第17章 组策略
企业需求 企业的员工都使用计算机办公,为了管理上的方便,需要对全部的计算机在某些配置上强制性实施统一的配置。例如:密码设置原则、统一安装办公软件。
本讲任务 对域中的计算机,强制每个月必须修改密码,并且密码不能过于简单或反复使用。 此外还不允许员工自己配置网络邻居,自己添加和删除程序。
基本知识
17.1.1 什么是组策略 “组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系,不要把组策略理解为是针对用户组所配置的策略。 组策略是一种在用户或计算机集合上强制使用一些配置的方法,组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括菜单启动项、软件设置,这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。
各种组策略 计算机是否加入到域对策略的影响是很大的 没有加入到域中的计算机只有本地策略在起作用 而如果计算机加入到域中,牵涉的组策略就复杂得多了,包括本地策略、默认域策略、默认域控制器策略,还有组织单元上(OU)的策略等
17.1.2 本地策略、本地安全策略 没有加入到域中的计算机只有本地策略在起作用 本地安全策略是本地策略的一部分
本地安全策略:在管理工具中
本地策略:在MMC中添加
添加管理单元:组策略对象编辑器
本地安全策略是本地策略的一部分
两种配置选项 计算机配置:用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上,当该计算机启动后,自动应用设置的组策略。 用户配置:用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时,就会应用用户配置组策略。
17.1.3 默认域策略 域策略会应用到整个域,域策略存储在域控制器上。 在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。
在MMC中可以添加默认域策略管理单元
默认域控制器策略 默认域控制器策略是应用到域中的域控制器的。 在“Active Directory用户和计算机”窗口中的左边选中“Domain Controllers”,右击鼠标选择“属性”项,选择“组策略”选项卡。 域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。 默认域控制器策略是安装Windows 2003时自动创建的、应用到域控制器上的策略。
17.1.4 各种策略存在的位置
各种策略并存时,哪个在起作用? 作用顺序: 如果发生不同组策略对同一策略项设置了不同的值,后者将替代前者 首先是本地策略 然后是域策略 域控制器策略(域控制器上才有) 如果发生不同组策略对同一策略项设置了不同的值,后者将替代前者 也就是说本地策略的优先级是最低的。如果有需要我们可以改变这种替代关系,稍后才介绍如何改变。
配置步骤
17.2.1 创建组策略 每一计算机上的本地策略都是只能有一个,因此只能编辑本地策略而不能创建本地策略 而域上可以有多个组策略,我们可以在一个域上同时应用多个组策略
也可以在原有的策略上直接进行修改
创建新的组策略,则域上有多个策略存在 有多个策略时,排在列表上面的组策略具有较高的优先级 对于同一策略设置,上面的组策略会替代下面的组策略
修改域控制器上的默认策略
17.2.2 设置密码策略
在成员服务器上刷新组策略:gpupdate
在成员服务器上检查本地安全策略是否被更新 可以看到策略已经更新为在域上面设置的策略了
测试策略是否生效 更改用户密码时,要求满足设置的密码策略了
17.2.3 配置桌面
阻止更改“任务栏”和“开始”菜单
17.2.4 不要保留打开文档的记录 不想让人知道自己浏览过哪些网页和打开过哪些文件。
17.2.5 关闭一些不需要的服务
17.2.6 控制用户或组访问注册表的权限
用户或组访问注册表的权限
企业疑难问题解析
问题 公司的不少员工使用office,可是有好几个版本的office,我能用组策略统一安装一个版本的office吗? 可以,组策略中的用户配置软件设置软件安装就是为了完成这个用途。可以在域中统一使用某一软件。 我是否可以使用组策略把员工的计算机都设成一个模样? 完全一样很难做到,如果真做到,估计员工会造反,管理员要在个性和统一之间做个平衡。不过可以做到大同小异。
小结 组策略的概念 各种组策略 组策略的作用顺序 组策略的创建或修改 定义常见的组策略