第6章實(shí)現(xiàn)組策略.doc

第6章 實(shí)現(xiàn)組策略第6章實(shí)現(xiàn)組策略本章概述本章節(jié)主要是和大家介紹了實(shí)現(xiàn)組策略的知識(shí)和技能。通過(guò)本章節(jié)的學(xué)習(xí)，我們可以了解 Microsoft Windows Server 2003 環(huán)境中組策略的用途和功能，以及如何使用和管理組策略對(duì)象（GPO，Group Policy Object）。教學(xué)目標(biāo)l 掌握使用本地組策略對(duì)象的方法。l 掌握在域上實(shí)現(xiàn)組策略對(duì)象的方法。l 掌握管理組策略部署的技能。教學(xué)重點(diǎn)l 組策略是進(jìn)行Windows Server 2003管理的最常用的方法，學(xué)習(xí)好組策略才能真正的發(fā)揮Windows Server 2003的功效，掌握本地組策略和域上組策略非常重要。l 組策略制定好了，最重要的是能部署到每一個(gè)需要被管理的機(jī)器和用戶(hù)上，所以光有一個(gè)好的策略是沒(méi)用的，掌握好部署的技能也非常重要。教學(xué)難點(diǎn)l 組策略的內(nèi)容對(duì)于整個(gè)Windows Server 2003的管理來(lái)說(shuō)，是重點(diǎn)也同樣是難點(diǎn)。所以對(duì)于本章節(jié)的內(nèi)容，都需要耐心講解。教學(xué)資源課本知識(shí)點(diǎn)6.1實(shí)現(xiàn)組策略對(duì)象6.2在域中實(shí)現(xiàn)組策略對(duì)象6.3組策略部署管理實(shí)驗(yàn)實(shí)現(xiàn)組策略練習(xí) 1 創(chuàng)建和鏈接組策略對(duì)象練習(xí) 2 篩選組策略對(duì)象部署練習(xí) 3 配置組策略對(duì)象強(qiáng)制執(zhí)行練習(xí) 4 配置阻止組策略對(duì)象習(xí)題習(xí)題1對(duì)應(yīng)知識(shí)點(diǎn)在域中實(shí)現(xiàn)組策略對(duì)象習(xí)題2對(duì)應(yīng)知識(shí)點(diǎn)組策略部署管理習(xí)題3對(duì)應(yīng)知識(shí)點(diǎn)組策略部署管理習(xí)題4對(duì)應(yīng)知識(shí)點(diǎn)在域中實(shí)現(xiàn)組策略對(duì)象教學(xué)指導(dǎo)手冊(cè)包新版幻燈片光盤(pán)：Powerpnt 2274_2275_06.ppt習(xí)題解答光盤(pán)：Tprepanswer多媒體視頻光盤(pán)： Powerpnt2274_6_A_IntroGP.htmlPowerpnt2274_6_I_GP.html先修知識(shí)在正式開(kāi)始學(xué)習(xí)本章內(nèi)容以前，學(xué)生須具備下列知識(shí)基礎(chǔ)。先修知識(shí)推薦補(bǔ)充了解2000內(nèi)核類(lèi)的Windows操作系統(tǒng)的基礎(chǔ)知識(shí)Windows 2000初級(jí)管理建議學(xué)時(shí)課堂教學(xué)（2課時(shí)）+實(shí)驗(yàn)教學(xué)（1課時(shí)）教學(xué)過(guò)程6.1實(shí)現(xiàn)組策略對(duì)象教學(xué)提示 ：本節(jié)主要達(dá)到以下目的：l 了解組策略的概念，知道什么是組策略。（略講）l 掌握用戶(hù)和計(jì)算機(jī)的配置設(shè)置。（略講）l 掌握設(shè)置本地計(jì)算機(jī)策略設(shè)置。（精講）教學(xué)內(nèi)容教學(xué)方法教學(xué)提示講授：Active Directory 目錄服務(wù)使用組策略管理網(wǎng)絡(luò)中的用戶(hù)和計(jì)算機(jī)。使用組策略時(shí)，可以一次性設(shè)定用戶(hù)的工作環(huán)境狀態(tài)，再由 Windows Server 2003 操作系統(tǒng)沿用管理員設(shè)定的組策略設(shè)置。組策略設(shè)置可以在整個(gè)組織范圍內(nèi)應(yīng)用，也可以針對(duì)特定的用戶(hù)和計(jì)算機(jī)組應(yīng)用。其實(shí)組策略就是一組規(guī)定。