組策略-高級篇ppt課件

1、組戰(zhàn)略高級篇內(nèi)容組戰(zhàn)略承繼及沖突處置慢速鏈接的組戰(zhàn)略組戰(zhàn)略的其他設(shè)置設(shè)計(jì)和管理組戰(zhàn)略 重、難點(diǎn)重點(diǎn)：組戰(zhàn)略的承繼阻止承繼、制止替代組戰(zhàn)略的權(quán)限挑選難點(diǎn)：組戰(zhàn)略對象的承繼的設(shè)計(jì)組戰(zhàn)略的設(shè)計(jì)義務(wù)一 組戰(zhàn)略承繼和沖突處置1、普通承繼與處置規(guī)那么組戰(zhàn)略的配置具有承繼性:假設(shè)父容器的某個戰(zhàn)略被配置,但其子容器的戰(zhàn)略未被配置,那么子承繼父容器配置值.假設(shè)子容器的某個戰(zhàn)略被配置,那么此配置值會覆蓋由父容器傳送下來的配置值.組戰(zhàn)略的配置具有累加性的： 例如:業(yè)務(wù)部OU內(nèi)建立了GPO,同時在域、站點(diǎn)內(nèi)也有GPO，那么一切配置值累加起來是最后有效值。組戰(zhàn)略沖突的處置當(dāng)Site，Domain，OU之間的組戰(zhàn)略發(fā)生沖

2、突時，以處置順序在后的GPO優(yōu)先，系統(tǒng)處置GPO的優(yōu)先順序是：站點(diǎn)GPO、域GPO、OU的GPO假設(shè)一切的組戰(zhàn)略對象不發(fā)生沖突，同時運(yùn)用。當(dāng)同一對象銜接到多個GPO時，一切GPO配置將被累加起來。假設(shè)戰(zhàn)略的設(shè)置發(fā)生沖突，以排在前面的GPO優(yōu)先。沖突的處置系統(tǒng)先處置“計(jì)算機(jī)配置,再處置 “用戶配置,假設(shè)有沖突,雖然“用戶配置處置順序在后，但是大部分情況下以“計(jì)算機(jī)配置優(yōu)先GPO內(nèi)個戰(zhàn)略未配置與啟用或禁用不會產(chǎn)生 沖突關(guān)系。2、例外的承繼性設(shè)置“阻止承繼設(shè)置“制止替代設(shè)置挑選設(shè)置“阻止戰(zhàn)略承繼阻止戰(zhàn)略承繼：制止從一切的高層承繼GPO無法選擇針對哪些GPO， 全部都制止承繼針對的是某一層次不能阻撓“

3、制止替代設(shè)置“制止替代制止替代：不論能否沖突，或者能否有“阻止承繼，一直生效針對的是詳細(xì)某個組戰(zhàn)略對象，而不是針對某個容器一切的GPO。高的“制止替代會覆蓋低的“制止替代。應(yīng)該設(shè)置在較高層次 挑選組戰(zhàn)略設(shè)置GPO的配置默許是被運(yùn)用到這個容器內(nèi)的一切用戶與計(jì)算機(jī)默許用戶等對象對該容器的GPO具有“讀取與“運(yùn)用組戰(zhàn)略權(quán)限，查看方法：GPO-屬性-平安也可使GPO對容器內(nèi)特定的計(jì)算機(jī)/用戶/組不生效使特定用戶與計(jì)算機(jī)沒有“讀取和“運(yùn)用組戰(zhàn)略的根本權(quán)限，把這些用戶添加到平安，設(shè)為“回絕即可注：只需在組戰(zhàn)略中具有讀取和運(yùn)用權(quán)限的對象才會運(yùn)用組戰(zhàn)略。設(shè)置挑選組戰(zhàn)略3、特殊處置的設(shè)置慢速鏈接的GPO處置環(huán)回

4、處置方式禁用GPO慢速鏈接的GPO處置可以設(shè)置讓域內(nèi)的計(jì)算機(jī)自動探測他們與域控制器之間的鏈接速度能否太慢,假設(shè)太慢,可以設(shè)置不要運(yùn)用位于域控制器內(nèi)的組戰(zhàn)略.如下圖:慢速鏈接的GPO處置定義了即使慢速銜接也要做軟件安裝戰(zhàn)略處置環(huán)回處置方式系統(tǒng)會根據(jù)用戶或計(jì)算機(jī)帳戶在AD內(nèi)的位置,來決議如何將GPO配置值運(yùn)用到用戶或計(jì)算機(jī).實(shí)例:計(jì)算機(jī)帳戶Server1-效力器OU(“效力器GPO組戰(zhàn)略) 用戶帳戶Jackie-業(yè)務(wù)部OU(“業(yè)務(wù)部GPO組戰(zhàn)略)當(dāng)用戶Jackie在Server1登錄域時,用戶環(huán)境由 “業(yè)務(wù)部GPO中的“用戶配置決議,而計(jì)算機(jī)環(huán)境由 “效力器GPO中的“計(jì)算機(jī)配置來決議.但是在“業(yè)

