第4章利用組策略管理用戶(hù)工作環(huán)境

第四章利用組戰(zhàn)略管理用戶(hù)任務(wù)環(huán)境概述引見(jiàn)組戰(zhàn)略組戰(zhàn)略構(gòu)造處置組戰(zhàn)略對(duì)象組戰(zhàn)略設(shè)置是如何運(yùn)用在活動(dòng)目錄修正組戰(zhàn)略的承繼性組戰(zhàn)略的委派管理控制監(jiān)控和處理組戰(zhàn)略沖突最正確方案引見(jiàn)組戰(zhàn)略組戰(zhàn)略是Win2021操作系統(tǒng)提供的一種重要的配置管理技術(shù)，用來(lái)批量控制計(jì)算機(jī)和用戶(hù)的環(huán)境，包括控制運(yùn)用程序、系統(tǒng)設(shè)置和管理模板的一種機(jī)制。在A(yíng)D域環(huán)境中，經(jīng)過(guò)組戰(zhàn)略可以對(duì)計(jì)算機(jī)和用戶(hù)組進(jìn)展高效集中化的管理。組戰(zhàn)略是AD域環(huán)境最有吸引力的根底架構(gòu)運(yùn)用之一，正確高效組戰(zhàn)略運(yùn)用可以最大化提高任務(wù)效率，節(jié)約大量時(shí)間和精神。但假設(shè)部署了不正確的組戰(zhàn)略，排錯(cuò)過(guò)程往往會(huì)使人抓狂。經(jīng)過(guò)運(yùn)用組戰(zhàn)略,可以:1.設(shè)置集中的和分散的管理2.確保用戶(hù)有適宜完成他們?nèi)蝿?wù)的環(huán)境3.降低控制用戶(hù)和計(jì)算機(jī)環(huán)境的總費(fèi)用,因此要減少用戶(hù)需求的技術(shù)支持的級(jí)別和由于用戶(hù)的錯(cuò)誤操作帶來(lái)的損失4.推行公司戰(zhàn)略,包括商業(yè)準(zhǔn)那么,目的和嚴(yán)密需求SiteDomainOUWindows2021AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy組戰(zhàn)略構(gòu)造組戰(zhàn)略設(shè)置的類(lèi)型組戰(zhàn)略的目的針對(duì)計(jì)算機(jī)和用戶(hù)的組戰(zhàn)略設(shè)置組戰(zhàn)略目的和活動(dòng)目錄容器組戰(zhàn)略設(shè)置的類(lèi)型TypesofGroupPolicySettingsAdministrativeTemplates基于注冊(cè)的設(shè)定運(yùn)用設(shè)置和桌面環(huán)境的設(shè)置Security配置本地的計(jì)算機(jī)、域以及網(wǎng)絡(luò)平安性設(shè)置的設(shè)置SoftwareInstallation軟件安裝、晉級(jí)、卸載的集中化管理的設(shè)置Scripts運(yùn)轉(zhuǎn)特定的命令時(shí)的設(shè)置值，如關(guān)機(jī)、退出登錄InternetExplorerMaintenance管理和定制計(jì)算機(jī)的IE設(shè)置FolderRedirection在網(wǎng)絡(luò)效力器上存儲(chǔ)用戶(hù)個(gè)性化文件夾的設(shè)置(重定向)組戰(zhàn)略對(duì)象和活動(dòng)目錄容器GPO的設(shè)置將對(duì)站點(diǎn)、域或組織單位的用戶(hù)和計(jì)算機(jī)產(chǎn)生影響1.管理員可將GPO和多個(gè)站點(diǎn)、域以及組織單位銜接2.也可將多個(gè)GPO和單個(gè)站點(diǎn)、域以及組織單位銜接管理員不能將GPO和默許的活動(dòng)目錄容器－計(jì)算機(jī)、用戶(hù)和Binltin相連，由于他們不是OUSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO計(jì)算機(jī)和用戶(hù)的組戰(zhàn)略設(shè)置計(jì)算機(jī)的組戰(zhàn)略設(shè)置1.指的是操作系統(tǒng)行為、桌面行為、平安性設(shè)置等等…2.計(jì)算機(jī)相關(guān)的組戰(zhàn)略運(yùn)用在操作系統(tǒng)初始化和周期性更新循環(huán)過(guò)程中。3.通常計(jì)算機(jī)組戰(zhàn)略在和用戶(hù)組戰(zhàn)略沖突時(shí)有優(yōu)先權(quán)。用戶(hù)的組戰(zhàn)略設(shè)置1.