当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。
下面各例用于学习GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。(以下各例都在组策略管理工具中完成,在上一课已经安装了GPMC.MSI这个组策略管理工具)
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第1张图片
一、 强制实现域中所有用户使用统一桌面背景。
1. 实现这一策略如下图:先建立一个统一桌面背景的GPO,把它链接到域,并设置这个GPO为强制。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第2张图片
2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第3张图片
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第4张图片
图片的UNC路径是:\\Jame\公用共享\背景.jpg。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第5张图片
3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第6张图片
4. 取一个组策略名
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第7张图片
5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第8张图片
6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第9张图片
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第10张图片
在右侧窗口,双击“Active Desktop墙纸”并如下设置。(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用UNC路径)
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第11张图片
7. 把“统一背景”这个GPO链接到域:对域右击,选“链接现有GPO”。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第12张图片
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第13张图片
对统一背景GPO右击,设置“强制”, 使此GPO的组策略继承是强制继承,不能被阻止继承
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第14张图片
8. 用域用户Kaka登陆域测试一下,背景已经有图片,表示部署成功。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第15张图片
二、 除了域管理员和委派管理员外所有域用户禁用控制面板。
1. 本例实现的GPO链接示意图
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第16张图片
2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第17张图片
对“禁用控制面板”GPO进行编辑。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第18张图片
如下设置启用“禁止访问控制面板”。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第19张图片
在域上“链接现有GPO”到“禁用控制面板”。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第20张图片
排除“禁用控制面板” GPO 对系统管理员、委派管理员( administrator kaka jo leo )的该策略应用:先在“组策略对象”下对“禁用控制面板”单击,在右侧出现细节,在其“作用域”的“安全筛选”中单击“添加”,加入administrator、kaka、jo、leo这几个用户。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第21张图片
单击“委派”选项卡下的“高级”按钮,打开“禁用控制面板”的安全设置,在“组或用户名称”中依次单击上面的四个用户,在下面的权限:“应用组策略”拒绝中钩选,使这四个用户拒绝应用“禁用控制面板”策略。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第22张图片
下面四个用户的“允许权限”项为“自定义”表示修改过。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第23张图片
3. 使用域用户 boen 登陆已经没有控制面板了
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第24张图片
4. 使用域委派管理员kaka登陆,仍有控制面板。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第25张图片
三、 使用登陆脚本发布域中所有用户把“ N :”驱动器映射到文件服务器的共享文件夹中。
1. 本例实现的GPO链接示意图
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第26张图片
2. 设置“共享文件夹”为所有用户完全控制(包括非域中用户):在共享和安全选项卡中设置Everyone为完全控制。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第27张图片
这一个设置安全性比较高,仅通过域验证过的域用户才能完全控制这个文件夹:在共享和安全选项卡中设置Authenticated Users(验证用户组)为完全控制。 本例使用这一个来设置完全共享。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第28张图片
3. 在已经只读共享的“公用共享”文件夹中新建一个txt文本文件。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第29张图片
把它改名,扩展名必须是VBS文件类型。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第30张图片
然后对它右键单击,选菜单中的“编辑”,输入下面内容,再保存。
Set objNetwork = Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive "N:", "\\jame\共享文件夹"
msgbox "共享文件夹映射为N盘成功!"
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第31张图片
4. 在组策略对象中新建一个“登陆脚本:映射N盘”GPO,并进入“编辑”状态。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第32张图片
在用户配置→Windows设置→脚本(登陆/注销)的右侧,双击“登录”进入设置。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第33张图片
选择“添加”按钮,在弹出对话框的“脚本名”中输入脚本的UNC路径,也可以单击“浏览”,在网上邻居中找它的共享路径。(注意:一定不能是本地路径,不然在网络中其它电脑登陆时执行脚本不能访问这个文件。)
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第34张图片
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第35张图片
在域中其他电脑上用一个用户登陆,验证下,弹出msgbox中输入的提示信息,表示设置成功。
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第36张图片
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第37张图片
(未完待续)