组策略ABC(推荐AD管理者)

□ 组策略
  在WIN2000中,除了用户工作环境与计算机环境的设置外,组策略还提供了很强大的功能。列举组策略中的部分功能。
A、帐户策略的设置
B、本地策略的设置
C、脚本设置
D、用户工作环境的设置
E、软件的安装与删除。
F、文件夹的重定向。
□ 组策略概述
  组策略可以针对站点、域和组织单位设置组策略。这些组策略存储在        x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。
组策略分“计算机配置”与“用户配置”两部分。
A、计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。
B、用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境
注:本地组策略:存储在X:\WINNT\system32\GroupPolicy目录内。
一、组策略的应用顺序与规则:
不同组策略的应用顺序与规则:
1、本地组策略:
2、站点组策略:
3、域组策略:
4、组织单位的组策略:
默认,后应用的策略将覆盖以前的应用的策略。具体说明如下:
1、如果在高层容器内建立了一个组策略,但是并未在低层容器建立组策略,则低层容器会继承在高层容器内所建立的组策略。
2、如果另外在低层容器内建立了组策略,则低的组策略则要取代高层的组策略。
3、如果父容器未被设置组策略,则低层组策略则不会继承父层组策略。
4、如果父容器设置组策略,但是子容器内的组策略并未为设置。则会继承父组策略
二、阻止策略的继承
可以在子容器组策略内,通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容顺的组策略为其设置。
三、强迫继承策略。
可以在父容器的组策略内,通过:“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。
□ 组策略的对象
  设置组策略设置的途径:
根据不同的计算机,可以在以下几位置的。“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。(均在“管理工具”内)。
以下利用“活动目录用户和计算机”来设置组策略。
开始――程序――管理工具――活动目录用户和计算机――选中“domain  controllers”单击鼠标右键――属性――组策略(GPO)。
一、更改组策略
让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。设置步骤:
1、开始――程序――管理工具――活动目录用户和计算机――选中“DOMAIN     CONTROLLERS”单击鼠标右键――属性――组策略。
2、请选定“default domain controllers policy”,然后单击“编辑”。
3、出现“组策略”窗口――计算机配置――WIN设置――安全设置――本地策略――用户权利指派――双击右则的“在本地登录”。
4、出现“安全策略设置”对话框――单击增加――将DOMAIN USERS增加到组内。
二、测试“在本地登录”设置是否正常。
由于改建立的组策略不能马上生效,必须利用以下三种之一来达到目的。
1、在“在命令提示符”下。输入secedit refreshpolicy machine_policy。让计算机配置生效,或是用户配置文件:则将machine_policy改为user_policy.即可。
2、将此计算机重启。
3、等待此策略应用到计算机内。
三、新建一个用户,测试一下,能否在本地登录。
□ 管理模板策略的设置
  通过以下范例来设置管理模策略
1、 隐藏用户桌面的“网上邻居”图标。
2、将“开始”菜单中的“运行”“帮助”等命令删除。
3、 在“开始”菜单中添加“注销”的功能。
一、建立练习时所需的组织单位与用户帐户。
1、建立一个组织单位taiwan.。
2、在TAIWAN组织单位内新建一用户帐户TONY。
3、在TAIWAN组织单位内新建一个组织单位SALES。
4、在SALES组织单位内新建一个用户帐户SCOTT。
二、设置与测试组策略的功能。
在TAIWAN组织单位内建立一GPO,然后利用TAIWAN组织单位的用户TONY登录,测试   GPO是否有效。然后再利用下一层的SALES组织单位内的用户SCOTT测试,是否继承   TAIWAN的GPO设置。
A、在TAIWAN组织单位内建立一个GPO,名称为taiwan policy.。
1、利用ADMINISTRATOR帐户登录。
2、开始――程序――管理工具――活动目录用户和计算机――双击域名――     TAIWAN组织单位――属性――组策略――新建GP0,命名taiwan policy。
B、更改TAIWAN POLICY设置
1、选中“TAIWAN POLICY”――单选“编辑”。
2、用户配置――管理模板――任务栏和‘开始’菜单。
3、双击右则“从‘开始’菜单删除‘帮助‘命令。”