用戶(hù)的組戰(zhàn)略設(shè)置指定特定的操作系統(tǒng)行為….2.用戶(hù)相關(guān)的組戰(zhàn)略運(yùn)用在用戶(hù)登錄計(jì)算機(jī)和周期性更新循環(huán)過(guò)程中。UsersComputers組戰(zhàn)略對(duì)象包含組戰(zhàn)略設(shè)置存儲(chǔ)于兩個(gè)不同位置組管理對(duì)象〔GPO〕存儲(chǔ)在域控的sysvol共享中存儲(chǔ)組戰(zhàn)略設(shè)置的地方：包括：管理模板、腳本、軟件安裝、文件夾重定向等設(shè)置組戰(zhàn)略模板〔GPT〕存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)庫(kù)提供版本信息、形狀信息和相關(guān)屬性信息組戰(zhàn)略容器〔GPC〕處置組戰(zhàn)略對(duì)象創(chuàng)建已銜接的組戰(zhàn)略目的創(chuàng)建未銜接的組戰(zhàn)略目的銜接－已存在的組戰(zhàn)略目的創(chuàng)建已銜接的組戰(zhàn)略目的創(chuàng)建未銜接的組戰(zhàn)略目的銜接－已存在的組戰(zhàn)略目的組戰(zhàn)略設(shè)置與首選項(xiàng)設(shè)置組戰(zhàn)略首選項(xiàng)的特點(diǎn)：只需域內(nèi)的組戰(zhàn)略可以設(shè)置首選項(xiàng)首選項(xiàng)設(shè)置非強(qiáng)迫，用戶(hù)可以更改首選項(xiàng)可以針對(duì)單一設(shè)置工程進(jìn)展過(guò)濾首選項(xiàng)優(yōu)先級(jí)低于戰(zhàn)略設(shè)置客戶(hù)端需安裝客戶(hù)端擴(kuò)展集〔CSE〕DEMO戰(zhàn)略設(shè)置實(shí)戰(zhàn)演練：計(jì)算機(jī)配置戰(zhàn)略設(shè)置實(shí)戰(zhàn)演練：用戶(hù)配置首選項(xiàng)設(shè)置實(shí)戰(zhàn)演練1首選項(xiàng)設(shè)置實(shí)戰(zhàn)演練2組戰(zhàn)略的運(yùn)用規(guī)那么普通的承繼與處置規(guī)那么特殊的處置規(guī)那么特殊的處置設(shè)置指定管理組戰(zhàn)略目的的域控制器更改組戰(zhàn)略的運(yùn)用間隔時(shí)間普通的承繼與處置規(guī)那么有高究竟，層層運(yùn)用，低級(jí)的覆蓋高級(jí)的SiteDomainOU子容器從母容器承繼GPO設(shè)置值ComputersUsersPayrollDomainDomainGPO處理組戰(zhàn)略之間的沖突戰(zhàn)略是積累的，假設(shè)戰(zhàn)略之間沒(méi)有沖突將全部運(yùn)用假設(shè)戰(zhàn)略之間存在沖突，將采用最新的設(shè)置計(jì)算機(jī)的設(shè)置，高于用戶(hù)的設(shè)置沖突發(fā)生時(shí)，執(zhí)行哪個(gè)的原那么：來(lái)自母容器的GPO設(shè)置和來(lái)自子容器的GPO設(shè)置沖突。子容器的設(shè)置后執(zhí)行并發(fā)揚(yáng)作用。銜接到同一容器上的不同的GPO的設(shè)置發(fā)生沖突時(shí)。在容器屬性對(duì)話(huà)框中GPO列表中最高位置的GPO的設(shè)置后執(zhí)行并發(fā)揚(yáng)作用。課堂討論：如何執(zhí)行組戰(zhàn)略的設(shè)置GPO1確認(rèn)收藏夾出如今開(kāi)場(chǎng)菜單中GPO2andGPO3要求11位字符的密碼并將Updateicon移除開(kāi)場(chǎng)菜單GPO4從開(kāi)場(chǎng)菜單移除收藏夾并讓updateicon出現(xiàn)WhataretheresultantGroupPolicysettingsfortheOU?OUSiteDomainGPO1GPO2GPO3GPO4特殊的承繼設(shè)置阻止承繼戰(zhàn)略強(qiáng)迫承繼戰(zhàn)略挑選組戰(zhàn)略設(shè)置課堂討論：改動(dòng)組戰(zhàn)略的承繼性阻止承繼阻止承繼1.阻止一切的GPO承繼到子容器2.運(yùn)用配置為不重寫(xiě)的銜接阻止承繼將無(wú)效3.阻止組戰(zhàn)略設(shè)置將允許活動(dòng)目錄有獨(dú)一的組戰(zhàn)略設(shè)置GPOsSalesProductionDomainNoGPOsettings

