01组策略环境配置.docx

1、01组策略环境配置技术点训练报告技术训练名称组策略环境配置训练点类别组策略应对项目使用组策略管理用户工作环境指导教师训练目标实训目的：主要是训练计算机设置、用户设置、首选设置，了解组策略环境配置并且能够充分熟悉，运用到以后的实训中去。技术支撑：域控制器组策略系统支持：Windows server2008 Windows7实训效果：使用组策略实现计算机设置、首选设置、文件夹重定向、开关机脚本设置训练拓扑设备和系统笔记本： 3台 操作系统：windows server2008R2，windows 7，xp设备配置清单域名IPDNS 10.10.22.8510.10.22.85（Windows7客户

2、机）10.10.21.8810.10.22.85（XP客户机） 10.10.21.8610.10.22.85训练过程详细说明4-2-1计算机配置Step1:IP配置好，DNS设置，把计算机名修改，保证不冲突。请到域控制器上使用系统管理员身份登录。Step2: 选择【开始管理工具组策略管理】Step3:如图4-1所示，通过【展开Domain Controllers -对着右边的Default Domain Controllers Policy 单击右键-编辑】的方法进行操作 图4-2Step5：如图4-3所示，通过【单击添加用户或组按钮输入或选择域CCITtwo内的Domain Users 组单

3、击2次确定】的方式进行操作。由此图可以看出只有Account Operators,Administrators等组内的用户才拥有允许本地登录的权限】。 图4-34-2-2 用户配置 1、用系统管理员的身份登陆到域控制器 2、打开 开始管理工具组策略管理 3、新建ccitfive的组织单位在domain controllers内，右击ccitfive点新建GPO（名称为 “测试”）右击已经新建了的GPO点击编辑Step4：为此GPO命名(测试用的GPO)后单击确定。 Step5：通过对着这个添加的GPO单击右键-编辑的方式进行操作。Step6: 展开用户配置策略-Windowns设置Intern

4、et Explorer维护连接双击右边的代理设置在弹出的对话框中选择启用代理服务器设置复选框输入代理服务器的网址：,端口号为8080单击确定按钮。 Step7:展开用户配置策略管理模板Windowns组件Internet Exproler将右方禁用更改代理服务器设置的状态改为已启用。 Step8、请使用业务部内任一用户到域内任何一台计算机登录。Step9: 运行浏览器Internet Exproler，选择工具菜单-Internet选项，再单击连接标签下的局域网设置按钮，从弹出的对话框中可知其代理服务器被指定到我们所设置的，端口为8080，而且无法更改这些设置。 4-3-1首选设置实例演练一

5、1、远程桌面连接，用管理员身份登录域控，在域控上创建文件夹tool与database,将它们设置为共享文件夹，给Everyone读取权限。 2、选择开始管理工具组策略管理展开业务部对着测试用的GPO右击编辑，如图： 3、接着，展开用户设置首选项W3indows设置对着驱动器映射单击右键新建映射驱动器，如下图： 4、在下图中的操作下拉列表中选择更新，位置文本框中输入共享文件夹路径10.10.22.82tools，用Z盘来连接此共享文件夹，选择重新连接方便每次登录时会自动使用Z盘。 5、单击常用图标，进行设置后单击确定 6、接着继续创建下一个下项目：对着驱动器映射右击新建映射驱动器 7、打开新建驱

6、动器属性界面后，选择更新，位置处输入共享文件夹路径：10.10.22.82database,选择重新连接，使用Y盘来连接此共享文件夹。 8、然后单击下图中的常用标签，选择在登录用户的安全上下文中运行（用户则策略项）复选框，同时单击目标按钮，可以将此应用对象指定到用户jbl.9、通过单击新建项目，选择用户的方式操作 10、在用户文本框中，单击右边的浏览按钮来选择将此项目应用到域CCITFIVE的用户jbl后，单击确定。11、返回到新建驱动器属性对话框时单击确定。12、完成项目后，如下图所示： 13、测试结果：用业务部用户jbl的身份登录，选择开始计算机，之后将会看见Y与Z;磁盘会自动连接到我们指

