[工程科技]windows高级应用AD_04_组策略.pptVIP

组策略 上节回顾 域组的分类 信任关系的种类 将资源发布到活动目录中 跨域访问资源 本章目标 理解GPO的概念 掌握组策略管理器的使用 理解GPO的应用规则 利用组策略完成用户环境的管理 组策略的委派管理 介绍组策略 通过使用组策略，可以: 设置整个组织的集中化策略或分散式策略 确保用户有适合他们工作的环境 降低控制用户和计算机环境的总费用 推行公司策略 应用组策略的前提条件 组策略只能管理AD中的计算机和用户 只能在域控制器上设置组策略 只能针对整个站点、域或组织单位来设置组策略 要使用组策略，必须有相应的管理权限 组策略只适用于Windows 2000以上操作系统的计算机 组策略结构 组策略的设置数据皆保存在GPO中 GPO链接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的计算机和用户 GPO与SDOU间的链接关系 组策略的对象 查看GPC、GPT、LCP GPC-group policy container AD计算机用户和计算机-高级-选择域-展开System容器-policies，将会看到包含用GUID所标识两个默认GPO的文件夹(default domain policy and domain controller policy) GPT-group policy templates 存放于当前DC的%systemroot%\SYSVOL\sysvol\域名称\policies文件夹内，同样是以GUID所标识两个默认GPO的文件夹(default domain policy and domain controller policy) LCP-local computer policy 本地计算机策略，存放于本地计算机的%systemroot%\system32\grouppolicy文件内 新建GPO 组策略的添加和删除 编辑GPO 组策略的继承 课堂讨论：如何应用组策略 : 课堂讨论：如何应用组策略(2) 课堂讨论：改变组策略的继承性 课堂讨论：改变组策略的继承性(2) 计算机配置 用户配置 管理用户桌面环境 利用GPO实现安全设置 管理模板 定义系统中所有涉及到注册数据的设置 计算机配置 用户配置 文件夹重定向 组策略的应用时机 组策略的委派管理 链接GPO到站点、域或OU的委派 添加GPO的委派 编辑GPO的委派 链接GPO到站点、域或OU的委派 系统默认Domain Admins或Enterprise Admins组内的用户可以将GPO链接到站点、域或OU 一般用户如果拥有对站点、域或OU的gPLink与gPOptions这两个属性的读取与写入权限，就可以将GPO链接到站点、域或OU 可以通过“委派控制”的方式来赋予一般用户gPLink与gPOptions这两个属性的读取与写入权限 添加GPO的委派 只要用户是属于Domain Admins、Enterprise Admins、Group Policy Creator Owners组的用户，他就拥有添加GPO的权限 Group Policy Creator Owners组内的一般用户，在添加GPO后，就是这个GPO的拥有者，对这个GPO拥有完全控制的权限，可以编辑这个GPO的内容，但无权限编辑其他的GPO Group Policy Creator Owners组内的用户，虽然可以添加GPO，但无权限将GPO链接到站点、域或OU，除非他们被委派权限 编辑GPO的委派 只要用户是属于Domain Admins或Enterprise Admins、GPO的拥有者、被赋予修改GPO权限，就可以编辑GPO的内容。 控制组策略的处理 同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步 在选定的时间间隔内刷新组策略 在运行 Windows2003 Sever 但没有配置成域控制器的计算机和运行Windows XP的计算机上每90~120分钟刷新一次 域控制器每5分钟刷新一次 不论策略配置值是否有变化，系统仍然会每隔16小时自动启用一次 手动强制刷新组策略 gpupdate /force 未发生变更的组策略设置的处理 你可以配置每一个客户端的扩展来处理所有可用的组策略设置 解决组策略间的冲突 应用组策略的结果是那些除了发生冲突以外设置的应用 组策略的配置具有累加性 如果发生冲突，默认的状态下，实施最后的设置 来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用 当站点、域、OU的GPO策略发生冲突时，则以处理顺序在后的GPO优先。处理优先顺序为：站点的GPO、域的GPO、