apply強(qiáng)迫承繼戰(zhàn)略1.將不顧其它的GPO的設(shè)置而發(fā)揚(yáng)作用2.在活動(dòng)目錄的較高層次銜接GPO以保證能對(duì)多個(gè)OU起作用3.必需保證強(qiáng)迫重要的GPOSalesProductionDomainDomainGPO

settingsapplyConflicting

GPOSettingsNoOverride

GPOSettings挑選組戰(zhàn)略設(shè)置挑選組戰(zhàn)略設(shè)置1.明確的回絕懇求對(duì)于包含OU管理員在內(nèi)的平安組的組戰(zhàn)略答應(yīng)2.刪除驗(yàn)證的用戶(hù)DomainSalesMengphKimyoGroupDenyApplyGroupPolicyAllowReadandApplyGroupPolicy課堂討論：改動(dòng)組戰(zhàn)略的承繼性SettingsThatAreNeeded在域中的一切計(jì)算機(jī)上必需安裝防病毒程序除工資部門(mén)的用戶(hù)外一切域里的計(jì)算機(jī)必需安裝微軟的office套件除工資部門(mén)的管理員計(jì)算機(jī)外，工資部門(mén)的一切計(jì)算機(jī)都必需安裝系列商用財(cái)務(wù)運(yùn)用程序如何設(shè)置他的GPOs?PayrollSalesContosoTraining組戰(zhàn)略的處置時(shí)限在計(jì)算機(jī)啟動(dòng)的時(shí)候，將決議哪個(gè)計(jì)算機(jī)的GPO設(shè)置被運(yùn)用在用戶(hù)登錄的時(shí)候，將決議哪個(gè)用戶(hù)的GPO設(shè)置被運(yùn)用ComputerstartsUserlogsonComputersettings

