、本地策略、事件日志、无限制的组、系统服务、注册表、

　　文件系统、公钥策略、IP安全策略

　　案例二：

计算机中的安全设置是如何起作用的

（1）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”－

　　单击“编辑”

（2）计算机配置－Windows设置－安全设置－右击“登录屏幕不要显示

　　上次登录的用户名”

　　（3）选择“安全性”－选中“定义这个策略设置”和“已启用”

　　8-1-3计算机配置中的管理模板

　　计算机配置中的管理模板－控制计算机桌面的外观和行为

　　管理模板包括：

Windows组件、系统、网络

　　●Windows组件

　　Windows组件中规定了一些操作系统自带的组件，如：

IE、Netmeeting、若任务计划等。

　　案例三：

设置Windows组件（以“任务计划程序”为例）

（1）控制面板－任务计划－添加一个任务计划

（2）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”

　　－单击“编辑”

　　（3）计算机配置－管理模板－Windows组件－选中“任务计划程序”项

　　（4）右击“禁用‘创建新任务’”－选择“属性”－在“策略”选项卡

　　中选中“启用”

　　●系统子树

　　系统子树包括：

登录、磁盘配额、DNS客户端、组策略、Windows文件保护

　　●网络子树

　　网络子树包括：

脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接

　　案例四：

禁用网络连接共享

（1）新建一个拨号连接，设置共享

（2）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”

　　－单击“编辑”

　　（3）计算机配置－管理模板－网络－网络及拨号连接

　　（4）右击“允许连接共享”－选中“禁用”

　　●打印机子树

　　打印机子树中包括与打印机相关的各种策略

　　8-1-4用户配置中的Windows配置

　　Windows配置中包括：

IE维护、脚本、安全设置、远程安装服务、文件夹重定向

　　●IE维护子树

　　IE维护子树中的选项与IE选项一致

　　案例五：

用用户策略中的IE维护为用户指定默认主页

（1）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”

　　－单击“编辑”

（2）用户配置－Windows设置－IE维护－URL

　　（3）右击“重要URL”－选择“属性”－选中“自定义主页URL”－

　　输入网址

　　●脚本

　　用户配置中的脚本－在用户登录和注销时运行

　　计算机配置中的脚本－在计算机启动和关闭时运行

　　●安全设置

　　用户配置中的安全设置包括：

密钥策略

　　●远程安装服务

　　远程安装服务策略规定了：

用户在进行RIS安装时，客户安装向导运行期间，用户可以使用的选项设置

　　●文件夹重定向

　　文件夹重定向的功能：

将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。

　　案例六：

重定向文件夹（MyDocument）

（1）用户配置－Windows设置－文件夹重定向－右击“My

　　Document”子树－选择“属性”

（2）在“目标”选项卡中，选择“基本”，来为每个用户在服务器上

　　建立一个个人文件夹，文件夹名即用户名

　　（3）在目标文件夹的位置输入路径：

\\服务器名\共享文件夹名\％用户

　　名％

　　（4）在“设置”选项卡中设置：

只有用户和系统能够访问该文件夹8-1-5用户配置中的管理模板－控制用户环境

　　用户配置的管理模板包含：

Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。

　　●Windows组件

　　案例七：

资源管理器中的策略（使资源管理器中的文件夹选项消失）

（1）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”

　　－单击“编辑”

（2）用户配置－管理面板－Windows组件－Windows资源管理器

　　（3）右击“从‘工具’菜单中删除‘文件夹选项’菜单”，选择“启

　　用”

　　●任务栏和开始菜单－控制任务栏和开始菜单中的各种环境

　　●桌面

　　桌面子树包括：

活动桌面、ActiveDirectory

　　●控制面板－规定用户对控制面板的操作

　　●网络子树

　　网络子树包括：

脱机文件夹、网络及拨号连接

　　用户配置中的网络子树与计算机配置中的网络子树的区别：

策略的控制范围不同

　　●系统子树

　　系统子树包括：

登录/撤销、组策略

　　8-2使用组策略管理软件

　　在Windows2000中，可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置，来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。

　　8-2-1软件布置（安装和维护）的步骤

　　●准备阶段

　　准备一个文件，以便一个应用程序能用组策略布置。

为完成这个，应将用于应用程序的Windows安装程序包文件（*.msi*.zap）复制到一个软件分布点，它可能是一个共享文件夹或服务器。

　　●布置阶段

　　管理员创建一个在计算机上安装软件并将GPO链接到相应的活动类别容器内的组策略对象（GPO）。

实际上，软件是在计算机启动或用户激活应用程序时安装。

　　●维护阶段

　　用新版本的软件升级软件或用一个补丁包来重新布置软件。

当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。

　　●删除阶段

　　为删除不再使用的软件，从开始布置软件的GPO中删除软件包设置。

当计算机启动或用户登录时软件将被自动删除。

　　8-3发布和分配软件

　　用组策略统一给客户端安装软件，有两种形式：

发布、分配（指派）8-3-1发布和分配软件

　　●所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装；也可以通过文档激活自动安装。

　　●只能将软件发布给用户，而不给计算机。

　　8-3-2分配软件

　　●可以将软件分配用户和计算机。

　　●分配软件确保用户需要的所有应用程序都安装到了他们的计算机上。

●通过分配软件，可以确保：

（1）软件对用户总是可用的。

可以采用文档激活方法安装，如使用Word、

　　Excel等应用程序的用户。

（2）软件是有弹性的。

如果缺少某些文件，当用户下次登录并激活应用

　　程序时，将重新安装。

　　（3）当给用户分配软件时，软件将出现在用户的桌面上，但是在用户双

　　击其图标或打开与应用程序关联的文件之前，安装不会开始。

　　（4）当给计算机分配软件时，在计算机启动时，软件将被自动安装。

●如果计算机是一个域控制器，分配软件给计算机将不起作用。

8-4用组策略布置软件包

　　案例八：

用组策略布置软件包（以用户配置中的软件设置为例）

（1）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”－单

　　击“编辑”

（2）用户配置－软件设置－右击“软件安装”－选择“新建”－单击“程

　　序包”

　　（3）选择安装程序包（*.msi*.zap）<该安装程序包所在目录必须是共享

　　的>－单击“打开”

　　（4）选择布置方法为“已发行”

　　（5）再选择另一个安装程序包，选择布置方法为“已指派”

　　（6）在域中另一台计算机上登录，控制面板－添加/删除程序－添加新程序注：

客户机一定要指向DNS

　　8-5删除布置的软件

　　案例九：

卸载已布置的软件

（1）打开域属性的“组策略”选项卡－选中“DefaultDomainPolicy”－单

　　击“编辑”

（2）用户设置－软件设置－软件安装－右击要删除的软件－选择“删除”

　　（3）客户注销帐户或重启计算机后，软件即被删除

　　8-6配置软件布置

　　8-6-1软件安装属性

　　●打开“软件安装属性”的方法：

　　用户配置－软件设置－右击“软件安装”－选择“属性”

　　●“常规”选项卡

　　设置新建程序包的默认安装位置、部署方式、安装界面

　　●“文件名扩展”选项卡

　　控制应用程序与文件扩展名关联时的优先权，并在文档激活过程中打开或安装。

　　●“类别”选项卡

　　添加软件类别，对软件进行分类，便于查找。

　　8-6-2软件安装包的属性

　　●“软件安装”属性－针