Windows Server 2022活動(dòng)目錄管理實(shí)踐( 第2版 微課版)-課件項(xiàng)目19 通過(guò)組策略限制計(jì)算機(jī)無(wú)法使用系統(tǒng)的部分功能

項(xiàng)目19通過(guò)組策略限制計(jì)算機(jī)無(wú)法使用系統(tǒng)的部分功能組策略組策略結(jié)構(gòu)計(jì)算機(jī)用戶的策略設(shè)置組策略對(duì)象和活動(dòng)目錄容器組策略的繼承性和應(yīng)用順序目錄組策略組策略的基本概念組策略是一組策略的集合，通過(guò)這組策略，管理員可以加強(qiáng)通過(guò)活動(dòng)目錄數(shù)據(jù)庫(kù)在站點(diǎn)域或組織單位中配置用戶計(jì)算機(jī)的能力。它提供了操作系統(tǒng)、應(yīng)用程序和活動(dòng)目錄中用戶設(shè)置的集中化管理和配置。組策略的組成部分組策略對(duì)象（GPO）GPO是組策略的核心，包含所有策略設(shè)置，并由唯一標(biāo)識(shí)符GUID在系統(tǒng)中識(shí)別。組策略容器（GPC）GPC存儲(chǔ)GPO屬性與版本于活動(dòng)目錄，客戶端從中獲取GPO元信息和配置路徑。

組策略模板（GPT）GPT存儲(chǔ)GPO設(shè)置值和相關(guān)文件，包含計(jì)算機(jī)和用戶策略配置，位于域控制器共享卷中。組策略結(jié)構(gòu)介紹jan16公司基于活動(dòng)目錄管理用戶和計(jì)算機(jī)，公司域管理員需要管理1000多個(gè)用戶和500多臺(tái)計(jì)算機(jī)。域管理員在日常管理和維護(hù)中通常需要做大量的工作，舉例如下：（1）在公司的所有客戶機(jī)上部署安裝一個(gè)公司內(nèi)部生產(chǎn)系統(tǒng)的軟件。（2）在所有的計(jì)算機(jī)都強(qiáng)制安裝最新的微軟補(bǔ)丁。（3）禁止生產(chǎn)部用戶使用QQ軟件。（4）允許在財(cái)務(wù)部的計(jì)算機(jī)上安裝“管家婆”財(cái)務(wù)管理軟件。組策略結(jié)構(gòu)介紹在域的日常管理與維護(hù)中，類似的工作還有很多。對(duì)于軟件安裝，假設(shè)每臺(tái)計(jì)算機(jī)需要花10分鐘，如果域管理員需要對(duì)每臺(tái)計(jì)算機(jī)都進(jìn)行單獨(dú)安裝與部署，那么500臺(tái)計(jì)算機(jī)需要花費(fèi)約85個(gè)小時(shí)；對(duì)于限制特定用戶使用QQ軟件，則需要做更多的工作。例如，卸載其固定電腦的QQ軟件，監(jiān)控這些用戶在使用其他計(jì)算機(jī)時(shí)的應(yīng)用環(huán)境，等等。其實(shí)，很多應(yīng)用都是重復(fù)性的，具有可復(fù)制性，如果能選擇對(duì)象（用戶和計(jì)算機(jī)）進(jìn)行批量的自動(dòng)化操作，則可以大幅度提高域管理員的工作效率?；顒?dòng)目錄提供了一種允許對(duì)活動(dòng)目錄容器內(nèi)的用戶和計(jì)算機(jī)進(jìn)行重復(fù)性配置的工作方法，這個(gè)方法就是組策略。組策略結(jié)構(gòu)介紹組策略一旦定義了用戶的工作環(huán)境，就可以依賴WindowsServer2022操作系統(tǒng)連續(xù)推行定義好的組策略設(shè)置。此外，還可以將組策略與活動(dòng)目錄容器（站點(diǎn)、域和組織單位）鏈接起來(lái)，如圖所示，組策略會(huì)對(duì)這些容器中的所有用戶和計(jì)算機(jī)的工作環(huán)境進(jìn)行統(tǒng)一部署和設(shè)置?；顒?dòng)目錄中的容器和組策略組策略結(jié)構(gòu)介紹通過(guò)組策略，可以實(shí)現(xiàn)以下功能。通過(guò)在站點(diǎn)或域級(jí)別為整個(gè)組織設(shè)置組策略來(lái)集中管理，或者在組織單元的級(jí)別為每個(gè)部門部署組策略來(lái)分散管理。確保用戶有適合他們完成工作的環(huán)境?？