appliedStartupscriptsrunUsersettingsappliedLogonscriptsrun更改組戰(zhàn)略的運(yùn)用間隔時(shí)間特殊的處置設(shè)置強(qiáng)迫處置GPO慢速鏈接的GPO處置環(huán)回處置方式禁用GPO 強(qiáng)迫組戰(zhàn)略的處置如何在客戶(hù)端強(qiáng)迫刷新組戰(zhàn)略語(yǔ)法:GPUpdate[/Target:{Computer|User}][/Force]/Target:{Computer|User}指定只需用戶(hù)或計(jì)算機(jī)策設(shè)置已被刷新。在默許情況下，用戶(hù)和計(jì)算機(jī)戰(zhàn)略設(shè)置都被刷新。/Force重新運(yùn)用一切戰(zhàn)略設(shè)置。在默許情況下，只需曾經(jīng)改動(dòng)了的戰(zhàn)略設(shè)置被運(yùn)用。組戰(zhàn)略和慢速網(wǎng)絡(luò)銜接組戰(zhàn)略能接納慢速銜接組戰(zhàn)略運(yùn)用一種運(yùn)算法那么來(lái)確定銜接能否為慢速銜接默許設(shè)置假設(shè)<=500k,為慢速銜接默許的慢速銜接處置 客戶(hù)端擴(kuò)展慢速連接基于注冊(cè)的設(shè)置打開(kāi)(不能關(guān)閉)IE界面設(shè)置關(guān)閉軟件安裝設(shè)置關(guān)閉文件夾重定向設(shè)置關(guān)閉命令設(shè)置關(guān)閉EFS覆蓋設(shè)置關(guān)閉磁盤(pán)配額設(shè)置關(guān)閉安全性和加密文件系統(tǒng)覆蓋設(shè)置關(guān)閉IP安全性設(shè)置打開(kāi)(不能關(guān)閉)指定管理組戰(zhàn)略目的的域控制器當(dāng)創(chuàng)建一個(gè)新的GPO或編輯一個(gè)已存在的GPO時(shí)，默許的操作在承當(dāng)PDC主控的域控制器上執(zhí)行選擇域控制器的選項(xiàng)1.操作主控遵照PDC的競(jìng)爭(zhēng)原那么。2.運(yùn)用活動(dòng)目錄插件方式。3.運(yùn)用任何能夠的域控制器。指定域控制器方式1.運(yùn)用在組戰(zhàn)略快照中的查看菜單下的DC選項(xiàng)2.在組戰(zhàn)略設(shè)置中指定運(yùn)用什么域控制器Windows管理規(guī)范〔ＷＭＩ〕過(guò)濾器Windows管理規(guī)范過(guò)濾使管理員可以基于配置，角色或其他規(guī)范決議能否在指定計(jì)算機(jī)或用戶(hù)上運(yùn)用一個(gè)組戰(zhàn)略對(duì)象管理組戰(zhàn)略拷貝GPO備份GPO復(fù)原GPO導(dǎo)入GPO組戰(zhàn)略結(jié)果集利用組戰(zhàn)略管理用戶(hù)環(huán)境什么是管理模板管理模板設(shè)置修正控制用戶(hù)環(huán)境的注冊(cè)設(shè)置設(shè)置在注冊(cè)子目錄樹(shù)下修正注冊(cè)設(shè)置1.計(jì)算機(jī)設(shè)置HKEY_LOCAL_MACHINE2.用戶(hù)設(shè)置HKEY_CURRENT_USER假設(shè)GPO不再運(yùn)用，將刪除組戰(zhàn)略Win2021將同時(shí)實(shí)現(xiàn)組戰(zhàn)略和本地預(yù)設(shè)注冊(cè)設(shè)置，除非兩者之間存在沖突計(jì)算機(jī)如何實(shí)現(xiàn)管理模板設(shè)置GPOList1計(jì)算機(jī)啟動(dòng)時(shí)，它重新獲得包含計(jì)算機(jī)配置的GPO設(shè)置和執(zhí)行順序計(jì)算機(jī)銜接到指定域控的sysvol文件夾和確定Registry.pol文件位置SysvolRegistry

.polRegistry

.polGPT2客戶(hù)機(jī)把Registry.pol文件中的注冊(cè)設(shè)置值寫(xiě)到適當(dāng)?shù)淖幽夸洏?shù)下Registry

.polHKCURegistry

.polHKLM3在注冊(cè)設(shè)置實(shí)施以后，將顯示桌面4注冊(cè)設(shè)置的值包含在Registry.pol文件夾中運(yùn)用組戰(zhàn)略中的管理模板管理模板設(shè)置類(lèi)型禁閉桌面的設(shè)置禁閉用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的設(shè)置禁閉用戶(hù)訪(fǎng)問(wèn)管理工具和運(yùn)用程序的設(shè)置組戰(zhàn)略中的回環(huán)處置方式設(shè)置實(shí)現(xiàn)管理模板管理模板設(shè)置的類(lèi)型SettingtypesControlsAvailableforWindows

Components用戶(hù)何以訪(fǎng)問(wèn)的Win2021及其工具和組件部分，包括控制用戶(hù)對(duì)MMC的訪(fǎng)問(wèn)System登錄、退出過(guò)程，組戰(zhàn)略，更新區(qū)間，啟用磁盤(pán)限額和實(shí)現(xiàn)回環(huán)處置Network網(wǎng)絡(luò)銜接和撥號(hào)銜接的屬性，包括共用網(wǎng)絡(luò)訪(fǎng)問(wèn)Printers打印機(jī)設(shè)置，可以是打印機(jī)自動(dòng)公布在活動(dòng)目錄中，并使基于網(wǎng)絡(luò)的打印機(jī)無(wú)效StartMenu&