比如規(guī)定你不許使用我的文檔的快捷方式等等，這也就好比我們的校規(guī)，類(lèi)似不許學(xué)生抽煙，不許學(xué)生酗酒等。它就是一組限制用戶(hù)在域里活動(dòng)的規(guī)范。有了規(guī)范，才可能保證大家資源的合理分配和安全性能的保障：講解課本6.1.1閱書(shū)：6.1.1 幻燈：第56頁(yè) 組策略參照：http：//user1/261208/archives/2005/16113.html講授：可以通過(guò)組策略中的“計(jì)算機(jī)配置”和“用戶(hù)配置”選項(xiàng)為用戶(hù)和計(jì)算機(jī)應(yīng)用組策略設(shè)置。用戶(hù)配置用戶(hù)配置中的“軟件設(shè)置”用戶(hù)配置中的“Windows 設(shè)置”計(jì)算機(jī)配置計(jì)算機(jī)配置中的“軟件設(shè)置”計(jì)算機(jī)配置中的“Windows 設(shè)置”用戶(hù)和計(jì)算機(jī)配置中的“安全設(shè)置”講解課本：6.1.2閱書(shū)：6.1.2幻燈：第7頁(yè) 講解本章節(jié)之前老師可以先把相關(guān)的配置熟悉好，一邊和學(xué)生進(jìn)行演示，一邊進(jìn)行講解。演示：說(shuō)了這么多，大家現(xiàn)在來(lái)看一下我是如何進(jìn)行本地計(jì)算機(jī)策略設(shè)置的。演示課本：6.1.3課堂演示幻燈：第8頁(yè)按照書(shū)本內(nèi)容進(jìn)行演示。演示：現(xiàn)在大家根據(jù)我們前面說(shuō)過(guò)的內(nèi)容，進(jìn)行一下練習(xí)，在練習(xí)之前，大家請(qǐng)先看我演示一次：演示課本：6.1.4課堂演示幻燈：第9頁(yè)按照書(shū)本內(nèi)容進(jìn)行演示。6.2在域中實(shí)現(xiàn)組策略對(duì)象教學(xué)提示 ：本節(jié)主要達(dá)到以下目的：l 掌握用于創(chuàng)建組策略對(duì)象的工具。（略講）l 掌握域上的組策略對(duì)象管理。（略講）l 掌握創(chuàng)建組策略對(duì)象的技能。（略講）教學(xué)內(nèi)容教學(xué)方法教學(xué)提示講授：我們需要通過(guò)許多的工具去實(shí)現(xiàn)，這里書(shū)上我們將會(huì)給大家介紹幾種常用的工具：l Active Directory 用戶(hù)和計(jì)算機(jī)l Active Directory 站點(diǎn)和服務(wù)l 組策略管理控制臺(tái)l “組策略管理”工具與默認(rèn)組策略工具l 管理模板大家現(xiàn)在一起來(lái)看看書(shū)上是怎么介紹的。講解課本：6.2.1閱書(shū)：6.2.1幻燈：第12頁(yè)l “組策略管理”控制臺(tái)不隨 Windows Server 2003 一起提供，而必須下載。l 介紹這些工具的時(shí)候，可以一邊演示一邊進(jìn)行介紹。l 只要和學(xué)生稍做介紹即可，讓學(xué)生能了解有這么一個(gè)工具，大致如何使用即可。講授：前面我們講到了如何創(chuàng)建組策略對(duì)象，那創(chuàng)建組策略對(duì)象后，就要為該對(duì)象配置設(shè)置。通過(guò)把一系列的設(shè)置組合到不同的組策略對(duì)象中，可以為每一個(gè)組策略對(duì)象指定不同的配置，使每一個(gè)組策略對(duì)象只會(huì)影響指定的計(jì)算機(jī)和用戶(hù)。當(dāng)把組策略對(duì)象應(yīng)用到域上時(shí)，可以在全域范圍內(nèi)管理配置設(shè)置。這里我們會(huì)說(shuō)到組策略容器，組策略容器是包含組策略對(duì)象屬性的 Active Directory 對(duì)象，其中包含關(guān)于計(jì)算機(jī)和用戶(hù)的組策略信息的子容器。組策略容器包括下列信息：l 版本信息確保所有域控制器的組策略容器中信息是同步的l 狀態(tài)信息指明組策略對(duì)象是啟用還是禁用l 擴(kuò)展列表列出組策略對(duì)象中使用的組策略擴(kuò)展演示課本講解課本： 6.2.2閱書(shū)：6.2.2幻燈：第13頁(yè)根據(jù)書(shū)本內(nèi)容進(jìn)行一邊演示一邊講解。