梢源_保用戶通過(guò)組策略設(shè)置控制注冊(cè)表的應(yīng)用和系統(tǒng)設(shè)置，修改計(jì)算機(jī)和用戶環(huán)境的腳本、自動(dòng)軟件安裝以及本地計(jì)算機(jī)、域和網(wǎng)絡(luò)的安全設(shè)置，還可以控制用戶數(shù)據(jù)文件的存儲(chǔ)位置。組策略結(jié)構(gòu)介紹通過(guò)組策略，可以實(shí)現(xiàn)以下功能。降低控制用戶和計(jì)算機(jī)環(huán)境的總費(fèi)用，從而減少用戶需要的技術(shù)支持級(jí)別和由于用戶錯(cuò)誤而引起的生產(chǎn)損失。例如，通過(guò)組策略可以阻止用戶對(duì)系統(tǒng)設(shè)置做出讓計(jì)算機(jī)無(wú)法正常工作的修改，還可以阻止用戶安裝他們不需要的軟件。推行公司策略，包括商業(yè)準(zhǔn)則、目標(biāo)和保密需求。例如，可以確保所有用戶的保密需求和公司保密需求保持一致，或者所有用戶執(zhí)行同一套軟件安裝需求。組策略結(jié)構(gòu)組策略結(jié)構(gòu)組策略的結(jié)構(gòu)在管理用戶和計(jì)算機(jī)方面具有靈活性。WindowsServer2022可以將組策略組織成不同的形式，使其變得簡(jiǎn)單，如圖所示。組策略結(jié)構(gòu)組策略結(jié)構(gòu)可以通過(guò)組策略配置，定義能夠?qū)τ脩艉陀?jì)算機(jī)產(chǎn)生影響的組策略?？梢耘渲玫慕M策略類型有以下幾種。（1）軟件設(shè)置/軟件安裝：包括軟件安裝、升級(jí)、卸載的集中化管理的設(shè)置。可以讓應(yīng)用程序自動(dòng)在客戶機(jī)上進(jìn)行安裝、升級(jí)和卸載，也可以發(fā)布應(yīng)用程序，使其出現(xiàn)在“控制面板”窗口中的“添加/刪除程序”中，從而為用戶提供獲得可安裝應(yīng)用程序的集中場(chǎng)所。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（2）管理模板：基于注冊(cè)表的設(shè)置、桌面環(huán)境的設(shè)置等。這些設(shè)置包括用戶可以獲得訪問的操作系統(tǒng)的組件和應(yīng)用程序、控制面板選項(xiàng)的訪問權(quán)限及用戶脫機(jī)文件的控制等。例如，如果客戶機(jī)需要推送特定的操作，但是組策略并未提供相關(guān)選項(xiàng)，則可以先將一臺(tái)客戶機(jī)需要修改的注冊(cè)表項(xiàng)導(dǎo)出，然后通過(guò)組策略推送下去。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（3）安全性：本地計(jì)算機(jī)、域及網(wǎng)絡(luò)的安全性設(shè)置，這些設(shè)置包括控制用戶訪問的網(wǎng)絡(luò)、建立統(tǒng)計(jì)和審計(jì)制度及控制用戶的權(quán)限，如可以設(shè)置用戶在鎖定之前登錄失敗的最多次數(shù)。（4）腳本：設(shè)置Windows開機(jī)、關(guān)機(jī)，以及用戶登錄、注銷時(shí)運(yùn)行的腳本，可以指定腳本允許批處理、控制多個(gè)腳本、決定腳本運(yùn)行的順序。（5）IE界面：管理和定制基于Windows計(jì)算機(jī)的Internet瀏覽器設(shè)置。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（6）文件夾重定向：在網(wǎng)絡(luò)服務(wù)器上存儲(chǔ)用戶配置文件的文件夾設(shè)置。這些設(shè)置會(huì)在配置文件中創(chuàng)建一個(gè)和網(wǎng)絡(luò)共享文件夾的鏈接，但文件在本地顯示。用戶可以在域中任意一臺(tái)計(jì)算機(jī)上對(duì)該文件夾進(jìn)行訪問，如可以將用戶的“我的文檔”文件夾重定向到網(wǎng)絡(luò)共享文件夾。組策略結(jié)構(gòu)組策略結(jié)構(gòu)（7）首選項(xiàng)：使用組策略的首選項(xiàng)，可以在不使用學(xué)習(xí)腳本語(yǔ)言的情況下，管理驅(qū)動(dòng)器映射、注冊(cè)表設(shè)置、本地用戶和組、服務(wù)、文件、文件夾的設(shè)置等?？