5、務(wù)部GPO中的“用戶配置內(nèi),設(shè)置了位于“業(yè)務(wù)部OU用戶登錄,自動安裝某個運(yùn)用程序,所以用戶在任何一臺計(jì)算機(jī)上登錄系統(tǒng)都將為其安裝運(yùn)用程序.現(xiàn)不想替此用戶在這臺重要效力器Server1內(nèi)安裝,用“環(huán)回處置方式.環(huán)回處置方式假設(shè)在“效力器GPO內(nèi)啟用此方式,那么不論用戶是位于何處,只需用戶是利用“效力器OU的計(jì)算機(jī)登錄,環(huán)境就由“效力器GPO的“用戶配置決議.環(huán)回處置方式“環(huán)回處置方式分為兩種方式：替代方式：直接改由“效力器GPO的“用戶配置來配置環(huán)境。合并方式：先處置“業(yè)務(wù)部GPO的“用戶配置，再處置“效力器GPO的，假設(shè)有沖突，那么“效力器GPO內(nèi)的優(yōu)先。禁用GPO可以將整個GPO禁用也可只禁

6、用GPO內(nèi)的“計(jì)算機(jī)配置或“用戶配置義務(wù)二 組戰(zhàn)略最正確實(shí)際：規(guī)劃(1)盡量不要刪除或者修正兩個默許GPOs禁用GPO中沒有作用的節(jié)點(diǎn)計(jì)算機(jī)設(shè)置或用戶設(shè)置，以加快登錄速度。善用委派機(jī)制，減低系統(tǒng)管理員負(fù)擔(dān)。每個新的GPO應(yīng)先進(jìn)展測試GPO的命名具有描畫性如“工程部門軟件部署戰(zhàn)略運(yùn)用GPMC備份“默許域戰(zhàn)略和“默許域控制器戰(zhàn)略組戰(zhàn)略最正確實(shí)際：規(guī)劃(2)在有AD的情況下，盡量不運(yùn)用本地組戰(zhàn)略限制域上的GPO數(shù)量，由于設(shè)置的GPO越多，登錄所破費(fèi)的時間越長。盡能夠不運(yùn)用影響組戰(zhàn)略默許承繼性的制止替代阻止承繼運(yùn)用GPO時，盡能夠?qū)PO關(guān)聯(lián)到目的對象所在的容器上(比如OU)善用挑選機(jī)制，一方面可以使

7、特定的組不運(yùn)用組戰(zhàn)略，另一方面可以加快這些組成員的登錄速度。組戰(zhàn)略實(shí)際練習(xí)：管理用戶環(huán)境：管理模板戰(zhàn)略賬戶戰(zhàn)略用戶權(quán)限分配戰(zhàn)略平安選項(xiàng)戰(zhàn)略登錄/注銷、啟動/關(guān)機(jī)腳本文件夾重定向組戰(zhàn)略實(shí)際(1)-管理模板戰(zhàn)略當(dāng)用戶端的計(jì)算機(jī)在處置“管理模板戰(zhàn)略時，會將這些戰(zhàn)略配置值存儲到用戶計(jì)算機(jī)的“登錄內(nèi)，但是并不會將此計(jì)算機(jī)的默許的登錄值覆蓋。刪除按Ctrl+Alt+Del組合鍵后所出現(xiàn)的對話框選項(xiàng)：用戶配置-管理模板-系統(tǒng)-Ctrl+Alt+Del選項(xiàng)隱藏在控制面板內(nèi)指定的圖標(biāo)：用戶配置管理模板控制面板雙擊“隱藏指定的控制面板程序，輸入圖標(biāo)的稱號隱藏桌面上一切圖標(biāo)：用戶配置管理模板桌面隱藏和禁用桌面上的一

