組策略的創(chuàng)建和管理

1、學習情境一 Windows Server 2003 操作系統(tǒng)安裝與根底管理子情境 組策略的創(chuàng)立和管理本次課標題授課班級授課日期計算機網(wǎng)絡技術 2021級授課地點授課時數(shù)多媒體教室、實訓室年月日第周4組策略的根本概念。知識目標2.熟悉組策略的特點。3.掌握組策略對象的管理。4.掌握組策略應用。1.掌握創(chuàng)立組策略操作能力。2.掌握設置組策略操作能力。教能力目標學目標3.熟練掌握指派、發(fā)布應用程序的根本操作。4.熟練掌握利用組策略配置桌面、文件夾重定向、平安設置等根本操作。1.通過創(chuàng)設情景、問題、典型案例激發(fā)學生的求知欲；素質目標2.通過小組討論培養(yǎng)學生自信心和成就感。通過任務教學，培養(yǎng)學生互助合作

2、的團隊精神；3.養(yǎng)成良好的職業(yè)素養(yǎng)。本工程主要介紹完成組策略的創(chuàng)立與刪除，并能正確鏈接己有的組策略對象，對組策略進行設置，進而完成組策略的應用操作。工程提出工程實現(xiàn)任務: 組策略的創(chuàng)立和管理1任務目標(1)掌握創(chuàng)立組策略操作能力。(2)掌握設置組策略操作能力。(3)熟練掌握指派、發(fā)布應用程序的根本操作。2工程所需設備準備假設干計算機，VMware虛擬機, WIN2003 ISO鏡像文件。3工程實施步驟1)創(chuàng)立組策略每一計算機上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)立本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上或組織單元上同時應用多個組策略。創(chuàng)立組策略如以

3、下圖：2) 鏈接已有的 GPO3)設置組策略4) 刪除 GPO鏈接5)指派應用程序可以將一個軟件通過組策略指派給用戶或者計算機，這樣當用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計算機，而只是安裝了與軟件有關的局部信息，當用戶運行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。 如以下圖：6)發(fā)布應用程序和指派軟件不同，發(fā)布一個軟件時計算機并無該軟件的快捷方式，用戶需要用“控制面板中的“添加或者刪除應用程序來安裝軟件。發(fā)布應用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。 如以下圖：知識點學習情景二 Windows Server 2003操作系

4、統(tǒng)管理根本手段子情境組策略的創(chuàng)立和管理“組策略中的“組和我們在以前介紹的用戶組并沒有什么直接關系，不要把組策略理解為是針對用戶組所配置的策略。組策略是一種在用戶或計算機集合上強制使用一些配置的方法，組策定義了用戶的桌面環(huán)境等多種設置。使用組策略可以給同組的計算機或者用戶強加一套統(tǒng)一的標準，包括菜單啟動項、軟件設置，這樣計算機或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。1. 組策略對象GPO系統(tǒng)已經(jīng)有兩個內(nèi)建 GPO，分別是：Default Domain Policy 此策略已被連接到域，因此該策略將影響域內(nèi)所有計算機和用戶。Default Domain Controller Poli

5、cy此策略已被連接到 Domain Controller OU，因此該策略將影響域控制器組織單元內(nèi)的所有計算機和用戶2組策略配置類型應用組策略時存在兩種配置選項：計算機配置和用戶配置。計算機配置：用于管理控制計算機特定工程的策略。包括桌面外觀、平安設置、操作系統(tǒng)下運行、文件部署、應用程序分配和計算機啟動和關機腳本運行。這些配置應用到特定的計算機上，當該計算機啟動后，自動應用設置的組策略。用戶配置：用于管理控制更多用戶特定工程的管理策略。包括應用程序配置、桌面配置、應用程序分配和計算機啟動和關機腳本運行等。當用戶登錄到計算機時，就會應用用戶配置組策略。3組策略功能類型軟件部署：軟件部署包括“應用

