windows组策略管理.docx
- 文档编号:2877171
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:36
- 大小:1.20MB
windows组策略管理.docx
《windows组策略管理.docx》由会员分享,可在线阅读,更多相关《windows组策略管理.docx(36页珍藏版)》请在冰豆网上搜索。
windows组策略管理
Windows2008组策略管理
目录
Windows2008组策略管理1
一、导读1
二、组策略概述2
三、组策略基础架构2
1计算机配置部分3
2用户配置部分5
四、本地组策略和域组策略6
1.本地组策略6
2.域组策略7
五、组策略的管理和维护8
1.创建组策略8
2.链接组策略10
3组策略应用顺序11
4组策略的阻止和强制继承12
5组策略备份13
六、组策略应用场景举例15
1.应用组策略设置用户工作环境15
2.应用组策略配置高级安全Windows防火墙22
3.应用组策略实现软件部署26
4.应用组策略实现QoS带宽管理30
七、组策略管理控制台使用进阶36
1.使用策略结果分析策略应用情况36
2.使用组策略建模模拟策略应用结果39
八、参考资料43
一、导读
组策略的构成
组策略的生效规则及顺序
组策略在实际管理环境中的应用举例
检查策略结果
二、组策略概述
在WindowsServer2008和WindowsVista的环境中,组策略在功能特性都有了不少的扩大与加强。
目前已有了超过5000个设置,拥有更多的管理能力。
使组策略来简化IT环境管理,已成为用户必须了解的技术。
实际上组策略是一种让管理员集中计算机和用户的手段或方法。
组策略适用于众多方面的配置,如软件、安全性、IE、注册表等等。
在活动目录中利用组策略可以在站点、域、OU等对象上进行配置,以管理其中的计算机和用户对象,可以说组策略是活动目录的一个非常大的功能体现。
通过此章的学习,将让您更擅长、高效的管理组策略的设计、实施、应用和排错。
三、组策略基础架构
如图所示组策略分为两大部分:
计算机配置和用户配置。
每一个部分都有自己的独立性,因为他们配置的对象类型不同。
计算机帐户部分控制计算机帐户,同样用户配置部分控制用户帐户。
其中有部分配置在计算机部分拥有在用户部分也有同样的配置,他们是不会跨越执行的。
假设某个配置选项你希望计算机帐户启用、用户帐户也启用,那么就必须在计算机配置和用户配置部分都进行设置。
总之计算机配置下的设置仅对计算机对象生效,用户配置下的设置仅对用户对象生效。
1计算机配置部分
展开计算机配置部分你会看到如图
有三个主要的部分:
❶软件设置
这一部分相对简单,它可以让你实现MSI、ZAP等软件部署分发。
❷Windows设置
这一部分更复杂一些,包含很多子项,如图
子项都提供很多选择,账户策略能够对用户账户密码等进行管理控制;本地策略则提供了更多的控制如审核、用户权利、以及安全设置。
特别是安全设置包括了超过75个的策略配置项。
还有其它的地一些设置,如防火墙设置、无线网络设置、PKI设置、软件限制等等。
❸管理模板
这一部分使设置项最多的,包含各式各样的对计算机的配置。
如图
这里有五个主要的配置管理方向,Windows组件、打印机、控制面板、网络、系统。
其中包含了超过1250个设置选项,涵盖了一台计算的非常多的配置管理信息。
2用户配置部分
用户配置部分类似于计算机配置,主要不同在于这一部分配置的目标是用户账户的,而相对于用户账户而言会有更多对用户使用上的控制。
如图所示
这一部分同样也包含三大部分
❶软件设置
我们可以通过在这里配置实现针对用户进行软件部署分发。
❷Windows设置
这一部分就与计算机配置里的Windows设置有了很多的不同,如图
可以看到其中多了“远程安装服务”“”、“文件夹重定向”、“IE维护”等,而在安全设置中只有“公钥策略”和“软件限制”“。