4、出现属性对话框――启用。
5、确定,完成设置。
C、测试TONY帐户,以及SCOTT帐户是否继承了TAIWAN POLICY组策略。
三、测试组策略的替代功能
在TAIWAN组织单位的下一层组织单位建立一个GPO,然后设置如下:将
将从“‘开始’菜单删除‘帮助‘命令。”命令禁用。
A、在SALES组织单位内建立一个新GPO
1、利用ADMINISTRATOR帐户登录。
2、开始――程序――管理工具――活动目录用户和计算机――双击域名――在    TAIWAN下的SALES组织单位单鼠标右键――属性――组策略――新建(命名:     tainwan-sale policy)――编辑。
3、 出现“组策略”窗口――用户配置――管理模板――任务栏和‘开始’菜单
4、 双击右则的“从‘开始’菜单删除‘帮助‘命令。”――禁用――确定,设置完成。
5、进行测试并与上次的测试结果进行比较。
四、在子容器的GPO内,若些些策略被设置为“未被配置”,则子容器内的这些设置将继承父容器内的设置。但是却可以在子容器的GPO内,通过“阻止策略继承”复选框。将子容器的GPO设置为不要继承父容器的设置。
五、强迫继承组策略
可以在父容器内。设置强迫其所有的子容器必须继承父容器的GPO设置。那就是父容器的”禁止替代“功能。
□ 帐户策略设置
  帐户策略设置的注意事项:
A、若针对域设置的帐户策略,则这个策略会应用到域内的所有计算机。
B、若针对某个组织单位设置帐户策略,是这个策略只会应用到这个组织单位内的计算机而已。
设置帐户策略的步骤:
“活动目录用户和计算机”(域或组织单位)上鼠标右键――属性――组策略――选定GPO――编辑――计算机配置――WIN设置――安全设置――帐户策略。以下针对“密码策略”和“帐户锁定策略”。常用项进行说明。
一、密码策略常用项的说明:
A、密码最长存留期:设置用户密码最长的使用期限。
B、密码最短存留期:设置用户密码最短的使用期限。
C、密码最长度最小值:设置用户密码时,密码的最少需要几个字符。
D、强制密码历史:设置是否要记录用户以前所使用过的密码,以便在设置新密码的时,是否可以设置以前使用过的密码。
E、不保留密码历史。在设置新密码时,可以设置以前使用过的密码。
F、保留密码历史。在设置新密码时,保留密码是不能做为新密码使用的。
二、帐户锁定策略
A、帐户锁定阈值:设置用户登录几次失败后,将该用户锁定。
B、帐户锁定时间:用户在锁定多久时间后。自动解锁。
C、复位帐户锁定计数器:锁定计数器开始是0,用户登录失败则是加1,用户成功则为0,若锁定计数器值等于帐户锁定阈值,帐户就会被锁定。
□ 本地策略的设置
  本地策略设置包括:审核策略、用户权利指派策略、安全选项策略。
一、用户权利指派策略
1、设置步骤:活动目录用户和计算机”(域或组织单位)上鼠标右键――属性――组策略――选定GPO――编辑――计算机配置――WIN设置――安全设置――本地策略――用户权利指派:有以下权利:
A、在本地登录:允许用户在本台计算机上按CTRL+DEL+ALT键登录。
B、域中增加工作:允许用户将WINNT/WIN2000计算机加入到域内。
C、关闭系统:允许用户关闭此计算机。
D、以网络访问此计算机:
E、从远端计算机来关闭此台计算机。
F、备份文件和目录。
G、还原文件和目录。
H、管理审核和安全日志。
I、更改系统的时间。
J、装载和卸载设备驱动程序。
K、取得文件或其他对象的所有权。
二、安全选项策略
A、登录屏幕上不要显示上次登录的用户名。
B、允许在未登陆前关机。
C、在密码到期前提示用户更改用户密码。
D、禁用CTRL+ALT+DEL进行登录的设置
E、用户试图登录时消息文字与用户试图登录时的消息标题。
□ 登录/注销、启动/关闭脚本
  登录脚本:是针对一个用户设置的,也就是若某个用户被指派了登录了登录脚本。则当其登录时,此脚本就会自动被执行。
一、登录/注销脚本的设置
用记事本编写登录和注销脚本:
登录脚本:名称:logon.vbs 文件内容:wscripts echo “ welcome to windows   2000 ,this is a logon script test”
注销脚本:名称:logoff.vbs 文件内容:wscrpts echo “Goodbye,this a logoff   scripts test”
设置步骤:
1、“活动目录用户和计算机”鼠标右键――属性――组策略――选定GPO――编辑――用户配置――WIN配置――脚本(登录注销)――登录
2、出现显示脚本文件对话框。
3、请先将你编辑好的logon.vbs复制到以下目录内:
%systemroot%\SYSVOL\sysvol\域名\policies\{GUID}\USER\SCRIPTS\logon
GUID,不同的GPO有不同的GUID号。每个GUID是唯一的。
4、在步骤2出的对话框中――单击“添加”将logon.vbs添加进入――确定。
5、再用相似的方法来添加注销的脚本:logoff.vbs.
