一、组策略
1.概念:一组策略的集合,加强管理员通过活动目录数据库在站点域或组织单位中配置用户计算机的能力
2.组策略的结构:GPO和SDOU
1)GPO:组策略对象,可以讲GPO和活动目录的容器连接在一起,以影响容器(SDOU)中的计算机和用户
①默认GPO:Default Doamin Policy(默认域策略)和Default Doamin Controller Policy(默认域控制器策略)
②默认域策略:影响域中所有计算机和用户
③默认域控制器策略:影响组织单位Doamin Controller中的计算机和用户
2)SDOU:活动目录的容器,容器中包含计算机和用户这两种活动目录对象,受组策略的控制
①SDOU:是站点、域、组织单位的统称,即站点S(site)域 D(domain)组织单位OU(organizational unit)
3)GPC和GPT
①GPC:组策略容器,包含GPO属性和版本信息的活动目录对象,如进入默认gpd右击它属性
②GPT:组策略模板,在域控制器的共享系统卷中,是一种文件夹层次结构
默认路径在域控制器的%systemroot%\SYSVOL\sysvol中
3.组策略进入方法:①启动“Active Directory用户和计算机”→查看→高级
②右击 域或组织单位→属性→组策略即可打开
4.建GPO:进入组策略后:单击新建就可以建新的GPO,
5.站点1)由一个或几个通过高速连接在一起的IP子网组成
2)一个站点中可以有多个域,一个域中也可以有多个站点
3)作用:优化复制(由于站中的域通用一个设置,在以个域中作了改变,其他域要通过复制相应的文件达到同步设置),使用户能够使用可靠、高速的连接登录到域控制器上
二、计算机配置和用户配置
1.组策略中包含:计算机配置和用户配置
2.计算机配置:对容器中的计算机起作用,配置后要重启计算机才能生效
3.用户配置:对容器中的用户起作用,用户重新登陆就可以生效
4.当两者发生冲突时,以计算机配置为主
5.两者的配置都包含:软件设置、Windows设置和管理模板三部分组成
三、组策略应用规则
1.继承与阻止继承
1)默认下,下层容器或继承来自上层容器的GPO(组策略对象)即SDOU中 子OU会继承S D OU的GPO、OU会继承S D的GPO、D会继承S的GPO
2)阻止继承的方法:右击容器(OU D S)→属性→组策略→选中“阻止策略继承”
3)切记:阻止继承是在下层容器中设置
2.强制生效
1)强制下层继承GPO,即使下层设置了不继承策略,依然生效
2)方法:右击容器(ou d s)→属性→组策略→选择要强制继承的GPO→单击“选项”→出现的对话框中选中“禁止替代:……”
3).切记:强制生效时在上层容器中设置
3.筛选
1)作用:阻止一个GPO应用于容器内特定的计算机和用户
2)设置方法:右击要设置的计算机或用户所在的容器(sdou)→属性→组策略→选择GPO→单击“属性”→安全→加入计算机或用户→后给他设置相应的权限
如:销售部OU中有个经理账户JL和其他10个普通成员账户,都属于sales组中,要JL不受GPO影响,其他受影响。
右击OU“销售部”→属性→组策略,选择“销售部GPO”,单击“属性”→安全
给“sales”,设置允许“读取”和“应用组策略”权限
添加“JL”,设置拒绝“读取”和“应用组策略”权限
3)类似于NTFS的权限设置,应用组策略是要注意容器中的计算机和账户有无权限
4.累加
容器的多个组策略设置如果不冲突,则最终的有效策略是所有组策略设置的总和
5.应用顺序
1)按LSDOU顺序被应用,后面的处理优先于前面所有应用的策略生效
2)LSDOU:L:本地(Lical) S:站点(Site)域:D(Domain)组织单位:OU(organizational unit)
3)进入本地组策略的方法:①cmd中gpedit.msc
②MMC→在控制台中,单击“文件”→添加/删除管理单元→添加,选择“组策略对象编辑器”
四、当几种组策略发生冲突时,冲突设置生效的是什么?
1)首先,安LSDOU顺序判断,即L和S发生冲突时S的策略生效,S和D发生冲突时D的策略生效,D和OU发生冲突时OU的策略生效
2)当同一种容器中存在父子关系时,且他两冲突时,后设置的策略生效
3)当在同一个容器中,有多个GPO时,且有冲突时,排在前面的生效
4)当有强制生效规则时,用强制生效的规则
5)例题
五、组策略的应用
1.同一公司桌面
1)设置好共享文件夹(共享的权限默认即可,NTFS权限要有读取权)放入同一的墙纸图片
2)开始→程序→管理工具→“Active Directory用户和计算机”→右击要设置的容器→属性→组策略,新建(或更改)一个GPO→单击“编辑”→“用户配置”或“计算机配置”→管理模板→桌面
3)启用第一个 “Active Deslctop” 4)启用 “阻止更改墙纸”5)更改““Active Deslctop 墙纸”在里面设置好路径(\\IP\共享文件名\墙纸文件名)
2.禁用以个程序
1)开始→程序→管理工具→“Active Directory用户和计算机”→右击要设置的容器→属性→组策略,新建(或更改)一个GPO→单击“编辑”→“用户配置”或“计算机配置”→管理模板→系统→找到“不要运行指定的程序”
2)点击添加→添加要禁用程序的进程
3.利用GPO实现软件设置(分发,升级,删除,修复)切记:这里的软件只能是MSI的文件
1)获取Windows安装程序文件,必须是.msi文件的
2)将软件安装文件放到软件分发点(指一个共享文件夹)
3)创建GPO,它包含软件安装的内容
①分发的步骤:开始→程序→管理工具→“Active Directory用户和计算机”→右击要设置的容器→属性→组策略,新建(或更改)一个GPO→单击“编辑”→“用户配置”或“计算机配置”→软件设置→软件安装→新建→程序包→输入文件名路径“\\IP\共享文件名\程序”
→选择“已指派”或“已发布”
I已指派:可以指派到用户和计算机,程序在“开始”菜单单中出现
II发布:只能发布给用户,出现在“控制面板”→“添加/删除程”中
②修复软件:在分发好的软件上,右击→所有任务→重新部署应用任务
③删除软件:在分发好的软件上,右击→所有任务→删除→“立即从用户和计算机卸载软件”(强制删除)或“允许用户继续使用软件,但禁止安装”(软件可用,出现问题时不能安装)
④升级:在分发好的软件上,右击→属性→升级→添加,选择要神经的软件包单→让后选择 “强制升级”(强制升到新版本)或“可选升级”(允许用户同时使用一个程序的两个版本)
