組策略在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用.ppt

1、組策略在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用,第六小組實(shí)訓(xùn)匯報(bào),組策略介紹,組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。 本質(zhì)上，組策略設(shè)置就是在修改注冊表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強(qiáng)大。,使用組策略實(shí)現(xiàn)統(tǒng)一企業(yè)桌面(一),使用背景：可以使用組策略實(shí)現(xiàn)所有員工的電腦桌面統(tǒng)一標(biāo)準(zhǔn)以提高公司的品牌效應(yīng)。,使用組策略實(shí)現(xiàn)統(tǒng)一企業(yè)桌面(二),用“用戶配置”-“管理模板”-“桌面”-“Active Desktop”和“Active Desktop 墻紙”。 要注意的是 墻紙路徑要用網(wǎng)絡(luò)路徑（UNC路徑）

2、要用gpupdate刷新組策略 但以上只解決了桌面背景的一致，要使桌面圖標(biāo)也一樣，還要使用漫游配置文件和文件夾重定向技術(shù)。,用組策略實(shí)現(xiàn)對某些軟件的限制(一),應(yīng)用背景：有時為了管理需要，需要對員工的使用電腦行為進(jìn)行一些限制。這時就可用組策略來對軟件的運(yùn)行做出限制。 為了讓整個系統(tǒng)運(yùn)行更穩(wěn)健安全，可以對可以修改系統(tǒng)設(shè)置的軟件進(jìn)行限制（如cmd.exe、regedit.exe） 為了讓員工在工作時不玩游戲，可以對一些游戲程序進(jìn)行限制（如蜘蛛紙牌spider.exe、掃雷winmine.exe等） 為了防止員工惡意下載占用寬帶，可以限制一些下載程序（如迅雷、網(wǎng)際快車等） 還可限制QQ等與工作無關(guān)軟

3、件,用組策略實(shí)現(xiàn)對某些軟件的限制(二),有4種限制規(guī)則 哈希規(guī)則 證書規(guī)則 路徑規(guī)則 網(wǎng)絡(luò)區(qū)域規(guī)則 哈希規(guī)則只要程序文件的內(nèi)容不變，無論它的位置在哪兒，都會受到限制。 而路徑恰好相反，只要程序文件的路徑不變，它都會受到限制。,使用組策略隱藏一些東西(一),使用背景：我們可以隱藏一些東西，用于限制普通員工對系統(tǒng)高級設(shè)置的使用，讓系統(tǒng)更加安全保險(xiǎn)，也可用于統(tǒng)一用戶界面。 如桌面上的“我的電腦”，“我的文檔”和“回收站”圖標(biāo)，“開始”菜單里的一些項(xiàng)目，如“網(wǎng)絡(luò)連接”、“搜索”、“運(yùn)行”等都可以根據(jù)需要隱藏。,使用組策略隱藏一些東西(二),也可以隱藏“我的電腦”里的一些驅(qū)動器,很多時候，我們在網(wǎng)吧上網(wǎng)

4、時，會發(fā)現(xiàn)Windows鍵不起作用，Windows+D（很實(shí)用的顯示桌面的快捷鍵）、Windows+R（顯示“運(yùn)行”）也不起作用，這其實(shí)是因?yàn)榫W(wǎng)吧電腦作了限制，不過它是通過本地組策略進(jìn)行限制的，在企業(yè)里，我們也可以限制Windows鍵的使用。這樣可以限制用戶對系統(tǒng)高級功能的使用。,限制Windows+X形式的快捷鍵(一),限制Windows+X形式的快捷鍵(二),要注意的是： 但這只能禁用Windows+X形式的快捷鍵。如果僅按Windows鍵，還是可以彈出“開始”菜單。 要使單獨(dú)按Windows鍵時，不彈出“開始”菜單，可以通過修改注冊表的方式得到解決。,利用組策略部署軟件(一),使用背景：

