第6章實現(xiàn)組策略.doc

第6章 實現(xiàn)組策略第6章實現(xiàn)組策略本章概述本章節(jié)主要是和大家介紹了實現(xiàn)組策略的知識和技能。通過本章節(jié)的學習，我們可以了解 Microsoft Windows Server 2003 環(huán)境中組策略的用途和功能，以及如何使用和管理組策略對象（GPO，Group Policy Object）。教學目標l 掌握使用本地組策略對象的方法。l 掌握在域上實現(xiàn)組策略對象的方法。l 掌握管理組策略部署的技能。教學重點l 組策略是進行Windows Server 2003管理的最常用的方法，學習好組策略才能真正的發(fā)揮Windows Server 2003的功效，掌握本地組策略和域上組策略非常重要。l 組策略制定好了，最重要的是能部署到每一個需要被管理的機器和用戶上，所以光有一個好的策略是沒用的，掌握好部署的技能也非常重要。教學難點l 組策略的內容對于整個Windows Server 2003的管理來說，是重點也同樣是難點。所以對于本章節(jié)的內容，都需要耐心講解。教學資源課本知識點6.1實現(xiàn)組策略對象6.2在域中實現(xiàn)組策略對象6.3組策略部署管理實驗實現(xiàn)組策略練習 1 創(chuàng)建和鏈接組策略對象練習 2 篩選組策略對象部署練習 3 配置組策略對象強制執(zhí)行練習 4 配置阻止組策略對象習題習題1對應知識點在域中實現(xiàn)組策略對象習題2對應知識點組策略部署管理習題3對應知識點組策略部署管理習題4對應知識點在域中實現(xiàn)組策略對象教學指導手冊包新版幻燈片光盤：Powerpnt 2274_2275_06.ppt習題解答光盤：Tprepanswer多媒體視頻光盤： Powerpnt2274_6_A_IntroGP.htmlPowerpnt2274_6_I_GP.html先修知識在正式開始學習本章內容以前，學生須具備下列知識基礎。先修知識推薦補充了解2000內核類的Windows操作系統(tǒng)的基礎知識Windows 2000初級管理建議學時課堂教學（2課時）+實驗教學（1課時）教學過程6.1實現(xiàn)組策略對象教學提示 ：本節(jié)主要達到以下目的：l 了解組策略的概念，知道什么是組策略。（略講）l 掌握用戶和計算機的配置設置。（略講）l 掌握設置本地計算機策略設置。（精講）教學內容教學方法教學提示講授：Active Directory 目錄服務使用組策略管理網(wǎng)絡中的用戶和計算機。使用組策略時，可以一次性設定用戶的工作環(huán)境狀態(tài)，再由 Windows Server 2003 操作系統(tǒng)沿用管理員設定的組策略設置。組策略設置可以在整個組織范圍內應用，也可以針對特定的用戶和計算機組應用。其實組策略就是一組規(guī)定。比如規(guī)定你不許使用我的文檔的快捷方式等等，這也就好比我們的校規(guī)，類似不許學生抽煙，不許學生酗酒等。它就是一組限制用戶在域里活動的規(guī)范。有了規(guī)范，才可能保證大家資源的合理分配和安全性能的保障：講解課本6.1.1閱書：6.1.1 幻燈：第56頁 組策略參照：http：//user1/261208/archives/2005/16113.html講授：可以通過組策略中的“計算機配置”和“用戶配置”選項為用戶和計算機應用組策略設置。用戶配置用戶配置中的“軟件設置”用戶配置中的“Windows 設置”計算機配置計算機配置中的“軟件設置”計算機配置中的“Windows 設置”用戶和計算機配置中的“安全設置”講解課本：6.1.2閱書：6.1.2幻燈：第7頁 講解本章節(jié)之前老師可以先把相關的配置熟悉好，一邊和學生進行演示，一邊進行講解。