01组策略环境配置.docx
《01组策略环境配置.docx》由会员分享,可在线阅读,更多相关《01组策略环境配置.docx(24页珍藏版)》请在冰豆网上搜索。
01组策略环境配置
技术点训练报告
技术训练名称
组策略环境配置
训练点类别
组策略
应对项目
使用组策略管理用户工作环境
指导教师
训练目标
实训目的:
主要是训练计算机设置、用户设置、首选设置,了解组策略环境配置并且能够充分熟悉,运用到以后的实训中去。
技术支撑:
域控制器组策略
系统支持:
Windowsserver2008Windows7
实训效果:
使用组策略实现计算机设置、首选设置、文件夹重定向、开关机脚本设置
训练拓扑
设备和系统
笔记本:
3台
操作系统:
windowsserver2008R2,windows7,xp
设备配置清单
域名
IP
DNS
10.10.22.85
10.10.22.85
(Windows7客户机)
10.10.21.88
10.10.22.85
(XP客户机)
10.10.21.86
10.10.22.85
训练过程详细说明
4-2-1计算机配置
Step1:
IP配置好,DNS设置,把计算机名修改,保证不冲突。
请到域控制器上使用系统管理员身份登录。
Step2:
选择【开始—管理工具—组策略管理】
Step3:
如图4-1所示,通过【展开DomainControllers----对着右边的DefaultDomainControllersPolicy单击右键----编辑】的方法进行操作
图4-2
Step5:
如图4-3所示,通过【单击添加用户或组按钮—输入或选择域CCITtwo内的DomainUsers组—单击2次确定】的方式进行操作。
由此图可以看出只有AccountOperators,Administrators等组内的用户才拥有允许本地登录的权限】。
图4-3
4-2-2用户配置
1、用系统管理员的身份登陆到域控制器
2、打开开始>管理工具>组策略管理
3、新建ccitfive的组织单位在domaincontrollers内,右击ccitfive>点新建GPO(名称为“测试”)>右击已经新建了的GPO点击编辑
Step4:
为此GPO命名(测试用的GPO)后单击确定。
`
Step5:
通过[对着这个添加的GPO单击右键---编辑]的方式进行操作。
Step6:
展开用户配置—策略---Windowns设置—InternetExplorer维护—连接—双击右边的代理设置—在弹出的对话框中选择启用代理服务器设置复选框—输入代理服务器的网址:
端口号为8080—单击确定按钮。
Step7:
展开用户配置—策略—管理模板—Windowns组件—InternetExproler—将右方禁用更改代理服务器设置的状态改为已启用。
Step8、请使用业务部内任一用户到域内任何一台计算机登录。
Step9:
运行浏览器InternetExproler,选择工具菜单--Internet选项,再单击连接标签下的局域网设置按钮,从弹出的对话框中可知其代理服务器被指定到我们所设置的,端口为8080,而且无法更改这些设置。
4-3-1首选设置实例演练一
1、远程桌面连接,用管理员身份登录域控,在域控上创建文件夹tool与database,
将它们设置为共享文件夹,给Everyone读取权限。
2、选择开始—管理工具—组策略管理—展开业务部—对着测试用的GPO右击—编辑,如图:
3、接着,展开用户设置—首选项—W3indows设置—对着驱动器映射单击右键—新建—映射驱动器,如下图:
4、在下图中的操作下拉列表中选择更新,位置文本框中输入共享文件夹路径\\10.10.22.82\tools,用Z盘来连接此共享文件夹,选择重新连接方便每次登录时会自动使用Z盘。
5、单击常用图标,进行设置后单击确定
6、接着继续创建下一个下项目:
对着驱动器映射右击—新建—映射驱动器
7、打开新建驱动器属性界面后,选择更新,位置处输入共享文件夹路径:
\\10.10.22.82\database,选择重新连接,使用Y盘来连接此共享文件夹。
8、然后单击下图中的常用标签,选择在登录用户的安全上下文中运行(用户则策略项)复选框,同时单击目标按钮,可以将此应用对象指定到用户jbl.