6、如果说GPO是针对域设置的,则对域内的每个用户都起作用。即登录时都会出现脚本。若是仅对某个组织单位设置,则那个被设置的组织单位的用户会出现脚本。
7、创建用户,测试脚本的有效必性。
二、启动/关闭脚本的设置。
编辑好启动与关闭脚本:
启动脚本:文件名称:startup.vbs 文件内容:wscript echo “welcome to     windows 2000 ,this is a startup script test”
关闭脚本:文件名称:shutdown.vbs 文件内容:wscript echo “goodbye. This is a script test”
设置启动/关闭脚本的步骤:
1、“活动目录用户和计算机”鼠标右键――属性――组策略――选定GPO――编辑――计算机配置――WIN配置――脚本(启动/关闭)――启动
2、出现选择“启动脚本文件”对话框。
1、 将我们所做的启动脚本文件得到:%systemroot%\SYSVOL\sysvol\域       \policies\{GUID}\MACHINE\SCRIPTS\startup。
4、回到步骤2时出现的添加文件的对话框,单击“增加”按钮。浏览选择      startup.vbs文件。
5、用类似的方法增加关闭脚本文件。Shutdown.vbs
6、完成设置后,如果这个GPO策略是针对域设置的,若对域内的用户都会起作用的。如果
这个GPO是针对组织单位设置的,则会这所设置的组织单位起作用的。
□ 部署应用程序
  通过组策略可以为用户和计算机来部署应用程序。这也就是说
A、将应用程序分布给用户。当某个应用程序通过GPO被发布给用户后。用户可以自行增加/删除应用程序。
B、将应用程序指派给用户或计算机:当某个应用程序通过组策略的GPO被反映派给用户后,则用户在登录时,这个应用程序就会被“广告”给用户,但这个应用程序并不真正安装,只是提供了一些安装信息,等你应用时才会安装。如果是指派给计算机了。计算机在启动时,就会自动安装应用程序。
C、自动修复应用程序。一个被发布或指派的应用程序。当应用程序受到破坏时,当用户登录或计算机重启时,会自动修复的。
D、删除用户应用程序:一个被发布或指派的应用程序,在用户安装完成后,若不想再让用户使用此应用程序,只要将应用程序从GPO内删除即可。
一、发布应用程序
建立安装WINDOWS安装程序包的文件夹
1、请在任何一台服务器上内建立一个文件夹,例如:C:\packages,这个文件夹是要用来存储应用程序的。
2、将此文件夹设置为共享,并给一个共享名。因为网络上的用户必须UNC路径来访问,所以要设置共享。
3、将应用程序复制到共享文件夹内。
设置默认程序包位置
4、“活动目录用户和计算机”――域名――属性――组策略――选定GPO――编辑――用户配置――软件设置――软件安装。
5、“软件安装”――属性。
6、出现“默认程序包位置”输入框。在此处输入:应用程序的存储位置,注意是UNC路径。\\计算机名\共享文件夹。――确定。
发布应用程序
7、回到“软件安装“――新建――“程序包”。
8、请选择用于练习的安装程序包――单击“打开”。
9、请选择“已发行”――确定。
安装被发布的应用程序
1、利用域用户或组织单位用户来登录
2、开始――设置――控制面板――“添加/删除程序”。
3、添加新程序――从网络添加程序(就会显示出已经发布的应用程序)。
4、选择要安装的应用程序――单击“添加”――就会安装此应用程序。
