系列文章链接如下:(点击名字即可进入)
1.企业网络批量安装服务器搭建案例
2.企业部署Windows域实验案例
3.企业域控DC管理案例
4.企业Windows域环境中的组策略应用案例一
5.企业Windows域环境中的组策略应用案例二
6.企业Windows服务器备份和灾难恢复案例
7.企业Windows服务器使用命令行完成备份和灾难恢复案例
8.企业活动目录AD升级案例
------------------------------------------------------------------
前言:
通过在每一台客户机上配置本地安全策略,可以加强工作组中计算机的安全性。在域环境中,如果要对多台客户机进行同样的安全设置,是否需要在每一台计算机是上单独配置呢?答案是否定的,可以通过组策略对多台客户机进行统一配置。本篇博文通过两个案例的实施,介绍组策略的作用,如何创建组策略,组策略的应用顺序,配置组策略的继承、阻止继承、强制生效和筛选等功能,最后介绍通过组策略完成软件的分发。
---------------------------------------------------------------------
本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施。
---------------------------------------------------------------------
组策略简介:
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗来说,它是介于控制面板和注册表之间的一种修改系统、设置程序的工具。利用组策略可以修改Windows系统的桌面、开始菜单、IE浏览器以及其他组件等许多设置。
通过在域中实施组策略,管理员可以很方便的管理 Active Directory 中的所有用户和计算机的工作环境,如用户桌面环境,计算机启动/关机与用户登录/注销时执行的脚本文件、软件安装、安全设置等,大大提高了管理员管理和控制用户和计算机的能力。
使用组策略带来的几点好处:
1)减少管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置。
2)减少用户单独配置错误的可能。
3)可以针对特定对象(用户和计算机)实施特定策略。
-------------------------------------------------------------------------------
案例环境一: 组策略应用
某公司网络采用Windows Server 2008域环境进行管理,各部门员工用户账户都位于各自部门的OU中,OU“销售部”中包含员工用户账户UserA、UserB,OU“财务部”中包含用户账户UserC,OU“人事部”中包含用户UserD,默认OU“computer”中包含客户机Windows7。现在公司要求销售部员工应用统一的桌面背景,不能随意更改,其他各部门员工可以自定义其桌面背景。
案例描述:
1)在OU“销售部”下新建GPO“wallpaper_sales”。
2)对GPO“wallpaper_sales”进行设置,为销售部员工设置统一桌面。
预备知识:
组策略的所有配置信息都存放在GPO(Group Policy Object,组策略对象)中,组策略被视为Active Directory中的一种特殊对象,可以将GPO和活动目录的容器(站点、域和OU)连接起来,以影响容器中的用户和计算机。组策略是通过组策略对象来进行管理的。
默认组策略:
当Windows Server 2008 域创建完成时,默认有两个GPO。一个是Default Domain Policy(默认域策略),另一个是Default Domain Controller Policy(默认域控制器策略),查看这两个GPO的方法:在“开始”-“管理工具”中打开“组策略管理”控制台(或者在“开始”-“运行”中输入gpmc.msc打开“组策略管理”控制台)。展开左侧窗口中的各个节点,找到“组策略对象”,打开后就可以看到这两个默认的GPO,如下图所示:
GPO链接:
GPO用来保存组策略,必须进一步指定GPO所链接的对象才能将组策略应用到指定对象。GPO只能链接至Active Directory的站点、域或组织单位。此站点、域和组织单位,统称为SDOU(Site、Domain、Organizational Unit),即为活动目录的容器,容器中包含的用户和计算机这两种活动目录对象会受到组策略的控制。
单击组策略对象中的“Default Domain Controllers Policy”,在右侧窗口中可以看到该GPO已经链接到了组织单位“Domain Controllers”,如下图所示:
单击组策略对象的“Default Domain Policy”,在右侧窗口中可以看到该GPO已经链接到了域(此处为yye1.com)。如下图所示:
组策略中包含计算机和用户配置。计算机配置对容器中的计算机起作用,用户配置则对容器中的用户起作用。
案例实施:
1)准备域控制器和客户机。
1.正确配置各主机的网络参数,确保从客户端能正确登录yye1.com。
(具体步骤请参考我的前两篇博文:1.“企业部署Windows域实验案例”2.“企业域控DC管理案例”)
2.准备一张图片“wallpaper_sales.jpg”,充当统一的桌面背景。 (自恋一下,拿张自己的照片,哈哈)
3.将上面的图片放置在域控制器DC01的共享文件夹wallpaper中,域用户对该文件夹拥有读取权限。
共享权限+NTFS权限设置即可
2)在OU“销售部”上新建GPO并对其编辑。
1.在OU“销售部”上新建GPO,名为“wallpaper_sales”。
2.编辑GPO“wallpaper_sales”,设置应用墙纸“wallpaper_sales.jpg”。
3)验证结果。
1.使用用户账户UserA或UserB登录域,应用的是统一的桌面背景。(使用Windows的桌面个性化是修改不鸟桌面的)
2.使用用户帐户UserC或UserC登录域,应用的是自定义桌面背景。
通过个性化可以任意更改桌面。
如果组策略未生效,可以分别在域控制器和客户机上运行“gpupdate /force”命令刷新组策略。
案例环境二:组策略的应用规则
企业Windows域环境中的组策略应用案例二http://minitoo.blog.51cto.com/4201040/840003