演示：現(xiàn)在大家再來(lái)看看我是怎么進(jìn)行創(chuàng)建組策略對(duì)象的：演示課本：6.2.3閱書(shū)：6.2.3幻燈：第14頁(yè)根據(jù)書(shū)本內(nèi)容進(jìn)行演示。演示：現(xiàn)在大家根據(jù)我們前面說(shuō)過(guò)的內(nèi)容，進(jìn)行一下練習(xí)，在練習(xí)之前，大家請(qǐng)先看我演示一次：演示課本：6.2.4閱書(shū)：6.2.4幻燈：第15頁(yè)按照書(shū)本內(nèi)容進(jìn)行演示。講授：當(dāng)創(chuàng)建一個(gè)與站點(diǎn)、域或組織單位鏈接的組策略對(duì)象時(shí)，實(shí)際上是執(zhí)行了兩步獨(dú)立的操作：創(chuàng)建新的組策略對(duì)象，然后把它鏈接到站點(diǎn)、域或組織單位。當(dāng)委派域、組織單位或站點(diǎn)的組策略對(duì)象鏈接權(quán)限時(shí)，必須具有對(duì)此域、組織單位或站點(diǎn)的“修改”權(quán)限。講解課本：6.2.5在組策略對(duì)象容器中創(chuàng)建組策略對(duì)象后，只有對(duì)該組策略對(duì)象創(chuàng)建鏈接后才能將其布署給用戶(hù)或計(jì)算機(jī)。其實(shí)說(shuō)了這么多，我給大家稍微做一定的解釋。其實(shí)策略定下來(lái)了，我們必須明確策略是給誰(shuí)的，讓誰(shuí)去執(zhí)行，讓誰(shuí)受到限制。其實(shí)連接做的事情就是把相關(guān)的政策和相關(guān)的人聯(lián)系起來(lái)的這么一個(gè)過(guò)程。講解課本：6.2.5閱書(shū)：6.2.5幻燈：第1618頁(yè)演示：現(xiàn)在大家再來(lái)看看我是怎么進(jìn)行創(chuàng)建和鏈接組策略對(duì)象，鏈接現(xiàn)有組策略對(duì)象及解除組策略對(duì)象鏈接的：演示課本：6.2.6閱書(shū)：6.2.6幻燈：第19頁(yè)講授：組策略對(duì)象在 Windows Server 2003 中應(yīng)用的順序取決于其所鏈接到的 Active Directory 容器。組策略對(duì)象首先應(yīng)用于站點(diǎn)，其次是域，最后才是域中的組織單位。子容器都是從父容器處繼承組策略對(duì)象。組策略對(duì)象具有疊加性，這就意味著它們可以繼承。組策略的繼承順序就是 Windows Server 2003 應(yīng)用組策略對(duì)象的順序。應(yīng)用組策略對(duì)象和組策略對(duì)象繼承的順序?qū)⒆罱K決定影響用戶(hù)和計(jì)算機(jī)的設(shè)置。如果把多個(gè)組策略對(duì)象設(shè)置成同一個(gè)值，默認(rèn)情況下，最后應(yīng)用的那個(gè)組策略對(duì)象優(yōu)先生效。講解課本：6.2.7課堂多媒體聯(lián)系：6.2.7閱書(shū)：6.2.7幻燈：第2021頁(yè)演示：現(xiàn)在大家根據(jù)我們前面說(shuō)過(guò)的內(nèi)容，進(jìn)行一下練習(xí)，在練習(xí)之前，大家請(qǐng)先看我演示一次：演示課本：6.2.8閱書(shū)：6.2.8幻燈：第22頁(yè)6.3組策略部署管理教學(xué)提示 ：本節(jié)主要達(dá)到以下目的：l 理解系統(tǒng)如何處理組策略對(duì)象之間的沖突及阻止組策略對(duì)象部署的目的。（略講）l 掌握配置組策略的應(yīng)用。（略講）l 掌握配置組策略篩選。（略講）教學(xué)內(nèi)容教學(xué)方法教學(xué)提示講授：組策略對(duì)象的復(fù)雜組合可能會(huì)產(chǎn)生沖突，從而導(dǎo)致默認(rèn)的繼承行為被系統(tǒng)更改。有的時(shí)候確實(shí)會(huì)出現(xiàn)這樣的沖突，生活中有的時(shí)候我們就會(huì)遇見(jiàn)，比如：爸爸允許你做的事情，媽媽不一定允許。那現(xiàn)在我們來(lái)看一下如何解決這樣的沖突：講解課本：6.3.1同樣我們會(huì)修改繼承，這里我們會(huì)講到禁止替代和阻止繼承。我們來(lái)看一下書(shū)上是如何講解修改繼承的內(nèi)容的：講解課本：6.3.1閱書(shū)：6.3.1幻燈：第25頁(yè)講授：現(xiàn)在我們來(lái)看一下如何阻止組策略對(duì)象部署。