演示：說了這么多，大家現(xiàn)在來看一下我是如何進行本地計算機策略設置的。演示課本：6.1.3課堂演示幻燈：第8頁按照書本內容進行演示。演示：現(xiàn)在大家根據(jù)我們前面說過的內容，進行一下練習，在練習之前，大家請先看我演示一次：演示課本：6.1.4課堂演示幻燈：第9頁按照書本內容進行演示。6.2在域中實現(xiàn)組策略對象教學提示 ：本節(jié)主要達到以下目的：l 掌握用于創(chuàng)建組策略對象的工具。（略講）l 掌握域上的組策略對象管理。（略講）l 掌握創(chuàng)建組策略對象的技能。（略講）教學內容教學方法教學提示講授：我們需要通過許多的工具去實現(xiàn)，這里書上我們將會給大家介紹幾種常用的工具：l Active Directory 用戶和計算機l Active Directory 站點和服務l 組策略管理控制臺l “組策略管理”工具與默認組策略工具l 管理模板大家現(xiàn)在一起來看看書上是怎么介紹的。講解課本：6.2.1閱書：6.2.1幻燈：第12頁l “組策略管理”控制臺不隨 Windows Server 2003 一起提供，而必須下載。l 介紹這些工具的時候，可以一邊演示一邊進行介紹。l 只要和學生稍做介紹即可，讓學生能了解有這么一個工具，大致如何使用即可。講授：前面我們講到了如何創(chuàng)建組策略對象，那創(chuàng)建組策略對象后，就要為該對象配置設置。通過把一系列的設置組合到不同的組策略對象中，可以為每一個組策略對象指定不同的配置，使每一個組策略對象只會影響指定的計算機和用戶。當把組策略對象應用到域上時，可以在全域范圍內管理配置設置。這里我們會說到組策略容器，組策略容器是包含組策略對象屬性的 Active Directory 對象，其中包含關于計算機和用戶的組策略信息的子容器。組策略容器包括下列信息：l 版本信息確保所有域控制器的組策略容器中信息是同步的l 狀態(tài)信息指明組策略對象是啟用還是禁用l 擴展列表列出組策略對象中使用的組策略擴展演示課本講解課本： 6.2.2閱書：6.2.2幻燈：第13頁根據(jù)書本內容進行一邊演示一邊講解。演示：現(xiàn)在大家再來看看我是怎么進行創(chuàng)建組策略對象的：演示課本：6.2.3閱書：6.2.3幻燈：第14頁根據(jù)書本內容進行演示。演示：現(xiàn)在大家根據(jù)我們前面說過的內容，進行一下練習，在練習之前，大家請先看我演示一次：演示課本：6.2.4閱書：6.2.4幻燈：第15頁按照書本內容進行演示。講授：當創(chuàng)建一個與站點、域或組織單位鏈接的組策略對象時，實際上是執(zhí)行了兩步獨立的操作：創(chuàng)建新的組策略對象，然后把它鏈接到站點、域或組織單位。當委派域、組織單位或站點的組策略對象鏈接權限時，必須具有對此域、組織單位或站點的“修改”權限。講解課本：6.2.5在組策略對象容器中創(chuàng)建組策略對象后，只有對該組策略對象創(chuàng)建鏈接后才能將其布署給用戶或計算機。其實說了這么多，我給大家稍微做一定的解釋。其實策略定下來了，我們必須明確策略是給誰的，讓誰去執(zhí)行，讓誰受到限制。其實連接做的事情就是把相關的政策和相關的人聯(lián)系起來的這么一個過程。講解課本：6.2.5閱書：6.2.5幻燈：第1618頁演示：現(xiàn)在大家再來看看我是怎么進行創(chuàng)建和鏈接組策略對象，鏈接現(xiàn)有組策略對象及解除組策略對象鏈接的：演示課本：6.2.6閱書：6.2.6幻燈：第19頁講授：組策略對象在 Windows Server 2003 中應用的順序取決于其所鏈接到的 Active Directory 容器。