第6章组策略的管理 第6章组策略的管理 61组策略 62组策略的设置 63软件设置
第6章 组策略的管理 上一页 下一页 返回本章首页 第6章 组策略的管理 6.1组策略 6.2组策略的设置 6.3软件设置 上一章 返回目录
第6章组策略的管理 内容提要: 组策略的概念、应用顺序 组策略的作用和定义组策略的要求 设置、管理、测试、优化组策略 Windows200中组策略引入模板策略、访问 组策略 Windows2000中创建需要的组策略模板 Windows2000中桌面、任务栏、I设置、计 算机和用户的安全设置等实际操作 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 内容提要: ➢ 组策略的概念、应用顺序 ➢ 组策略的作用和定义组策略的要求 ➢ 设置、管理、测试、优化组策略 ➢ Windows 2000中组策略引入模板策略、访问 组策略 ➢ Windows 2000中创建需要的组策略模板 ➢ Windows 2000中桌面、任务栏、IE设置、计 算机和用户的安全设置等实际操作
第6章组策略的管理 6.1组策略 61.1组策略概述 6.1.2引入模板策略 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1组策略 6.1.1组策略概述 6.1.2引入模板策略
第6章组策略的管理 6.1.1组策略概述 1.组策略概念 组策略是管理员为计算机和用户定义的,用 来控制应用程序和管理模板的一种机制。可以这 样理解:组策略是介于控制面板和注册表之间的 种修改系统、设置程序的工具。 (1)组策略的应用顺序与规则 (2)阻止策略的继承 (3)强迫继承策略 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 1. 组策略概念 组策略是管理员为计算机和用户定义的,用 来控制应用程序和管理模板的一种机制。可以这 样理解:组策略是介于控制面板和注册表之间的 一种修改系统、设置程序的工具。 (1)组策略的应用顺序与规则 (2)阻止策略的继承 (3)强迫继承策略
第6章组策略的管理 6.1.1组策略概述 2.组策略的作用 3.组策略的版本 4.使用“组策略”管理单元可进行的策略设置 (1)基于注册表的策略。包括 Windows2000操 作系统及其组件以及应用程序的组策略。要管理这些设 置,可以使用“组策略”管理单元的【管理模板】节点。 (2)安全性选项。包括针对本地计算机、域和网 络安全设置的选项。 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 2. 组策略的作用 3. 组策略的版本 4. 使用“组策略”管理单元可进行的策略设置 (1)基于注册表的策略。包括 Windows 2000 操 作系统及其组件以及应用程序的组策略。要管理这些设 置,可以使用“组策略”管理单元的【管理模板】节点。 (2)安全性选项。包括针对本地计算机、域和网 络安全设置的选项
第6章组策略的管理 6.1.1组策略概述 (3)软件安装和维护选项。用来集中管理应用程 序的安装、更新和删除。 (4)脚本选项。包括用于计算机启动和关闭,以 及用户登录和注销的脚本。 (5)文件夹重定向选项。允许将用户的特殊文件 夹重定向到网络。 5.定义组策略要求 (1)要确定所需策略设置的类型。 (2)确定目录中哪些类型的对象(用户,计算机) 将应用这些设置。 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 (3)软件安装和维护选项。用来集中管理应用程 序的安装、更新和删除。 (4)脚本选项。包括用于计算机启动和关闭,以 及用户登录和注销的脚本。 (5)文件夹重定向选项。允许将用户的特殊文件 夹重定向到网络。 5. 定义组策略要求 (1)要确定所需策略设置的类型。 (2)确定目录中哪些类型的对象(用户,计算机) 将应用这些设置
第6章组策略的管理 表6-1组策略要求示例 工作站 用户 域控制器 服务器 密码、账 用户权限 EFS策 用户权限 Kerberos策 和事件日志 有核和事件 本地设置 应用程序部 必需的核心发布可选应管理工具 管理工具 应用程序 计算机设置 启动脚本 磁盘配额 打印机删除 登录、磁盘 用户设置 登录脚本、 (环回)禁 (环回)禁 用标准用户 用标准用户 置、RAS、文 件夹重定向 桌面锁住 网络系统 应用程序设 Office2000、 待发布的内 部应用程序 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 域 工作站 用户 域控制器 服务器 安全性 密 码、账 户 、 Kerberos 策 略、PK 信任 列表 用户权限、 文件和注册 表ACL、审核 和 事 件日 志、 本地设置 EFS 策略 用户权限 、 文件和注册 表、 ACL 、 审核和事件 日志、本地 设置 用户权限 、 文件和注册 表、 ACL 、 审核和事件 日志 、本地 设置 应用程序部 署 必需的核心 应用程序 发布可选应 用程序和组 件 管理工具 管理工具 计算机设置 启动脚本、 登录、磁盘 配 额 、 脱 机 文件 磁盘配额 打印机删除 用户设置 登录脚本 、 Internet Explorer 设 置、RAS、文 件夹重定向 、 桌面锁住 、 网络系统 (环 回 ) 禁 用标准用户 、 桌面设置 (环 回 ) 禁 用标准用户 、 桌面设置 应用程序设 置 Office 2000、 待发布的内 部应用程序 表6-1 组策略要求示例
