组策略的配置 课程内容: 什么是组策略 组策略的应用 组策略的组成 使用GPMC来管理组策略 创建组策略 应用组策略 备份还原组策略

Slides:



Advertisements
Similar presentations
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Advertisements

第9章 使用策略编辑器维护计算机 2017/3/21.
Oracle数据库 Oracle 子程序.
构建道德课堂 “做中学”教学模式的创新与研究 总结汇报 黄河中学.
Windows Server 2012 Active Directory系列
在PHP和MYSQL中实现完美的中文显示
陈香兰 助教:陈博、李春华 Spring 2009 嵌入式操作系统 陈香兰 助教:陈博、李春华 Spring 2009.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
SVN的基本概念 柳峰
第二讲 搭建Java Web开发环境 主讲人:孙娜
广州健坤网络科技发展有限公司 佛山市正典生物技术有限公司 联合推广的永久免费的GSP软件
第八章 菜单设计 §8.1 Visual FoxPro 系统菜单 §8.2 为自己的程序添加菜单 §8.3 创建快捷菜单.
活动目录组策略概览 徐鹏
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
Ebooking 突发问题解决方案.
SVN服务器的搭建(Windows) 柳峰
SQL Injection.
2018/12/6 中文Word2000的使用方法.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
第一单元 初识C程序与C程序开发平台搭建 ---观其大略
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
第6章 用户账户和组的管理.
ENS 10.1安装配置指南 王俊涛 | SE.
作业调度系统常用命令.
Windows 7 的系统设置.
YMSM D-PACK 安装手册 作成者:D-PACK维护组(YMSLx) 作成日:
任务1-3 使用Dreamweaver创建ASP网页
产品防伪防窜管理系统 工具下载安装指引 信息管理部.
SOA – Experiment 2: Query Classification Web Service
第二章 登录UNIX操作系统.
C语言程序设计 主讲教师:陆幼利.
Windows Server 2003安全管理 Windows Server 2003网络操作系统 设置本地安全策略 基于域的安全设置 审核
简单介绍 用C++实现简单的模板数据结构 ArrayList(数组, 类似std::vector)
電子郵件簡介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
第17章 组策略.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
姚金宇 MIT SCHEME 使用说明 姚金宇
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
教育部 财政部 网络教育数字化学习资源中心平台系统 安装与配置
3Glasses SDK for Unreal Engine Plugin
本节内容 Win32 API中的宽字符 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
第4章 Excel电子表格制作软件 4.4 函数(一).
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
iSIGHT 基本培训 使用 Excel的栅栏问题
LOGIX500软件入门 西安华光信息技术有限公司 2008年7月11日.
系统权限管理概要 用 户 访问权限 对 象 用户和组 全局权限 类别 每个用户可以属于多个用户组 用户组可以与AD安全组同步 系统预置用户组
Touch Github = Touch the World
VRP教程 2011.
Python 环境搭建 基于Anaconda和VSCode.
基于列存储的RDF数据管理 朱敏
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
Chinese Virtual Observatory
YOUR SUBTITLE GOES HERE
本节内容 进程 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
第四章 UNIX文件系统.
Customer Service & Support
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
创建、启动和关闭Activity 本讲大纲: 1、创建Activity 2、配置Activity 3、启动和关闭Activity
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
培训课件 AB 变频器的接线、操作及参数的备份 设备动力科.
多个Activity的使用 本讲大纲: 1、使用Bundle在Activity之间交换数据 2、调用另一个Activity并返回结果
JUDDI安装手册.
百万行、千万行数据查询教程 老黄牛.
Presentation transcript:

组策略的配置 课程内容: 什么是组策略 组策略的应用 组策略的组成 使用GPMC来管理组策略 创建组策略 应用组策略 备份还原组策略 创建组策略 应用组策略 备份还原组策略 组策略的作用 管理模板 文件夹重定向 软件分发 WMI筛选器 软件限制

什么是组策略 组策略是一类功能,必须是在部署好AD环境下应用组策略 能够帮我们去做网络管理,包括统一管理网络中全部部分计算机,全部部分用户的某些属性,比如桌面显示状况,控制面板的显示状况, IE的设置,windows media的设置,各种软件的设置,还有能不能装某些软件,能不能卸某些软件,能不能使用某些软件,所有能在计算机上对客户端调整的工作,都可以用组策略来实现 能够充分利用好组策略,管理员的工作量大大减少

组策略可以: 集中化管理 管理用户环境 降低管理用户的开销 强制执行企业策略

组策略的应用 站点 域 组策略和哪个 容器连接起来 就在那个容器 生效。 组策略只能 给这三中容器 做设置 OU OU OU GPO1

组策略的组成 Group Policy Container 存储在AD中 保存组策略版本信息 Group Policy Object 包括组策略设置 存储在两个位置 Group Policy Template 存储在SYSVOL文件夹 保存组策略的设置

使用GPMC管理组策略 GPMC是一个组策略管理的强大软件 运行--gpmc.msc 默认域控制器策略和默认域策略 在详细信息选项卡中可以查看该组策略的唯一ID(GUID)--- 查看C:\WINDOWS\SYSVOL\SYSVOL\contoso.COM\POLICIES存放是该组策略的模板 想知道在组策略中设置了什么---设置--生成报告---以web方式显示

演示: 1.新建一个组策略 组策略对象---右--新建---test 2.编辑组策略 test--右--编辑(组策略编辑器) 计算机配置和用户配置有什么区别? 3.让test策略应用于一个OU 在gpmc中把test拖到那个OU上面 则在test里面对用户的配置会对bob生效(注销再登陆),对计算机配置会对计算机帐户生效(重启).