組策略對象首先應用于站點，其次是域，最后才是域中的組織單位。子容器都是從父容器處繼承組策略對象。組策略對象具有疊加性，這就意味著它們可以繼承。組策略的繼承順序就是 Windows Server 2003 應用組策略對象的順序。應用組策略對象和組策略對象繼承的順序將最終決定影響用戶和計算機的設置。如果把多個組策略對象設置成同一個值，默認情況下，最后應用的那個組策略對象優(yōu)先生效。講解課本：6.2.7課堂多媒體聯(lián)系：6.2.7閱書：6.2.7幻燈：第2021頁演示：現(xiàn)在大家根據(jù)我們前面說過的內容，進行一下練習，在練習之前，大家請先看我演示一次：演示課本：6.2.8閱書：6.2.8幻燈：第22頁6.3組策略部署管理教學提示 ：本節(jié)主要達到以下目的：l 理解系統(tǒng)如何處理組策略對象之間的沖突及阻止組策略對象部署的目的。（略講）l 掌握配置組策略的應用。（略講）l 掌握配置組策略篩選。（略講）教學內容教學方法教學提示講授：組策略對象的復雜組合可能會產(chǎn)生沖突，從而導致默認的繼承行為被系統(tǒng)更改。有的時候確實會出現(xiàn)這樣的沖突，生活中有的時候我們就會遇見，比如：爸爸允許你做的事情，媽媽不一定允許。那現(xiàn)在我們來看一下如何解決這樣的沖突：講解課本：6.3.1同樣我們會修改繼承，這里我們會講到禁止替代和阻止繼承。我們來看一下書上是如何講解修改繼承的內容的：講解課本：6.3.1閱書：6.3.1幻燈：第25頁講授：現(xiàn)在我們來看一下如何阻止組策略對象部署。在子容器上啟用“阻止繼承”選項，可以阻止該容器對所有組策略設置的繼承，而不僅僅是選定的組策略設置。當 Active Directory 容器需要唯一的組策略設置，而且管理員又希望確保子容器不會繼承其他組策略設置時，啟用該選項非常有用。例如，當組織單位的管理員必須控制一個容器的所有組策略對象時，就可以選擇“阻止繼承”選項。講解課本： 6.3.2課堂多媒體練習閱書：6.3.2幻燈：第26頁演示：現(xiàn)在我們來看一下阻止組策略對象部署的步驟：演示課本：6.3.3閱書：6.2.3幻燈：第27頁講授：現(xiàn)在我們再來看一下組策略對象鏈接的屬性?？梢詫M策略對象鏈接進行啟用、禁用、應用和分組操作。這里我們會說到“強制”選項，啟用和禁用鏈接，沖突的鏈接?，F(xiàn)在看一下書上是如何講解的。講解課本：6.3.4閱書：6.3.4幻燈：第2829頁演示：現(xiàn)在大家再來看看我是怎么進行創(chuàng)建和鏈接組策略對象，鏈接現(xiàn)有組策略對象及解除組策略對象鏈接的：演示課本：6.3.4l 關于組策略的相關信息，組策略連接的相關信息請參考：http：//china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx演示：現(xiàn)在我們來看一下配置組策略的強制執(zhí)行的步驟：演示課本：6.3.5閱書：6.3.5幻燈：第3031頁講授：默認情況下，影響容器的組策略對象中的所有組策略設置都將應用到容器中所有用戶和計算機上，這我們可能并不希望這樣。通過使用篩選功能，可以確定在特定容器中的用戶和計算機上應用哪些設置。其實這就好象是我們的特權。在我們的警察隊伍里，為了嚴明隊伍，每一個警察必須遵守警隊的各項規(guī)章制度，比如不可以出入娛樂場所等。但臥底作為警察隊伍中的特殊一群，如我們前陣子看的無間道，他們有特殊的任務，必須賦予一些特殊的權限。所以他們雖然身為警察，但不一定會被許多制度所約束。在我們的計算機世界里其實也是一樣的。