第6章组策略的管理 6.1.1组策略概述 (3)产生的组策略对象列表 6.确定设置的作用域 (1)各目标对象(如计算机、用户或域)的设置对 组织中的所有对象是否通用的?或者说,这些对象中不同 的分组是否需要应用不同的设置? (2)组策略作用域另一个需考虑的方面是,某一特 定的设置组是否需要对所有从属容器强制实施,或者相反, 是否需要阻止某些设置的继承。在后面的【管理组策略】 节讨论这一问题。 7.验证 Active Directory域/OU设计 (1)需要考虑下面几个问题: 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 (3)产生的组策略对象列表 6. 确定设置的作用域 (1)各目标对象(如计算机、用户或域)的设置对 组织中的所有对象是否通用的?或者说,这些对象中不同 的分组是否需要应用不同的设置? (2)组策略作用域另一个需考虑的方面是,某一特 定的设置组是否需要对所有从属容器强制实施,或者相反, 是否需要阻止某些设置的继承。在后面的【管理组策略】 一节讨论这一问题。 7. 验证 Active Directory 域/OU 设计 (1)需要考虑下面几个问题:
第6章组策略的管理 6.1.1组策略概述 ①域设计能否支持组策略的有效使用和管理?如不能,需做何 更改? ②【 Active Directory网络和委派】要求与【组策略】要求之间 有何冲突?为消除目录结构与GPO要求之间的冲突,往往需要用安 全组来筛选GPO。 ⑧组策略不能跨域继承,也不能从一个域复制到另一个域。一 个域中的GPO可以从另一个域中链接,但在此特定的域模型中,这 样做会使性能大大降低(因为GPO将通过洲际WAN链路加载) ④拟设计的OU结构可能不能与GPO的作用域很好地对应。 例如,用户对象OU可能按地理位置组织以符合地区管理委派结构, 而策略则需要按部门或业务单位来应用。解决办法是,在一个更高的 级别应用组策略对象并使用安全组(与要求的业务单位结构匹配)来 筛选这些GPO。 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 ① 域设计能否支持组策略的有效使用和管理?如不能,需做何 更改? ②【Active Directory 网络和委派】要求与【组策略】要求之间 有何冲突?为消除目录结构与 GPO 要求之间的冲突,往往需要用安 全组来筛选GPO。 ③ 组策略不能跨域继承,也不能从一个域复制到另一个域。一 个域中的 GPO 可以从另一个域中链接,但在此特定的域模型中,这 样做会使性能大大降低(因为GPO 将通过洲际WAN 链路加载)。 ④ 拟设计的 OU 结构可能不能与 GPO 的作用域很好地对应。 例如,用户对象 OU 可能按地理位置组织以符合地区管理委派结构, 而策略则需要按部门或业务单位来应用。解决办法是,在一个更高的 级别应用组策略对象并使用安全组(与要求的业务单位结构匹配)来 筛选这些GPO
第6章组策略的管理 6.1.1组策略概述 (2)组策略对象的更改 (3)GP0筛选安全组 以下列举了两个一般类型的GP0筛选安全组 冷每部门用户/应用程序GPO组 服务器类型GPO组 8.管理组策略 (1)管理结构影响GPO结构。例如,尽管安全设置与其他工 作站设置有相同的作用域,但控制它们的管理组可能不同。这可能要 求对单个GP0拆分。 (2)应用到【组策略】对象的访问控制列表(ACL)应反映出 应由谁来管理这些对象。类似地,所有域和OU上的ACL应限制谁 可以将GP0链接到这些容器。 遍嘴顶
第6章 组策略的管理 上一页 下一页 返回本章首页 6.1.1组策略概述 (2)组策略对象的更改 (3)GPO 筛选安全组 以下列举了两个一般类型的 GPO 筛选安全组: ❖ 每部门用户/应用程序 GPO 组 ❖ 服务器类型GPO 组 8. 管理组策略 (1)管理结构影响 GPO 结构。例如,尽管安全设置与其他工 作站设置有相同的作用域,但控制它们的管理组可能不同。这可能要 求对单个 GPO 拆分。 (2)应用到【组策略】对象的访问控制列表 (ACL) 应反映出 应由谁来管理这些对象。类似地,所有域和 OU 上的 ACL 应限制谁 可以将 GPO 链接到这些容器