4.备份,还原组策略 test--右--备份--选择一个位置--新建一个文件夹---开始备份 删除test---组策略对象--右--管理备份---选择备份的文件---还原

5.组策略的继承关系 默认继承:子OU默认可以继承父OU的所 有组策略 阻止继承 强制继承 设置权限

(1)☻删除test--新建1组策略和2组策略--把1拖到OU上 查看: OU---组策略继承--两个组策略1和defualt domain(域级别默认组策略,从域上继承过来的组策略) 那么OU上的用户计算机,登陆或开机生效的组策略是两个组策略的和 ☻把2拖到域级别上 查看: OU---组策略继承---三个组策略 OU同时应用了三条组策略,如果之间有了冲突,则列表中顺序上面的优先级最高

(2).不希望OU继承来自域的组策略--OU--右--阻止继承 (3).让默认域级别组策略强制继承---default domain policy--右--强制 强制继承和阻止继承冲突时听强制继承的 (4).组策略只对某一个用户alice不生效 组策略1---委派---高级---添加alice---拒绝应用组策略(权限控制用户应用组策略)

组策略的作用 管理模板 脚本 文件夹重定向 软件分发 WMI筛选器 软件限制

管理模板 编辑组策略1---用户配置---管理模板: 主要作用通过图形化设置界面可以改客户端的注册表 例如:IE禁止更改主页---任务栏和开始菜单中删除运行---桌面从桌面删除回收站---控制面板--显示(隐藏设置选项卡) 查看: OU中任意一个用户来登陆会发现所有的设置都已经修改了

脚本 计算机下启动和关机脚本 用户下登陆和注销脚本 两者生效时间不一样 1.建一个脚本logon.vbs,所有能在windows下做的操作都能用脚本实现,写入: msgbox “hello” 调用函数---调用一个简单的windows对话框 让这个脚本在OU用户登陆时生效 2. 脚本---登陆--添加---浏览(脚本必须放在默认位置)

文件夹重定向 文件夹重定向---可以把客户端这四个文件夹重定向到任意一个共享文件夹 1.DC的E盘下创建一个doc文件夹---共享---权限放到最大(添加everyone给完全控制权限) 2.文件夹重定向---我的文档--右--属性---\\192.168.1.4\doc 会在这个文件夹下创建一个以该用户名字的文件夹,然后把客户端的我的文档里的文件存到这里

3.在客户端查看---我的文档--属性---目标文件夹的路径 4.查看--DC的E盘下的doc---里面有一个用户文件夹(但只有用户本人自己可以访问) 注意:组策略刷新需要时间,为了刷新快点 gpupdate /force可以在客户端刷新服务器端的组策略

软件分发 在网络管理经常需要给客户端装很多软件,有了组策略不需要跑到客户端,只要在服务器端就可以给他装软件了 1.在DC软件gpmc---共享 2软件设置---软件安装---新建一个程序包(虽然在本地,必须通过网络路径去找)---gpmc.msi---发布方式---指派 3.查看:客户端登陆---该软件已经装上 其实当第一次运行时它才真正安装上

注意: 如用组策略来把软件安装在客户端上,必须是msi的安装程序(只有windows操作系统是兼容的),wininstallle可以将exe安装程序转成这个格式。 还有一个SMS软件可以将所有的软件(任何格式)发到客户端上面

WMI筛选器 组策略能做软件分发,来装OFFICE,有的机器好有的机器坏,P4的装office 2003,P2的机器装offcie 97 原来做软件分发,把p4放在一个OU,P2机器放一个OU 做一个wmi筛选器和一个组策略连接起来,然后组策略利用筛选器自己判断生效的客户端的CPU,是p3 以上就装office 2003,如果以下就装office 97 根据另一个参数,office要500M,组策略在应用到所有客户端上时,先检查一下计算机C盘够不够500M,如果不够就不应用,否则装一半就报错

演示: 1.查看组策略1---WMI筛选器--没有 2. WMI筛选器(作用查询客户端的某些参数,返回结果,两种0和1:磁盘空间大于500M,返回真,则组策略生效,假不生效) 新建筛选器---disk--查询语句---保存 Select * FROM Win32LogicalDisk WHERE (Name="C:" or Name="D:" or Name="E:") AND DriveType=3 AND FreeSpace>10485760 AND FileSysytem="NTFS"

客户端必须满足这三个条件才会返回真,就可以应用该组策略,如果为假则不应用 3. 和组策略1做连接---WMI筛选器---disk

什么是软件限制策略 软件限制策略可以控制电脑上运行什么样的程序 只允许用户在多用户电脑上运行指定类型的文件 控制哪些用户运行软件时有限制 防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑 可以通过组策略来限制客户端能使用的软件

控制不同web Application在不同 软件限制策略的规则 哈希规则 利用文件的MD5或SHA1的hash来 做比较 当您有一个多版本的文件时,来防 止有些版本的运行 证书规则 利用程序上的数码签名来做比较 防止有些win32的程序或含有 Active X的程序运行 internet区域规则 控制不同web Application在不同 的Internet区域里 路径规则 利用路径来做比较 当您的文件夹里含有许多要被 运行程序所用到的文件

组策略1--编辑---安全设置----软件限制策略---创建软件策略---其他规则--新建路径规则--- c:\windows\system32\notepad.exe---不允许(不受限--允许) 但是客户端可以把这个可执行程序拷贝到另一个地方就可以运行了 2. 删除路径规则---新建哈希规则---文件路径--自动算出哈希值--不允许 文件不管放在哪都不能运行

如果一个程序有多个规则,怎么办?? 比如: 给calc.exe做了三条规则 路径规则 不限制 哈系规则 不允许 证书规则 不允许 优先级: 1.哈系规则 2.证书规则 3.路径规则 4.Internet 区域规则