這里就必須使用篩選的方法，我們看一下書上怎么介紹的：講解課本：6.3.6閱書：6.3.6幻燈：第32頁課堂討論6.3.7閱書：6.3.7幻燈：第33頁演示：現(xiàn)在我們來看一下配置組策略篩選的步驟：演示課本：6.3.8閱書：6.3.8幻燈：第34頁演示：現(xiàn)在大家根據(jù)我們前面說過的內容，進行一下練習，在練習之前，大家請先看我演示一次：演示課本：6.3.9閱書：6.3.9幻燈：第35頁總結經(jīng)過本章的學習，我們了解了下列的知識和內容：l 掌握使用本地組策略對象的方法。l 掌握在域上實現(xiàn)組策略對象的方法。l 掌握管理組策略的部署的技能。在第7章中，我們將學習使用組策略管理用戶環(huán)境的知識，了解如何使用Windows Server 2003進行實現(xiàn)使用組策略管理用戶環(huán)境。隨堂練習1 你是活動目錄域的管理員。網(wǎng)絡中只有一個域，所有域服務器安裝Windows Server 2003系統(tǒng)。所有3500個用戶賬戶保存在默認用戶容器中。所有用戶的部門屬性都已經(jīng)設置好。你現(xiàn)在需要將所有部門屬性設置為Sales的賬戶放在Sales OU中。由于時間緊急，你希望自動完成添加過程。你應當執(zhí)行哪兩個步驟？A. 使用適當?shù)拿顓?shù)運行dsmod命令B. 使用適當?shù)拿顓?shù)運行dsget命令C. 使用適當?shù)拿顓?shù)運行dsquery命令D. 使用適當?shù)拿顓?shù)運行dsmove命令E. 使用適當?shù)拿顓?shù)運行dsrm命令F. 使用適當?shù)拿顓?shù)運行find命令答案：C，D分析：使用Dsmove命令行工具可以重命名和移動活動目錄中的對象。使用Dsquery命令行工具可以使用條件查詢活動目錄中的對象。2 你是活動目錄域的管理員。網(wǎng)絡中只有一個域，所有域服務器安裝Windows Server 2003系統(tǒng)。公司購買了一臺新的服務器用于測試應用程序。公司的安全策略是如果半小時內三次使用錯誤密碼登錄，賬戶將被鎖定。你發(fā)現(xiàn)新的服務器的賬戶在鎖定半小時后又能登錄。你要確保公司的安全策略，應當如何做？A. 設置“復位鎖定計數(shù)”為1B. 設置“復位鎖定計數(shù)”為99999C. 設置“賬戶鎖定時間”為0D. 設置“賬戶鎖定時間”為99999答案：C3 你是活動目錄域的管理員。網(wǎng)絡中只有一個域，所有域服務器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機使用Windows XP Professional。一些用戶使用移動計算機，其余的人使用臺式機。要使得所有用戶在登錄時在域控制器上驗證。你應當如何修改本地安全策略？A. 請求域控制器驗證解除計算機鎖定B. 緩存零個對話式登錄C. 授予Users組“登錄本地”用戶權限答案：B分析：緩存用于在本地保存經(jīng)常使用的數(shù)據(jù)。為了讓所有的用戶都在域控制器上驗證，你要將對話式登錄緩存設置為零。系統(tǒng)緩存保存先前處理的數(shù)據(jù)。使用緩存可以提高處理速度，而不用重復以前的事務操作。但為了安全考慮，你需要清除緩存。不再緩存登錄信息迫使所有用戶每次登錄都要到域控制器上驗證。4 你是活動目錄域的管理員。網(wǎng)絡中只有一個域，所有域服務器安裝Windows Server 2003系統(tǒng)。用戶Tom收到一臺新計算機Client1。他一直能夠正常登錄到域中。第二天他再次登錄時，雖然域名出現(xiàn)在對話框的域下拉框中，卻無法登錄。你在這臺機器上也無法登錄到域中。你查看系統(tǒng)日志發(fā)現(xiàn)錯誤信息：“NETLOGON Event ID 3210： Failed to authenticate with