梢允褂媒M策略的首選項(xiàng)減少腳本編輯，實(shí)現(xiàn)標(biāo)準(zhǔn)化管理。首選項(xiàng)可以有效地實(shí)現(xiàn)域客戶機(jī)的桌面管理。注意：首選項(xiàng)策略只在客戶操作系統(tǒng)登錄時(shí)應(yīng)用一次，并且按固定的刷新間隔更新。當(dāng)組策略刪除后，首選項(xiàng)策略產(chǎn)生的配置不會(huì)被移除。組策略結(jié)構(gòu)計(jì)算機(jī)用戶的策略設(shè)置計(jì)算機(jī)用戶的策略設(shè)置如圖所示，可以在“組策略管理編輯器”窗口中配置“計(jì)算機(jī)配置”和“用戶配置”來(lái)推行網(wǎng)絡(luò)中計(jì)算機(jī)和用戶的組策略設(shè)置?！敖M策略管理編輯器”窗口中的“計(jì)算機(jī)配置”和“用戶配置”計(jì)算機(jī)用戶的策略設(shè)置如圖所示，可以在“組策略管理編輯器”窗口中配置“計(jì)算機(jī)配置”和“用戶配置”來(lái)推行網(wǎng)絡(luò)中計(jì)算機(jī)和用戶的組策略設(shè)置?！敖M策略管理編輯器”窗口中的“計(jì)算機(jī)配置”和“用戶配置”計(jì)算機(jī)的組策略設(shè)置用戶配置下的設(shè)置會(huì)應(yīng)用于用戶級(jí)別，主要包括以下幾個(gè)方面：安全設(shè)置：用于配置密碼策略、賬戶策略、本地策略、Kerberos策略等，以增強(qiáng)系統(tǒng)的安全性。例如，可以設(shè)置密碼復(fù)雜性要求、賬戶鎖定策略、啟用強(qiáng)加密算法等。軟件設(shè)置：用于安裝、卸載和配置應(yīng)用程序。Windows設(shè)置：包括啟動(dòng)和關(guān)閉腳本、文件夾重定向、電源管理等。計(jì)算機(jī)的組策略設(shè)置計(jì)算機(jī)的組策略在系統(tǒng)重新啟動(dòng)時(shí)才會(huì)被應(yīng)用（計(jì)算機(jī)注銷操作無(wú)效），并且每隔90～120分鐘應(yīng)用一次。如果計(jì)算機(jī)組策略和用戶組策略存在沖突，那么計(jì)算機(jī)組策略具有更高的優(yōu)先權(quán)。用戶的組策略設(shè)置用戶配置下的設(shè)置會(huì)應(yīng)用于用戶級(jí)別，主要包括以下幾個(gè)方面：軟件設(shè)置：同樣用于安裝、卸載和配置應(yīng)用程序，但這里的設(shè)置是針對(duì)用戶的。Windows設(shè)置：包括桌面配置、任務(wù)欄和開始菜單設(shè)置、InternetExplorer設(shè)置等。例如，可以隱藏或禁用桌面上的系統(tǒng)圖標(biāo)，保護(hù)“任務(wù)欄”和“開始”菜單不被更改，限制用戶訪問控制面板等。腳本設(shè)置：用于配置登錄和注銷腳本，以在用戶登錄或注銷時(shí)自動(dòng)執(zhí)行特定的操作。用戶的組策略設(shè)置用戶組策略在用戶注銷后重新登錄域時(shí)才會(huì)被應(yīng)用，并且每隔90～120分鐘應(yīng)用一次。組策略對(duì)象和活動(dòng)目錄容器組策略對(duì)象和活動(dòng)目錄容器組策略對(duì)象（GroupPolicyObject，GPO）是組策略的載體。在活動(dòng)目錄中，可以將組策略對(duì)象應(yīng)用于活動(dòng)目錄對(duì)象（站點(diǎn)、域和組織單位），用于實(shí)現(xiàn)組策略管理的目的。組策略對(duì)象和活動(dòng)目錄容器每個(gè)組策略對(duì)象都擁有一個(gè)全局唯一標(biāo)識(shí)（GUID），在圖1所示的“組策略管理編輯器”窗口中，在菜單欄中選擇“操作”→“屬性”命令，可以查看該組策略的屬性，其中包括組策略的GUID，如圖2所示?！敖M策略管理編輯器”窗口中的“計(jì)算機(jī)配置”和“用戶配置”查看組策略對(duì)象的屬性組策略對(duì)象和活動(dòng)目錄容器組策略對(duì)象可以分為兩部分：組策略容器（GroupPolicyContainer，GPC）和組策略模板（GroupPolicyTemplate，GPT）。