9、通过单击新建项目,选择用户的方式操作
10、在用户文本框中,单击右边的浏览按钮来选择将此项目应用到域CCITFIVE的用户jbl后,单击确定。
11、返回到新建驱动器属性对话框时单击确定。
12、完成项目后,如下图所示:
13、测试结果:
用业务部用户jbl的身份登录,选择开始—计算机,之后将会看见Y与Z;磁盘会自动连接到我们指定的共享文件夹!
4-3-2首选设置实例演练二
本地用户和组设置
1、用管理员身份登录,将计算机账户移动到组织单位业务部内(单击右键—移动—选择业务部-,单击确定按钮)
2、选择开始—管理工具—组策略管理,展开到组织单位业务部—对着测试用的GPO单击右键—编辑,弹出组策略管理编辑器界面,展开计算机配置—首选项—控制面板设置—本地用户和组—右击,新建本地用户。
3、新建本地用户属性界面中,操作下拉列表框中选择创建,输入用户的相关数据后单击应用按钮。
4、单击图中的常用标签,选择应用一次且不再重新应用复选框,同时选择项目级目标复选框后单击目标按钮,可以指定到对象计算机。
5、单击左上角的新建项目,选择计算机名称;在计算机名称文本框中通过单击浏览按钮来选择仅将此项目应用到计算机后,单击确定。
6、返回前一个对话框单击确定按钮。
7、等上述组策略设置应用到域成员计算机后(重启此计算机或运行gpupdate程序),然后选择开始—管理工具—计算机管理,查看自动创建的用户账户。
4-5-6登录/注销、启动/关机脚本
1)登录/注销脚本的设置
1、选择开始—管理工具—组策略管理—展开到组织单位业务部—对着测试用的GPO右击—编辑
2、展开用户配置—策略—Windows设置—脚本—双击登录—单击显示文件按钮,请将登录logon.vbs黏贴到界面中的文件夹内
3、在下图中,点击浏览按钮,选择登录脚本文件logon.vbs,完成后单击确定按钮。
4、返回到登录属性,点击确定按钮。
5、双击右方的注销按钮,然后重复相同的步骤来设置注销脚本logoff.vbs.
6、完成设置后,业务部的所有用户登录与注销时,系统会分别自动运行登录脚本(logon.vbs)与注销脚本(logoff.vbs)
2)启动/关机脚本的设置
1、先建一个启动脚本(startup.vbs)和关机脚本(shutdown.vbs)的两个文件,文件内容中分别输入:
wscript.echo”您好!
这是启动脚本测试”和wscript.echo”再见!
这是关机脚本测试”
2、我们将用组织单位业务部的测试用的GPO为例,以计算机名称为3H的计算机来练习启动和关机脚本,所以先将计算机3H移动到业务部内(开始----管理工具—ActiveDirectory管理中心—展开域CCITFIVE—computers,右方右击计算机3H---移动---业务部)
3、展开计算机配置—策略—管理模板—系统—脚本—将右方的异步运行启动脚本设置为已禁用。
4、更改计算机配置处的脚本(启动/关机)来设置。
5测试:
完成后,组织单位业务部内的计算机3H重新启动与关机时,屏幕上会出现如图所示的对话框。
4-5-7文件夹重定向
1、以管理员身份登录进入域控制器,在其上创建一个文件夹C:
\DocStore,,将此文件夹设置为共享文件夹,赋予Everyone读取/写入权限(系统会同时将完全控制的共享权限与NTFS权限赋予Everyone)
2、选择开始---管理工具—组策略管理---展开到组织单位业务部—对着测试用的GPO单击右键----编辑
3、如下图所示,展开用户配置---策略—Windows设置---文件夹重定向—对着文档右击属性。
4、打开文档属性后,根路径选择\\Win2008R2-5-111\Docstore,系统会自动为每一个登录的用户创建一个专属的文件夹,其中设置下拉列表中选择基本-将每个人的文件重定到同一个位置,目标文件夹位置选择在跟目标路径下为每一用户创建一个文件夹。
6、请使用业务部内的任何一个用户到成员计算机登录,或者通过[开始—单击用户-----对着我的文档右击]的方式来得知我的文档文件夹位于定向后的新位置
至此实验基本完成。
升级会员 