8、切工程刪除“開場菜單中的“關(guān)機(jī)圖標(biāo)：用戶配置-管理模板-義務(wù)欄和【開場】菜單-雙擊“刪除和阻止訪問關(guān)機(jī)命令阻止訪問命令提示符：用戶配置-管理模板-系統(tǒng)-阻止訪問命令提示符組戰(zhàn)略實(shí)際(2)-賬戶戰(zhàn)略賬戶戰(zhàn)略包含密碼戰(zhàn)略、賬戶鎖定戰(zhàn)略：密碼戰(zhàn)略密碼必需符合密碼復(fù)雜性要求： 至少要6個字符 至少要包含AZ、az、09、非字母數(shù)字如！、￥、#、%等4組字符中的3組。密碼最長運(yùn)用期限：最長運(yùn)用期限可為0999天，登錄時，假設(shè)密碼運(yùn)用期限已到，那么系統(tǒng)會自動要求用戶更改密碼。假設(shè)設(shè)為0，表示沒有運(yùn)用期限，可以不斷運(yùn)用。密碼最短運(yùn)用期限：最短運(yùn)用期限可為0998天，在期限未到前，不得改動密碼，假設(shè)為0，可隨

9、時更改。強(qiáng)迫密碼歷史：可以設(shè)置能否要記錄用戶曾經(jīng)運(yùn)用過的舊密碼，以便用來決議用戶在改動其密碼時，能否可以運(yùn)用舊密碼124 表示要保管密碼歷史數(shù)據(jù)0 表示不保管密碼歷史數(shù)據(jù)密碼長度最小值用戶鎖定戰(zhàn)略賬戶鎖定閥值：可設(shè)置在用戶登錄多次失敗后，將賬戶鎖定。賬戶鎖定時間：設(shè)置要將賬戶鎖定多久的時間，時間過后自動解除鎖定。復(fù)位賬戶鎖定計(jì)數(shù)器：用來記錄用戶登錄失敗的次數(shù)，假設(shè)登錄勝利，那么鎖定計(jì)數(shù)器的值就歸零。組戰(zhàn)略實(shí)際(3)-用戶權(quán)限分配戰(zhàn)略賦予用戶或組運(yùn)轉(zhuǎn)特殊任務(wù)的權(quán)限：計(jì)算機(jī)配置-windows設(shè)置-本地戰(zhàn)略-用戶權(quán)限分配雙擊該權(quán)限單擊“添加用戶和組允許在本地登錄 允許用戶直接在本臺計(jì)算機(jī)上按Ctr

10、l+Alt+Del組合鍵登錄回絕本地登錄 回絕用戶直接在本臺計(jì)算機(jī)上按Ctrl+Alt+Del組合鍵登錄，優(yōu)先上條戰(zhàn)略封鎖系統(tǒng) 允許用戶將此計(jì)算機(jī)關(guān)機(jī)更改系統(tǒng)時間 允許用戶改動計(jì)算機(jī)內(nèi)部的系統(tǒng)日期、時間。組戰(zhàn)略實(shí)際(4)-平安選項(xiàng)戰(zhàn)略計(jì)算機(jī)配置-windows設(shè)置-本地戰(zhàn)略-平安選項(xiàng)：交互式登錄：不需按Ctrl+Alt+Del：在計(jì)算機(jī)啟動時，直接出現(xiàn)“登錄Windows的對話框。交互式登錄：不顯示上次的用戶名：每次用戶按Ctrl+Alt+Del后所出現(xiàn)的“登錄Windows對話框中顯示的用戶名不顯示。交互式登錄：在密碼到期前提示用戶更改密碼：用來設(shè)置在用戶的密碼過期前幾天，提示用戶必需更改密

11、碼。交互式登錄：用戶試圖登錄音訊文字、標(biāo)題：每次當(dāng)計(jì)算機(jī)啟動時，按Ctrl+Alt+Del后，顯示一些用戶希望看到的一些音訊，一個顯示對話框的標(biāo)題，另外一個顯示內(nèi)容。組戰(zhàn)略實(shí)際(5)-腳本可以設(shè)置讓域用戶在登錄時，系統(tǒng)就自動運(yùn)轉(zhuǎn)“登錄腳本；開機(jī)啟動時，自動運(yùn)轉(zhuǎn)“啟動腳本等實(shí)例：利用文件名為logon.vbs的文件 wscript.echo “Welcome,this is a LOGON script test文件名為logoff.vbs的文件 wscript.echo “Goodbye,this is a LOGOFF script test用戶配置Windows設(shè)置腳本登錄/注銷-雙擊右邊的“登錄，把腳本文件復(fù)制到此處添加到組戰(zhàn)略最正確實(shí)際(6)-文件夾重定向 可以利用組戰(zhàn)略來將某些特殊文件夾的存儲位置，重定向轉(zhuǎn)向到網(wǎng)絡(luò)上的其他位置，這些特殊的文件夾包含：Application data :此文件夾包含用戶在運(yùn)用程序內(nèi)的專屬數(shù)據(jù)，例如個人設(shè)定數(shù)據(jù)。桌面