5、有時公司需要給公司電腦上安裝一些軟件，若一個一個地裝，顯然不太現(xiàn)實(shí)。用組策略部署軟件可方便的實(shí)現(xiàn)以上功能。,利用組策略部署軟件(二),可以有幾種不同的方法，它們的區(qū)別如下： 指派到計(jì)算機(jī)登錄到域，軟件直接安裝 指派到用戶 “開始”菜單控制面板有提示文檔激活 發(fā)布給用戶只能在控制面板的“添加刪除程序”中看到。,利用組策略部署軟件(三),需要注意的是安裝文件格式只能為“.msi”或“.mst”格式，如果沒有這個格式的安裝文件，可以用Advanced Installer 來制作MSI安裝包。 Advanced Installer是一個Windows下的安裝程序制作軟件，它能使系統(tǒng)管理員方便地制作MS

6、I安裝包 。,使用組策略指派登錄、注銷、啟動關(guān)機(jī)腳本(一),應(yīng)用背景：可以在用戶登錄、注銷時，在計(jì)算機(jī)啟動、關(guān)機(jī)時應(yīng)用腳本，來執(zhí)行一些提示或設(shè)置操作。,使用組策略指派登錄、注銷、啟動關(guān)機(jī)腳本(二),登錄、注銷腳本要在用戶配置里設(shè)置 啟動、關(guān)機(jī)腳本要在計(jì)算機(jī)配置里設(shè)置 腳本可以是VB腳本，也可以是批處理（即BAT）腳本。 腳本其實(shí)是一種解釋性的程序代碼，別看它語法簡單，但可以完成或簡單或復(fù)雜的幾乎所有的Windows配置。 比如可以在用戶登錄到系統(tǒng)時，彈出歡迎消息或公司的一些通知。,使用組策略設(shè)置IE (一),運(yùn)用背景： IE是微軟自帶的、也是目前使用范圍最廣的瀏覽器，所以公司用的瀏覽器一般也是

7、IE。可用組策略對IE進(jìn)行一些設(shè)置，讓它更符合我們的管理需要。 常用的設(shè)置有：禁止修改主頁、禁用“Internet選項(xiàng)”和修改IE瀏覽器標(biāo)題。,使用組策略設(shè)置IE (二),可以限制禁止更改主頁設(shè)置 禁用“Internet選項(xiàng)”菜單項(xiàng)。 修改IE瀏覽器的標(biāo)題,組策略設(shè)置的心得體會(一),關(guān)于組策略很常見的問題就是：“我設(shè)置了一個策略，為什么它不生效?” 這一方面是由于我們在日常操作時不慎引起的，另一方面是由于策略相互影響而造成最終的結(jié)果與設(shè)想不一致。具體見下頁。,組策略設(shè)置的心得體會(二),不要刪除兩條默認(rèn)的策略 組策略是不能夠鏈接在用戶組上的。 組策略的生效問題 生效順序 正常生效順序:本地策

8、略站點(diǎn)策略域策略父OU策略子OU策略。 生效時間 自動刷新（DC5min 非DC90min） 手工刷新（gpupdate命令）,如何實(shí)現(xiàn)OU內(nèi)的GPO只對OU內(nèi)的特定人員生效？（比如：GPO只對財(cái)務(wù)部OU和銷售部OU的經(jīng)理生效） 使用安全過濾：在AD用戶和計(jì)算機(jī)上新建一個安全組，將需要生效的成員（經(jīng)理）添加進(jìn)來，在所要生效的GPO中，刪除默認(rèn)的Authenticated Users組，將新建的安全組添加進(jìn)來。,組策略設(shè)置的心得體會(三),組策略設(shè)置的心得體會(四),可用組策略建模來模擬策略的結(jié)果集 根據(jù)所給的計(jì)算機(jī)和用戶信息在服務(wù)器上模擬出最終的配置結(jié)果。 使用組策略結(jié)果來確定策略的結(jié)果集 通過查詢目標(biāo)計(jì)算機(jī)并檢索應(yīng)用于該計(jì)算機(jī)的RSoP數(shù)據(jù)來獲得配置結(jié)果集。,組策略設(shè)置的心得體會(五),對于需要共享的文件夾可用以$結(jié)尾命名方式，實(shí)現(xiàn)隱藏共享。 用簡潔的名字描述GPO的意圖，一般用三個關(guān)鍵字來命名：范圍、目的、誰管理，這樣方便以后的維護(hù)。 如：Offices_ForbidGames_Admin,組策略設(shè)置的心得體會(六),最好通過哈希值的方法限制軟件 因?yàn)檫@樣不管員工怎么改名、改路徑都可以限制。 可以用Starter GPO的方