win2003-组策略-106

Windows 2003 组策略的配置
组策略需要部署在AD的环境下
组策略的功能:
1.    集中化管理
2.    管理用户环境
3.    降低管理用户的开销
4.    强制执行企业策略
站点:公司地理位置分部在多个区域可以划分站点
组策略只可以给站点,域,ou链接实现各种需要的功能。

组策略(group policy object):
组策略容器group policy container(存储在ad中,保存版本信息);
组策略模板group policy template(存储在sysvol文件夹中,保存组策略的设置)

组策略设置:
计算机策略:针对计算机,设置好后重启生效。
用户策略:针对用户的,设置好后注销账户再次登录生效。

组策略的继承关系:
当子容器内的某个策略被配置时,此策略值就会覆盖由其父容器所传递下来的配置值。也就是系统处理GPO 的顺序是站点GPO、域GPO、 OU 的GPO。

1.    Ou默认继承域或父ou的组策略
2.    组策略可以设置强制其他ou继承
 


106-1
3.ou可以阻止继承域或者父ou的继承
 


106-2
4.通过委派用户可以拒绝继承组策略
 


106-3

组策略的编辑:
 


106-4
继承顺序先是计算机配置,再是用户的配置。
1.    管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。
默认的admin.adm管理模板即保存在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”
2.脚本
通过脚本实现用户的登陆和注销,计算机的关机和重启等。
Eg:创建test.vbs
Msgbox “test!”
3.    文件夹重定向
1)创建共享文件夹设置最大权限
2)组策略文件夹重定向
3)Cmd下刷新组策略
\>Gpupdate /force
重定向的文件夹只要所有者可以使用,其他人没有权限。
4.    软件设置
软件安装:可以做软件分发,升级软件,安装,卸载,打补丁等。
5.Wmi筛选器:查询客户端的硬件的查询信息。
6.软件限制策略:(优先级是降序排列)
1).哈希规则:用文件的md5和sha做比对。
2).证书规则
3).路径规则:客户端安装到别的路径将会限制不了
4).Internet区域规则
也可以使用组策略管理软件(微软免费的):官方下载—安装—cmd—gpmc.esc
 

你可能感兴趣的:(职场,休闲,ad)