1、组策略的配置,课程内容:什么是组策略组策略的应用组策略的组成使用GPMC来管理组策略创建组策略 应用组策略 备份还原组策略组策略的作用管理模板 文件夹重定向 软件分发 WMI筛选器软件限制,什么是组策略,组策略是一类功能,必须是在部署好AD环境下应用组策略能够帮我们去做网络管理,包括统一管理网络中全部部分计算机,全部部分用户的某些属性,比如桌面显示状况,控制面板的显示状况, IE的设置,windows media的设置,各种软件的设置,还有能不能装某些软件,能不能卸某些软件,能不能使用某些软件,所有能在计算机上对客户端调整的工作,都可以用组策略来实现能够充分利用好组策略,管理员的工作量大大减少
2、,组策略可以:集中化管理管理用户环境降低管理用户的开销强制执行企业策略,组策略的应用,站点,域,OU,OU,OU,GPO2,GPO1,GPO3,组策略只能给这三中容器做设置,组策略和哪个容器连接起来就在那个容器生效。,组策略的组成,Group Policy Object包括组策略设置存储在两个位置,Group Policy Container存储在中保存组策略版本信息,Group Policy Template存储在SYSVOL文件夹保存组策略的设置,使用GPMC管理组策略GPMC是一个组策略管理的强大软件运行-gpmc.msc默认域控制器策略和默认域策略在详细信息选项卡中可以查看该组策略的唯
3、一ID(GUID)- 查看C:WINDOWSSYSVOLSYSVOLcontoso.COMPOLICIES存放是该组策略的模板想知道在组策略中设置了什么-设置-生成报告-以web方式显示,演示: 1.新建一个组策略 组策略对象-右-新建-test2.编辑组策略test-右-编辑(组策略编辑器)计算机配置和用户配置有什么区别?3.让test策略应用于一个OU在gpmc中把test拖到那个OU上面则在test里面对用户的配置会对bob生效(注销再登陆),对计算机配置会对计算机帐户生效(重启).,4.备份,还原组策略test-右-备份-选择一个位置-新建一个文件夹-开始备份 删除test-组策略对象
4、-右-管理备份-选择备份的文件-还原,5.组策略的继承关系默认继承:子OU默认可以继承父OU的所 有组策略阻止继承强制继承设置权限,(1)删除test-新建1组策略和2组策略-把1拖到OU上查看: OU-组策略继承-两个组策略1和defualt domain(域级别默认组策略,从域上继承过来的组策略)那么OU上的用户计算机,登陆或开机生效的组策略是两个组策略的和 把2拖到域级别上查看: OU-组策略继承-三个组策略 OU同时应用了三条组策略,如果之间有了冲突,则列表中顺序上面的优先级最高,(2).不希望OU继承来自域的组策略-OU-右-阻止继承(3).让默认域级别组策略强制继承-default
5、 domain policy-右-强制强制继承和阻止继承冲突时听强制继承的(4).组策略只对某一个用户alice不生效组策略1-委派-高级-添加alice-拒绝应用组策略(权限控制用户应用组策略),组策略的作用,管理模板脚本文件夹重定向软件分发WMI筛选器软件限制,管理模板,编辑组策略1-用户配置-管理模板: 主要作用通过图形化设置界面可以改客户端的注册表例如:IE禁止更改主页-任务栏和开始菜单中删除运行-桌面从桌面删除回收站-控制面板-显示(隐藏设置选项卡)查看: OU中任意一个用户来登陆会发现所有的设置都已经修改了,脚本,计算机下启动和关机脚本用户下登陆和注销脚本两者生效时间不一样1.建一
6、个脚本logon.vbs,所有能在windows下做的操作都能用脚本实现,写入: msgbox “hello” 调用函数-调用一个简单的windows对话框让这个脚本在OU用户登陆时生效2. 脚本-登陆-添加-浏览(脚本必须放在默认位置),文件夹重定向,文件夹重定向-可以把客户端这四个文件夹重定向到任意一个共享文件夹1.DC的E盘下创建一个doc文件夹-共享-权限放到最大(添加everyone给完全控制权限)2.文件夹重定向-我的文档-右-属性-192.168.1.4doc 会在这个文件夹下创建一个以该用户名字的文件夹,然后把客户端的我的文档里的文件存到这里,3.在客户端查看-我的文档-属性-
7、目标文件夹的路径4.查看-DC的E盘下的doc-里面有一个用户文件夹(但只有用户本人自己可以访问)注意:组策略刷新需要时间,为了刷新快点 gpupdate /force可以在客户端刷新服务器端的组策略,软件分发,在网络管理经常需要给客户端装很多软件,有了组策略不需要跑到客户端,只要在服务器端就可以给他装软件了1.在DC软件gpmc-共享2软件设置-软件安装-新建一个程序包(虽然在本地,必须通过网络路径去找)-gpmc.msi-发布方式-指派3.查看:客户端登陆-该软件已经装上 其实当第一次运行时它才真正安装上,注意:,如用组策略来把软件安装在客户端上,必须是msi的安装程序(只有windows
8、操作系统是兼容的),wininstallle可以将exe安装程序转成这个格式。还有一个SMS软件可以将所有的软件(任何格式)发到客户端上面,WMI筛选器,组策略能做软件分发,来装OFFICE,有的机器好有的机器坏,P4的装office 2003,P2的机器装offcie 97原来做软件分发,把p4放在一个OU,P2机器放一个OU做一个wmi筛选器和一个组策略连接起来,然后组策略利用筛选器自己判断生效的客户端的CPU,是p3 以上就装office 2003,如果以下就装office 97根据另一个参数,office要500M,组策略在应用到所有客户端上时,先检查一下计算机C盘够不够500M,如果
9、不够就不应用,否则装一半就报错,演示:1.查看组策略1-WMI筛选器-没有2. WMI筛选器(作用查询客户端的某些参数,返回结果,两种0和1:磁盘空间大于500M,返回真,则组策略生效,假不生效)新建筛选器-disk-查询语句-保存 Select * FROM Win32LogicalDisk WHERE (Name=C: or Name=D: or Name=E:) AND DriveType=3 AND FreeSpace10485760 AND FileSysytem=NTFS,客户端必须满足这三个条件才会返回真,就可以应用该组策略,如果为假则不应用3. 和组策略1做连接-WMI筛选器-
10、disk,什么是软件限制策略,软件限制策略可以控制电脑上运行什么样的程序只允许用户在多用户电脑上运行指定类型的文件控制哪些用户运行软件时有限制防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑可以通过组策略来限制客户端能使用的软件,软件限制策略的规则,哈希规则利用文件的MD5或SHA1的hash来做比较当您有一个多版本的文件时,来防止有些版本的运行,路径规则利用路径来做比较当您的文件夹里含有许多要被运行程序所用到的文件,证书规则利用程序上的数码签名来做比较防止有些win32的程序或含有Active X的程序运行,internet区域规则控制不同web Application在不同的Internet区域里,组策略1-编辑-安全设置-软件限制策略-创建软件策略-其他规则-新建路径规则- c:windowssystem32notepad.exe-不允许(不受限-允许)但是客户端可以把这个可执行程序拷贝到另一个地方就可以运行了2. 删除路径规则-新建哈希规则-文件路径-自动算出哈希值-不允许 文件不管放在哪都不能运行,如果一个程序有多个规则,怎么办?比如: 给calc.exe做了三条规则路径规则 不限制哈系规则 不允许证书规则 不允许优先级:1.哈系规则2.证书规则3.路径规则4.Internet 区域规则,