7、定的共享文件夹！ 4-3-2首选设置实例演练二本地用户和组设置 1、用管理员身份登录，将计算机账户移动到组织单位业务部内（单击右键移动选择业务部-，单击确定按钮） 2、选择开始管理工具组策略管理，展开到组织单位业务部对着测试用的GPO单击右键编辑，弹出组策略管理编辑器界面，展开计算机配置首选项控制面板设置本地用户和组右击，新建本地用户。 3、新建本地用户属性界面中，操作下拉列表框中选择创建，输入用户的相关数据后单击应用按钮。 4、单击图中的常用标签，选择应用一次且不再重新应用复选框，同时选择项目级目标复选框后单击目标按钮，可以指定到对象计算机。 5、单击左上角的新建项目，选择计算机名称；在计算

8、机名称文本框中通过单击浏览按钮来选择仅将此项目应用到计算机后，单击确定。 6、返回前一个对话框单击确定按钮。 7、等上述组策略设置应用到域成员计算机后（重启此计算机或运行gpupdate程序），然后选择开始管理工具计算机管理，查看自动创建的用户账户。4-5-6登录/注销、启动/关机脚本 1）登录/注销脚本的设置 1、选择开始管理工具组策略管理展开到组织单位业务部对着测试用的GPO右击编辑 2、展开用户配置策略Windows设置脚本双击登录单击显示文件按钮，请将登录logon.vbs黏贴到界面中的文件夹内 3、在下图中，点击浏览按钮，选择登录脚本文件logon.vbs,完成后单击确定按钮。 4、

9、返回到登录属性，点击确定按钮。 5、双击右方的注销按钮，然后重复相同的步骤来设置注销脚本logoff.vbs. 6、完成设置后，业务部的所有用户登录与注销时，系统会分别自动运行登录脚本（logon.vbs）与注销脚本（logoff.vbs） 2)启动/关机脚本的设置 1、先建一个启动脚本（startup.vbs）和关机脚本（shutdown.vbs）的两个文件，文件内容中分别输入：wscript.echo”您好!这是启动脚本测试”和wscript.echo”再见!这是关机脚本测试” 2、我们将用组织单位业务部的测试用的GPO为例，以计算机名称为3H的计算机来练习启动和关机脚本，所以先将计算机3

10、H移动到业务部内（开始-管理工具Active Directory管理中心展开域CCITFIVEcomputers，右方右击计算机3H-移动-业务部） 3、展开计算机配置策略管理模板系统脚本将右方的异步运行启动脚本设置为已禁用。 4、更改计算机配置处的脚本（启动/关机）来设置。 5测试：完成后，组织单位业务部内的计算机3H重新启动与关机时，屏幕上会出现如图所示的对话框。 4-5-7文件夹重定向 1、以管理员身份登录进入域控制器，在其上创建一个文件夹C：DocStore,将此文件夹设置为共享文件夹，赋予Everyone读取/写入权限（系统会同时将完全控制的共享权限与NTFS权限赋予Everyone） 2、选择开始-管理工具组策略管理-展开到组织单位业务部对着测试用的GPO单击右键-编辑 3、如下图所示，展开用户配置-策略Windows设置-文件夹重定向对着文档右击属性。4、打开文档属性后，根路径选择Win2008R2-5-111Docstore，系统会自动为每一个登录的用户创建一个专属的文件夹，其中设置下拉列表中选择基本-将每个人的文件重定到同一个位置，目标文件夹位置选择在跟目标路径下为每一用户创建一个文件夹。 6、请使用业务部内的任何一个用户到成员计算机登录，或者通过开始单击用户-对着我的文档右击的方式来得知我的文档文件夹位于定向后的新位置 至此 实验基本完成。