测试自动修复应用程序功能
1、请找到应用程序的安装位置。
2、删除此应用程序的安装文件夹。
3、以应用程序发布用户重新登录。
4、运行删除的应用程序,会发现系统会自动重新再安装应用程序。
二、给用户指派应用程序。
给用户指派应用程序与给用户分布应用程序的方法基本一致
1、在一台服务器上建立一个共享文件夹。
2、设置默认程序包位置
3、给用户指派应用程序,在选择部署方法是:将已经“已发行”改为“已指派”测试被指派的应用程序
用户登录后,可以在开始――设置――控制面板――添加/删除应用程序――添加新程序,会发现被指派的应用程序已经安装,但实际是“广告”,并没有真正的安装起来。
测试自动修复应用程序功能
这个功能与测试自动修复已发布的应用程序功能相似。
三、给计算机指派应用程序
活动目录用户和计算机――域或组织单位――属性――组策略――选定GPO――计算机配置――软件设置――软件安装。其它的地方与给用户指派应用程序相似。
1、改变应用程序的部署的类型。
2、取消被部署的应用程序。在被部署的应用程序单击鼠标右键――所有任务――删除。
3、设置当安装此应用程序时,是否出现完整的安装界面,或者只显示部分的界面。在被部署应用程序上单击鼠标右键――属性――部署。
4、将应用程序升级:在被部署的应用程序单击鼠标右键――属性――升级――添加
□ 文件夹重定向
  可以利用组策略将一些WIN2000内的特殊文件夹的存储位置,重定向到网络上的其他内。所谓的特殊文件夹,是指如“我的文档”、“my pictures”等数据的存储位置。一般情况下,这些文件夹是在本地计算机内,可以通过“我的文档”――“属性”――“目标文件夹”指定网络上的其他计算机内。
通过以下两种方式来重定向
1、针对每个用户设置,也就是将每个用户的文件夹重定向。
2、针对某个组设置,用户的文件夹重定向。也就是将某个组内的所有
以“我的文档”文件夹说明如何将文件夹重定向,并且是针对某个组进行设置。
1、活动目录用户和计算机――USERS组织单位内建立user1、user2、然后建立一个安全,例如:testgroup、
2、在任何一台服务器内建立一个文件夹,例如X OCUMENTS,这个文件用来存储用户的“我的文档”数据。
3、将文件夹设置为共享。共享名与文件夹名相同即可。
4、通过“活动目录用户和计算机”――域名单击右键――属性――组策略――选定 GPO――编辑――用户配置――WINDOWS配置――文件夹重定向――MY DOCUMENTS。
5、在“MY DOCUMENTS”单击鼠标右键――属性――目标――“设置”处选择“高级――为不同的用户组指定位置”――单击“添加”。
6、出现添加“指定组和位置”对话框。请“安全组成员身份”处输入组名称,然后在目标文件夹位置“处输入存储此组每个用户的“我的文档”的文件夹路径UNC。――“确定”完成后。
7、注销,利用TESTGROUP组内的用户USER1登录,“我的文档”文件夹改为上面所设置的路径。
将用户的“我的文档”文件夹重定向到网络服务器内有以下的优点。
1、无论用户到网络上任何一台计算机登录域,都可以访问到该文件夹。
2、这些存储在服务器内的数据,可能信息部门的定期定期备份,将其备份存储起来,让用户的数据多一份保障。
3、可能在服务器上限额配置用户的“我的文档”。
如果“我的文档”与操作系统在同个硬盘内,则将其重定向到其他的硬盘后,即使操作系统重新安装,对“我的文档”文件夹内的数据影响也会比较

你可能感兴趣的:(职场,休闲,组策略)