Taskbar用戶(hù)可以從開(kāi)場(chǎng)菜單中訪(fǎng)問(wèn)的功能部件Desktop活動(dòng)桌面。經(jīng)過(guò)隱藏某些桌面圖標(biāo)并控制用戶(hù)對(duì)MyDocuments文件夾的運(yùn)用，可以控制用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)ControlPanel控制面板上的一些運(yùn)用程序。包括限制對(duì)添加/刪除程序，顯示和打印機(jī)的運(yùn)用禁閉桌面的設(shè)置隱藏桌面上的一切圖標(biāo)在退出時(shí)不會(huì)保管設(shè)置隱藏我的電腦下詳細(xì)指定的驅(qū)動(dòng)器從開(kāi)場(chǎng)菜單中刪除“RUN〞菜單制止用戶(hù)運(yùn)轉(zhuǎn)控制面板中的顯示功能刪除WindowsUpdate菜單使工具欄和開(kāi)場(chǎng)菜單設(shè)置的修正無(wú)效使封鎖命令無(wú)效或刪除該命令GroupPolicySettingstoLockDowntheDesktop禁閉用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的設(shè)置隱藏MyNetworkPlaces圖標(biāo)刪除“MapNetworkDrive〞和

“DisconnectNetworkDrive〞工具菜單：禁用Internet選項(xiàng)GroupPolicySettingstoLockDownUser

AccesstoNetworkResources禁閉用戶(hù)訪(fǎng)問(wèn)管理工具和運(yùn)用程序的設(shè)置從開(kāi)場(chǎng)菜單刪除“Search〞菜單從開(kāi)場(chǎng)菜單刪除“Run〞菜單禁用義務(wù)管理器只運(yùn)轉(zhuǎn)允許的Windows運(yùn)用程序在開(kāi)場(chǎng)菜單刪除Documents菜單禁用對(duì)工具欄和開(kāi)場(chǎng)菜單設(shè)置的修正隱藏開(kāi)場(chǎng)菜單中的普通程序組GroupPolicySettingstoLockDownUserAccess

toAdministrativeToolsandApplications設(shè)計(jì)管理模板未配置－Windows2021忽略該設(shè)置，不產(chǎn)生對(duì)計(jì)算機(jī)產(chǎn)生任何變化啟用－Windows2021實(shí)現(xiàn)該設(shè)置，并把引起的變化添加到適宜的Registry.pol文件中禁用－Windows2021防止實(shí)現(xiàn)該設(shè)置，并把引起的變化添加到適宜的Registry.pol文件中OrOr啟用禁用未配置

(默許)練習(xí)：編輯組戰(zhàn)略設(shè)置Inthispractice,youwilleditGroupPolicysettings什么是組織戰(zhàn)略腳本設(shè)置組戰(zhàn)略腳本設(shè)置允許他：執(zhí)行不能經(jīng)過(guò)其它組戰(zhàn)略設(shè)置配置義務(wù)的腳本運(yùn)轉(zhuǎn)預(yù)先曾經(jīng)存在的用來(lái)管理用戶(hù)環(huán)境的腳本，直到建立其它組戰(zhàn)略設(shè)置來(lái)替代這些腳本執(zhí)行的義務(wù)Scripts計(jì)算機(jī)設(shè)置啟動(dòng)/關(guān)機(jī)用戶(hù)設(shè)置登錄/注銷(xiāo)啟動(dòng)/關(guān)機(jī)計(jì)算機(jī)用戶(hù)登錄/注銷(xiāo)分配組戰(zhàn)略腳本設(shè)置練習(xí)：利用組戰(zhàn)略分配腳本Inthispractice,youwilluseGroupPolicytoassignscripts利用組戰(zhàn)略重定向文件夾什么是文件夾重定向選擇需求重定向的文件夾把文件夾重定向到效力器位置什么是文件夾重定向重定向文件夾的優(yōu)點(diǎn)：不論用戶(hù)從哪個(gè)計(jì)算機(jī)上登錄都可以