在子容器上啟用“阻止繼承”選項(xiàng)，可以阻止該容器對(duì)所有組策略設(shè)置的繼承，而不僅僅是選定的組策略設(shè)置。當(dāng) Active Directory 容器需要唯一的組策略設(shè)置，而且管理員又希望確保子容器不會(huì)繼承其他組策略設(shè)置時(shí)，啟用該選項(xiàng)非常有用。例如，當(dāng)組織單位的管理員必須控制一個(gè)容器的所有組策略對(duì)象時(shí)，就可以選擇“阻止繼承”選項(xiàng)。講解課本： 6.3.2課堂多媒體練習(xí)閱書(shū)：6.3.2幻燈：第26頁(yè)演示：現(xiàn)在我們來(lái)看一下阻止組策略對(duì)象部署的步驟：演示課本：6.3.3閱書(shū)：6.2.3幻燈：第27頁(yè)講授：現(xiàn)在我們?cè)賮?lái)看一下組策略對(duì)象鏈接的屬性。可以對(duì)組策略對(duì)象鏈接進(jìn)行啟用、禁用、應(yīng)用和分組操作。這里我們會(huì)說(shuō)到“強(qiáng)制”選項(xiàng)，啟用和禁用鏈接，沖突的鏈接?，F(xiàn)在看一下書(shū)上是如何講解的。講解課本：6.3.4閱書(shū)：6.3.4幻燈：第2829頁(yè)演示：現(xiàn)在大家再來(lái)看看我是怎么進(jìn)行創(chuàng)建和鏈接組策略對(duì)象，鏈接現(xiàn)有組策略對(duì)象及解除組策略對(duì)象鏈接的：演示課本：6.3.4l 關(guān)于組策略的相關(guān)信息，組策略連接的相關(guān)信息請(qǐng)參考：http：//china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx演示：現(xiàn)在我們來(lái)看一下配置組策略的強(qiáng)制執(zhí)行的步驟：演示課本：6.3.5閱書(shū)：6.3.5幻燈：第3031頁(yè)講授：默認(rèn)情況下，影響容器的組策略對(duì)象中的所有組策略設(shè)置都將應(yīng)用到容器中所有用戶(hù)和計(jì)算機(jī)上，這我們可能并不希望這樣。通過(guò)使用篩選功能，可以確定在特定容器中的用戶(hù)和計(jì)算機(jī)上應(yīng)用哪些設(shè)置。其實(shí)這就好象是我們的特權(quán)。在我們的警察隊(duì)伍里，為了嚴(yán)明隊(duì)伍，每一個(gè)警察必須遵守警隊(duì)的各項(xiàng)規(guī)章制度，比如不可以出入娛樂(lè)場(chǎng)所等。但臥底作為警察隊(duì)伍中的特殊一群，如我們前陣子看的無(wú)間道，他們有特殊的任務(wù)，必須賦予一些特殊的權(quán)限。所以他們雖然身為警察，但不一定會(huì)被許多制度所約束。在我們的計(jì)算機(jī)世界里其實(shí)也是一樣的。這里就必須使用篩選的方法，我們看一下書(shū)上怎么介紹的：講解課本：6.3.6閱書(shū)：6.3.6幻燈：第32頁(yè)課堂討論6.3.7閱書(shū)：6.3.7幻燈：第33頁(yè)演示：現(xiàn)在我們來(lái)看一下配置組策略篩選的步驟：演示課本：6.3.8閱書(shū)：6.3.8幻燈：第34頁(yè)演示：現(xiàn)在大家根據(jù)我們前面說(shuō)過(guò)的內(nèi)容，進(jìn)行一下練習(xí)，在練習(xí)之前，大家請(qǐng)先看我演示一次：演示課本：6.3.9閱書(shū)：6.3.9幻燈：第35頁(yè)總結(jié)經(jīng)過(guò)本章的學(xué)習(xí)，我們了解了下列的知識(shí)和內(nèi)容：l 掌握使用本地組策略對(duì)象的方法。l 掌握在域上實(shí)現(xiàn)組策略對(duì)象的方法。l 掌握管理組策略的部署的技能。在第7章中，我們將學(xué)習(xí)使用組策略管理用戶(hù)環(huán)境的知識(shí)，了解如何使用Windows Server 2003進(jìn)行實(shí)現(xiàn)使用組策略管理用戶(hù)環(huán)境。隨堂練習(xí)1 你是活動(dòng)目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有域服務(wù)器安裝Windows Server 2003系統(tǒng)。