❸管理模板
在这一部分展开后,你会发现比起计算机配置里的管理模板这里有更多的配置,如图:
用户部分的管理模板可以用来管理控制用户配置文件,而用户配置文件是可以影响用户对计算机使用体验,所以这里面出现了““开始菜单”“、”桌面“、”“任务栏”、“共享文件夹”等配置。
四、本地组策略和域组策略
1.本地组策略
Windows2000、windowsxp、windowsvista、windows2003、windows2008等等计算机都有且只有一份本地组策略。
本地组策略的设置都存储在各个计算机内部,不论该计算机是否属于某个域。
本地组策略包含的设置要少于非本地组策略的设置,像在“安全设置”上就没有域组策略那么多的配置,也不支持“文件夹重定向”和“软件安装”这些功能。
在任意一台非域控制器的计算机上编辑管理本地组策略步骤如下:
1)在开始菜单中运行,输入MMC
2)在MMC控制台点击“文件”“,再点击“添加删除管理单元”
3)在列表中选择“组策略对象编辑器”,并点击添加
4)在向导界面上默认出现“本地计算机策略“,点击完成,点击确定
5)展开“本地计算机策略“,展开”计算机配置“、”用户配置“
如图:
2.域组策略
与本地组策略的一机一策略不同,在域环境内可以有成百上千个组策略能够创建和存在于活动目录中。
并且能够通过活动目录这个集中控制技术实现整个计算机、用户网络的基于组策略的控制管理。
在活动目录中我们可以为站点、域、OU创建不同管理要求的组策略,而且允许每一个站点、域、OU能同时设施多套组策略。
我们可以使用windowsserver2008自带组策略管理工具来查看管理组策略,步骤如下:
1)开始菜单中点运行,输入gpmc.msc
2)在GPMC管理界面展开森林和域节点
3)在域节点展开组策略对象节点
这样就能看到如下图所示的组策略列表。
从上图的列表中,我们可以去创建更多的组策略,并且能够根据需求将组策略应用到相应的站点、域、OU去,实现对整个站点、整个域、或某个特定OU的计算机和用户的管理控制。
五、组策略的管理和维护
1.创建组策略
在域环境中已经有了一套默认的域组策略,我们可以通过对默认域策略进行配置,实现我们对全域里的计算机和用户管理配置。
但这不是一种好的做法。
通常我们需要进行配置管理时都将新建一套组策略来进行配置实现管理。
要新建立一个组策略步骤如下:
在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台
在组策略管理控制台,右键点选”组策略对象”,点“新建”
在新建GPO对话框输入要新建的组策略名称,一般推荐命名时体现该组策略将要实现的管理功能以及应用的范围,如下图“财务部门软件部署策略”,这样有利于将来对大量的组策略进行管理,甚至排错。
输入完成后点击确定,这样就创建好了,接下来就可以点选创建好的组策略进行编辑配置。
2.链接组策略
在我们建立好了一些新的组策略后,还需要将组策略与容器对象链接起来,以实现管理目的。
我们可以链接的容器有站点、域和OU,通过对不同的容器进行链接,可以达到对管理范围的控制。
比如我们只需要对Sales部门的计算机或用户进行一些基于组策略的管理配置,那么我们就可以将某个新建立的组策略与Sales部门的OU进行链接。
链接组策略步骤如下:
在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台,在控制台上选择好需要链接策略站点、域或者OU,右键后选择“链接现有GPO”,下图以财务部OU链接“财务部门软件部署策略”组策略为例。
3组策略应用顺序
组策略由于应用范围划分可以分为站点级别组策略、域级别组策略、OU级别组策略以及本地计算机策略。
对于一台客户端一定是属于某一个站点、某一个域、某一个OU的,那么各个级别的组策略客户端都将应用,它们的应用生效的顺序是最接近目标计算机的组策略优先于组织结构中更远一点的组策略。
如下图:
该顺序意味着首先会处理本地组策略,最后处理链接到计算机或用户直接所属的组织单位的组策略,后处理的组策略会覆盖先处理的组策略中有冲突的设置。
(如果不存在冲突,则只是将之前的设置和之后的设置进行结合。
)
4组策略的阻止和强制继承
从上一节我们了解到的组策略应用顺序,其实就是一个默认继承的规则。
在域内次一级的容器会默认继承使用上一级的容器链接的组策略。
假设在域策略中我们设置了用户不允许更改桌面的策略配置,那么该域内的财务部门OU中的用户默认情况下都会应用该策略配置。
但是我们可以根据实际应用需求去人为的干预默认的继承规则,可以阻止或强制继承。
阻止继承:
在“组策略管理”控制台中,右键选择要不继承上一级容器组策略的容器,选择阻止。
如图:
强制继承:
在实际应用中有时我们需要上一级容器的组策略配置被应用到子容器中去,并且要求在冲突时不被子容器的策略覆盖,我们这时就可以使用强制继承。
同样在“组策略管理控制台”上,右键点选上一级的组策略对象,然后选择“强制”,如图:
5组策略备份
打开组策略管理控制台,在控制台树中,展开“组策略对象”。
要备份单个GPO,右键单击该GPO,然后单击“备份”。
要备份域中的所有GPO,右键单击“组策略对象”,然后单击“全部备份”。
在“备份组策略对象”对话框中,输入您想保存备份的路径到“位置”框,或单击“浏览”定位到您想保存备份的文件夹,然后单击“确定”。
在“描述”框中,输入您要备份的的描述,然后单击“备份”。
操作完成后,单击“确定”。
六、组策略应用场景举例
1.应用组策略设置用户工作环境
在这类场景中我们假定要对整个域内的用户工作环境做一些统一的设定,因此新建了一套组策略“全域用户工作环境策略”并链接到了域级别容器上,而后开逐项配置(好的做法是在逐项配置完成后再链接到相应容器),如图:
应用组策略来设定工作环境的配置项非常之多,在本节我们以四个场景为例:
场景1
实现“我的文档”文件夹重定向,确保用户在网络中任意节点登陆,都可访问各自的数据,且确保不因为客户端故障导致“我的文档”中文件丢失。
步骤1:
在域内文件服务器上新建一个共享文件夹,并赋予此文件所有用户都有通过网络访问的读写权限。
这里假定共享文件夹的访问路径为:
\\FileServer\docroot
步骤2:
打开编辑“全域用户工作环境策略”,定位到“用户配置”—“文件夹重定向”—“文档”,右键选择属性,如图:
步骤3:
进行属性配置编辑,如下图:
步骤4:
设置完成,对客户端测试,本书略。
场景2
控制客户端显示统一桌面壁纸设定,实现企业工作环境统一的VI形象。
步骤1:
打开编辑“全域用户工作环境策略”,定位到“用户配置”—“管理模板”—“桌面”,如图:
步骤2:
设定统一的桌面墙纸文件,双击上图中右边“桌面墙纸”,进行配置,如下图:
步骤3:
设定用户不能自行修改桌面,双击“桌面墙纸”之上的配置项“不允许更改”进行启用配置。
如图:
步骤4:
配置完成,对客户端进行测试,本书略。
场景3
实现客户端驱动器不自动播放,有时由于光驱的自动播放文件不好读取时会导致系统资源占用甚至死机,还有些时候只是系统刚认到一个U盘就让机器中毒了,这些现象全都可以通过禁止驱动器自动播放的策略得到终结。
步骤1:
打开编辑“全域用户工作环境策略”,定位到“用户配置”—“管理模板”—“windows组件”—“自动播放策略”
步骤2:
在右边工作区双击“关闭自动播放”进行配置,如图:
场景4
限制移动磁盘使用加强企业文件安全性。
这项功能比起在windows2003中用组策略实现来说,windows2008实现起来就简单太多了。
步骤1:
打开编辑“全域用户工作环境策略”,定位到“用户配置”—“管理模板”—“系统”—“可移动存储访问”
步骤2:
在右边工作区选择相应需求的配置进行启用设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- windows 策略 管理