組策略對(duì)象的內(nèi)容存儲(chǔ)在GPC和GPT中，如圖所示。GPO與GPC、GPT組策略對(duì)象和活動(dòng)目錄容器1）組策略容器（GPC）組策略容器是包含GPO版本信息的活動(dòng)目錄對(duì)象，存儲(chǔ)于活動(dòng)目錄的數(shù)據(jù)庫(kù)中。計(jì)算機(jī)用GPC來(lái)定位組策略模板，域控制器可以訪問GPC來(lái)獲得GPO的版本信息，如果一臺(tái)域控制器沒有最新的GPO版本信息。GPO與GPC、GPT組策略對(duì)象和活動(dòng)目錄容器1）組策略容器（GPC）在“ActiveDirectory用戶和計(jì)算機(jī)”窗口的菜單欄中勾選“查看”→“高級(jí)功能”命令，然后在左側(cè)的導(dǎo)航欄中依次選擇“域”→“System”→“Policies”選項(xiàng)，可以查看GPC的信息，如圖所示。GPO的版本信息可以在對(duì)應(yīng)策略的屬性對(duì)話框中查看。查看組策略容器GPC組策略對(duì)象和活動(dòng)目錄容器2）組策略模板（GPT）組策略模板存儲(chǔ)域控制器的SYSVOL共享文件夾中，主要用于提供所有的組策略設(shè)置和信息，包括管理模板、安全性、腳本等。在創(chuàng)建一個(gè)GPO時(shí)，WindowsServer2022會(huì)創(chuàng)建相應(yīng)的GPT，客戶端能夠接收組策略的配置就是因?yàn)樗麄兌寄茉L問DC的SYSVOL共享文件夾。GPO與GPC、GPT組策略對(duì)象和活動(dòng)目錄容器2）組策略模板（GPT）GPT存儲(chǔ)于域控制器的“%systemroot%\SYSVOL\sysvol”文件夾中，如圖所示。GPC和GPT中的組策略都是以它們對(duì)應(yīng)的GUID命名的。查看組策略的GPT組策略對(duì)象和活動(dòng)目錄容器3）GPO與活動(dòng)目錄容器GPO和站點(diǎn)、域以及組織單元相連接或相關(guān)聯(lián)。如圖所示，在將GPO和站點(diǎn)、域和組織單位鏈接后，GPO的設(shè)置會(huì)應(yīng)用于這些容器內(nèi)的用戶和計(jì)算機(jī)上。

GPO與活動(dòng)目錄容器組策略對(duì)象和活動(dòng)目錄容器3）GPO與活動(dòng)目錄容器GPO與活動(dòng)目錄容器的鏈接，使GPO的設(shè)置對(duì)這些容器內(nèi)的用戶和計(jì)算機(jī)產(chǎn)生影響；管理員可以將單個(gè)GPO和多個(gè)活動(dòng)目錄容器鏈接，也可以將多個(gè)GPO和單個(gè)活動(dòng)目錄容器鏈接。在實(shí)現(xiàn)組策略設(shè)置時(shí)，鏈接已存在的GPO的方法提供了很高的靈活性，可以使用下面的方式鏈接GPO。組策略對(duì)象和活動(dòng)目錄容器3）GPO與活動(dòng)目錄容器在網(wǎng)絡(luò)中將GPO和多個(gè)站點(diǎn)、域或組織單位鏈接。這可以為不同站點(diǎn)、域和組織單位的計(jì)算機(jī)和用戶配置一套相同的組策略設(shè)置。OU1site1site2OU2DomainGPO1組策略對(duì)象和活動(dòng)目錄容器3）GPO與活動(dòng)目錄容器將多個(gè)GPO和單個(gè)站點(diǎn)、域或組織單位鏈接。如果不希望所有類型的組策略設(shè)置都應(yīng)用在單個(gè)活動(dòng)目錄容器上，可以為不同類型的組策略單獨(dú)創(chuàng)建GPO，然后將它們和對(duì)應(yīng)的活動(dòng)目錄容器鏈接。例如，可以鏈接一個(gè)包含網(wǎng)絡(luò)安全性設(shè)置的GPO及另一個(gè)包含軟件安裝的GPO到同一個(gè)組織單位中。OU1site2OU2DomainGPO1GPO2GPO3GPO4GPO5組策略的繼承性和應(yīng)用順序組策略的繼承性和應(yīng)用順序在默認(rèn)情況下，組策略對(duì)象具有繼承性，即鏈接到域的組策略會(huì)應(yīng)用到域內(nèi)的所有組織單位，如果組織單位下還有組織單位，那么鏈接到上級(jí)組織單位的組策略默認(rèn)也會(huì)應(yīng)用到下級(jí)組織單位中