所有3500個(gè)用戶(hù)賬戶(hù)保存在默認(rèn)用戶(hù)容器中。所有用戶(hù)的部門(mén)屬性都已經(jīng)設(shè)置好。你現(xiàn)在需要將所有部門(mén)屬性設(shè)置為Sales的賬戶(hù)放在Sales OU中。由于時(shí)間緊急，你希望自動(dòng)完成添加過(guò)程。你應(yīng)當(dāng)執(zhí)行哪兩個(gè)步驟？A. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行dsmod命令B. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行dsget命令C. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行dsquery命令D. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行dsmove命令E. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行dsrm命令F. 使用適當(dāng)?shù)拿顓?shù)運(yùn)行find命令答案：C，D分析：使用Dsmove命令行工具可以重命名和移動(dòng)活動(dòng)目錄中的對(duì)象。使用Dsquery命令行工具可以使用條件查詢(xún)活動(dòng)目錄中的對(duì)象。2 你是活動(dòng)目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有域服務(wù)器安裝Windows Server 2003系統(tǒng)。公司購(gòu)買(mǎi)了一臺(tái)新的服務(wù)器用于測(cè)試應(yīng)用程序。公司的安全策略是如果半小時(shí)內(nèi)三次使用錯(cuò)誤密碼登錄，賬戶(hù)將被鎖定。你發(fā)現(xiàn)新的服務(wù)器的賬戶(hù)在鎖定半小時(shí)后又能登錄。你要確保公司的安全策略，應(yīng)當(dāng)如何做？A. 設(shè)置“復(fù)位鎖定計(jì)數(shù)”為1B. 設(shè)置“復(fù)位鎖定計(jì)數(shù)”為99999C. 設(shè)置“賬戶(hù)鎖定時(shí)間”為0D. 設(shè)置“賬戶(hù)鎖定時(shí)間”為99999答案：C3 你是活動(dòng)目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有域服務(wù)器安裝Windows Server 2003系統(tǒng)。所有的客戶(hù)計(jì)算機(jī)使用Windows XP Professional。一些用戶(hù)使用移動(dòng)計(jì)算機(jī)，其余的人使用臺(tái)式機(jī)。要使得所有用戶(hù)在登錄時(shí)在域控制器上驗(yàn)證。你應(yīng)當(dāng)如何修改本地安全策略？A. 請(qǐng)求域控制器驗(yàn)證解除計(jì)算機(jī)鎖定B. 緩存零個(gè)對(duì)話(huà)式登錄C. 授予Users組“登錄本地”用戶(hù)權(quán)限答案：B分析：緩存用于在本地保存經(jīng)常使用的數(shù)據(jù)。為了讓所有的用戶(hù)都在域控制器上驗(yàn)證，你要將對(duì)話(huà)式登錄緩存設(shè)置為零。系統(tǒng)緩存保存先前處理的數(shù)據(jù)。使用緩存可以提高處理速度，而不用重復(fù)以前的事務(wù)操作。但為了安全考慮，你需要清除緩存。不再緩存登錄信息迫使所有用戶(hù)每次登錄都要到域控制器上驗(yàn)證。4 你是活動(dòng)目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有域服務(wù)器安裝Windows Server 2003系統(tǒng)。用戶(hù)Tom收到一臺(tái)新計(jì)算機(jī)Client1。他一直能夠正常登錄到域中。第二天他再次登錄時(shí)，雖然域名出現(xiàn)在對(duì)話(huà)框的域下拉框中，卻無(wú)法登錄。你在這臺(tái)機(jī)器上也無(wú)法登錄到域中。你查看系統(tǒng)日志發(fā)現(xiàn)錯(cuò)誤信息：“NETLOGON Event ID 3210： Failed to authenticate with