创建和配置策略.pptx

第 6 章 创建和配置组策略章节概述 第 1 节：组策略概述第 2 节：配置组策略对象的范围第 3 节：评估组策略对象的应用第 4 节：管理组策略对象第 5 节：委派组策略的管理控制 实验：创建和配置 GPO第 1 节：组策略概述组策略组策略设置 组策略的应用方式组策略处理的例外情况组策略组件 ADM 和 ADMX 文件中央存储演示：配置组策略对象 组策略组策略使 IT 管理员能实现用户和计算机的一对多管理自动化。使用组策略可以： 应用标准配置 部署软件 强制实施安全设置 强制实施一致的桌面环境本地组策略对本地用户和域用户以及本地计算机设置总是有效。组策略设置针对用户的组策略设置控制这些设置：软件窗口安全桌面软件窗口安全操作系统针对计算机 的组策略设置控制这些设置：组策略的应用方式计算机启动刷新时间间隔每隔 90 分钟 应用计算机设置 启动脚本运行用户登录刷新时间间隔每隔 90 分钟 应用用户设置 登录脚本运行组策略处理的例外情况其他例外：慢速链接 默认每秒 500 kb(kbps) 某些客户端扩展不会被处理在 Windows Vista 之前，ICMP 用于检测慢速链接Windows Vista 使用网络位置感知缓存的凭据Windows XP 和 Windows Vista 使用缓存凭据实现更快的登录很多 GPO 设置需要两次登录才能生效远程访问连接在 AD DS 中移动用户或计算机对象组策略组件组策略容器存储在 AD DS 中提供版本信息组策略对象组策略模板存储在共享 SYSVOL 文件夹中 配置组策略设置支持 ADM 和 ADMX 模板包含组策略设置在两个位置存储内容ADM 和 ADMX 文件ADM 文件：复制到 SYSVOL 中的每个 GPO难以自定义ADMX 文件：与语言无关不存储在 GPO 中可通过 XML 扩展中央存储中央存储：是 ADMX 和 ADML 文件的中心存储库存储在 SYSVOL 中必须手动创建和更新由 Windows Vista 或 Windows Server 2008 自动检测ADMX 文件Windows Vista 或 Windows Server 2008工作站带 SYSVOL 的域控制器带 SYSVOL 的域控制器演示：配置组策略对象在本演示中，你将看到如何：创建 GPO 配置设置第 2 节：配置组策略对象的范围 组策略处理顺序 多重本地组策略对象修改组策略处理的选项演示：配置组策略对象链接 演示：配置组策略继承 演示：使用安全组筛选组策略对象演示：使用 WMI 筛选器筛选组策略对象 环回处理的工作方式讨论：配置组策略处理的范围 组策略处理顺序GPO2GPO3域GPO4OUGPO1本地组站点GPO5OUOU多重本地组策略对象 适用于所有用户的一个计算机配置层 各层只应用于个体用户，而不应用于组 有三层用户配置：管理员非管理员特定于用户修改组策略处理的选项修改 GPO 默认处理的五种方法： 阻止继承强制 使用安全组或 WMI 筛选器进行筛选 禁用 GPO 环回处理在本演示中，你将看到如何：创建 GPO 并将其链接到 AD DS 中不同的位置禁用 GPO 链接演示：配置组策略对象链接 演示：配置组策略继承在本演示中，你将看到如何：阻止 GPO 继承 强制 GPO 继承演示：使用安全组筛选组策略对象 在本演示中，你将看到如何使用安全组筛选 GPO 的应用。演示：使用 WMI 筛选器筛选组策略对象 在本演示中，你将看到如何创建和分配 WMI 筛选器。环回处理的工作方式讨论：配置组策略处理的范围 Head OfficeWinnipegToronto 站点Woodgrove Bank 域树Woodgrove BankHead Office 站点慢速链接Head OfficeBranches高速链接TorontoWinnipegServersSQL ServerExchange Server第 3 节：评估组策略对象的应用组策略报告 组策略建模 演示：评估组策略的应用 组策略报告组策略报告是计划组策略以及排查组策略故障的一种方法。 组策略结果通过 GPMC 提供 GPResult 是命令行实用工具 组策略建模组策略建模向导计算模拟的 GPO 实际效果。组策略建模向导模拟：站点成员身份安全组成员身份WMI 筛选器慢速链接环回处理将用户或计算机对象移至其他 Active Directory 容器的效果演示：评估组策略的应用 在本演示中，你将看到如何运行用于检查组策略应用的每种工具。第 4 节：管理组策略对象GPO 管理任务 Starter GPO演示：复制 GPO 演示：备份和还原 GPO 演示：导入 GPO 迁移组策略对象 GPO 管理任务 GPO 管理任务：备份 GPO还原 GPO复制 G