6、程序分配和“應用程序發(fā)行兩局部內(nèi)容。“應用程序分配指把應用軟件提供給桌面，當計算機或用戶根據(jù)組策略安裝后就不能修改或刪除應用程序；“應用程序發(fā)行指將應用軟件提供給用戶或計算機，允許它們選擇安裝。軟件策略：軟件策略是最常用的配置設置。這些選項定義了用戶的工作環(huán)境。例如，用戶的“開始菜單、屏保程序或用戶配置文件的設置，包括操作系統(tǒng)組件和注冊表設置。文件夾管理：文件夾管理允許組策略系統(tǒng)管理員添加文件、文件夾和快捷方式到用戶桌面。例如，可以根據(jù)平安組成員的身份把網(wǎng)絡應用程序提供給用戶。腳本：腳本能夠用于在某些時間自動運行批處理文件的進程，如啟動和關機、登錄和注銷、映射網(wǎng)絡驅動器、映射網(wǎng)絡打印機等。平安

7、：平安策略設置用于定義目錄樹、域、網(wǎng)絡和本地計算機的平安配置。它們能夠用于設置賬戶策略。例如，密碼的使用期、網(wǎng)絡平安策略和賬戶鎖定策略等。組策略計算機配置的啟動時機是：計算機開機時自動啟動；如果用戶不重新開機，系統(tǒng)會每隔一段時間自動啟動；或手工啟動。組策略用戶配置的啟動時間是：用戶登錄時自動啟動；系統(tǒng)即使用戶不注銷、登錄，系統(tǒng)默認每隔 90120鐘自動啟動；手工啟動。組策略的應用順序如下：1本地組策略2域組策略3域控制器策略4組織單元組策略默認情況下，這些策略不一致時，后應用的策略將覆蓋以前的策略。但是，如果這些設置對象不一致，前后的策略都是有效策略。組策略可以繼承，也可以阻止策略繼承。2.3

8、.3 Windows Server 2003組策略的特點組策略管理控制臺GPMC策略結果集Rsop新策略設置跨域林支持用戶數(shù)據(jù)設置和管理的增強組策略通過 Web視圖整合到組策略對象編輯器中軟件限制策略組策略對象的管理每一計算機上的本地策略都是只能有一個，因此只能編輯本地策略而不能創(chuàng)立本地策略，而域上或組織單元級別上可以有多個組策略，我們可以在一個域上或組織單元上同時應用多個組策略 GPO GPO管理控制未配置：表示該設置不會更改注冊表。已啟用：表示該配置應用到該 GPO的用戶和計算機。已禁用：表示注冊表將指示策略不會應用到隸屬于該 GPO的用戶和計算機。 GPO鏈接.9組策略的應用可以將一個軟

9、件通過組策略指派給用戶或者計算機，這樣當用戶登錄時，軟件會被通告給用戶，但是軟件并沒有真正安裝在該計算機，而只是安裝了與軟件有關的局部信息，當用戶運行軟件的快捷方式或者雙擊和該軟件的文檔時，該軟件才會被自動安裝。和指派軟件不同，發(fā)布一個軟件時計算機并無該軟件的快捷方式，用戶需要用“控制面板中的“添加或者刪除應用程序來安裝軟件。發(fā)布應用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。2設置最近翻開文檔記錄不想讓人知道自己瀏覽過哪些網(wǎng)頁和翻開過哪些文件。窗口 .于管理要保計算2 本地策略這里的“本地策略和本地平安策略是不一樣的，本地平安策略是本地組策略的平安設置這局部。這里的“

10、本地策略是組策略中的平安設置的小一局部如圖 1032的“計算機配置“Windows設置 “平安設置，也就是說本地組策略中包括本地平安策略，而本地平安策略包含這里所說的“本地策略。當然域組策略也包含了“本地策略。審核策略決定哪些平安事件記錄到計算機的平安日志中，可以審核成功和失敗事件，例如：審核對象訪問是審核用戶訪問文件、文件夾、打印機的事件用戶權利指派決定哪個用戶或組有登錄或任務特權，例如我們指定哪些用戶可以關閉系統(tǒng)。平安選項用以啟動或禁用計算機的平安設置，例如：Administrator和 Guest的賬戶名、軟驅和光盤的訪問、驅動程序的安裝以及登錄提示等。3事件日志4受限制的組受限制的組是用以控制組的成員，防止有人增加某個組的成員。5系統(tǒng)效勞系統(tǒng)效勞策略項用于為計算機上運行的效勞配置平安設置和啟動設置。6注冊表注冊表策略項用以指定用戶或組訪問注冊表的權限 .7文件系統(tǒng)文件系統(tǒng)允許你在策略級別上設置文件系統(tǒng)對象NTFS目錄和文件的權限。2.3.13 平安模板平安模式實際上是保存有組策略中的平安設置的一