教案首页.docx
- 文档编号:8399391
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:15
- 大小:21.32KB
教案首页.docx
《教案首页.docx》由会员分享,可在线阅读,更多相关《教案首页.docx(15页珍藏版)》请在冰豆网上搜索。
教案首页
教案首页
第__11_(单元)授课时间:
第十五周
课程名称
组网技术
专业班级
G04(1,2)
层次
大专
授课教师
梅成才
职称
助教
课型(大、小)
小
学时
4
授课题目(章、节)
第十一章组策略
授课方式
理论课(理论课;讨论课;实验课;实习/实训课;其他)
教材及主要参考书
《网络服务器配置和应用》,钟小平张金石主编,人民邮电出版社,2004年
教学目的与要求:
介绍组策略的定义与设置,学生应掌握组策略的概念,管理模板策略的设置,Windows设置策略的管理,通过软件设置策略部署应用程序
教学过程设计(内容、时间安排、教学方法等):
内容
11.1组策略概述
11.2管理模板策略的设置
11.3Windows设置策略的管理
11.4通过软件设置组策略部署应用程序
教学方法:
讲授
教学重点、难点:
重点,难点:
管理模板策略的设置
教研室审阅意见:
教研室主任签名:
年月日
复习思考题、作业题
活动目录和组策略的配置
下次课
预习
要点
回顾组策略的配置方法
实施
情况及
分析
学生本章掌握良好
基本内容
使用GP控制用户和计算机
•使用GroupPolicy控制用户和计算机;
•Windows2000的网络管理主要是以来GroupPolicy(组策略)来进行;
•GroupPolicy是在活动目录(AD)上的最大应用;
•组策略是检验一个网络管理员管理水平的一个很重要的方面;
内容提要
•微软的管理结构
•什么是组策略
•GroupPolicy的建立和配置
•GroupPolicy的作用范围和顺序
微软的管理结构
改变和配置管理
•主要是响应客户需求:
1.为了保护用户数据,在网络上存储
2.允许用户在线或者离线工作
3.如果用户移动,用户的数据,设置,应用
程序进行跟随
4.通过策略批量进行配置
5.自修复桌面
6.可以灵活添加,替代桌面
改变和配置管理
改变和配置管理
改变和配置管理
改变和配置管理
•不管是IntelliMirror还是RomoteOSInstallation都有一个共同点:
组策略(GroupPolicy)
组策略(GP)
•组策略定义
•组策略对象(GPO)
•GPO与GPOLink
•组策略功能
组策略定义
•组策略是一种一旦定义了用户的工作环境,就可以让系统来连续执行定义好的组策略的技术手段。
组策略定义
•需求视用户的情况而定
•管理员实现用户需求
组策略定义
•组策略需要Windows2000系统支持
组策略定义
•保证了用户的设置不被非法的更改
•GroupPolicy会带来网络流量
组策略应用举例
组策略应用举例
实现组策略的前提条件
•ActiveDirectory
(GroupPolicy是AD的最大的应用)
•Windows2000
只有Windows2000支持GP
组策略对象
•存储组策略配置信息
GPO:
GroupPolicyObject
组策略对象
组策略对象
GPO:
GroupPolicyObject
•是标准的活动目录对象
•可以设置访问许可
组策略对象
•组策略对象存在域中
组策略对象
•组策略对象可以链接到任何SDOU上
GPO与GPOLink
•创建GPO
GPO与GPOLink
•创建GPO
新建组策略对象
GPO与GPOLink
•创建GPO
GPO与GPOLink
GPO与GPOLink
•新建了一个GPO
•新建了一个
GPOLink
GPO与GPOLink
•添加GPOLink
GPO与GPOLink
•添加GPOLink
GPO与GPOLink
•添加GPOLink
GPO与GPOLink
•GPO是组策略对象,GPOLink是把组策略对象链接到SDOU上
组策略的生效条件
•之一:
必须把GPOLink到SDOU上
Site
Domain
OU
组策略的生效位置
•组策略在GPO上生效
•要实现组策略,必须要创建GPO,即组策略要放在GPO上
组策略功能
•1.AdministrativeTemplates(管理摸板)
组策略功能
•2.Security(安全)
组策略功能
•3.SoftwareInstallation(软件安装)
组策略功能
•4.Scripts(脚本)
组策略功能
•5.FolderRedirection(文件夹重定向)
组策略功能
•5种功能也即我们在组策略里面可以设置的数据类型
AdministrativeTemplates
•管理模板,是用来管理用户环境的基于注册表的策略设置
•修改注册表中下列注册子目录的设置:
HKEY_LOCAL_MACHINE(计算机设置)
HKEY_CURRENT_USER(用户设置)
AdministrativeTemplates
AdministrativeTemplates
•计算机配置
•用户配置
计算机配置
•计算机启动过程中实现的配置
用户配置
•用户登陆过程中实现的配置
AdministrativeTemplates
管理模板设置的类型
•WindowsComponents
•System
•Network
•Printers(计算机配置)
•StartMenu&Taskbar(用户配置)
•Desktop(用户配置)
•Control(用户配置)
桌面设置
•Hidealliconondesktop
•Don’tsavesettingasexit
“userc.\ad.T.\Desktop”
•HideThesespecifieddriversinMycomputer
“userc.\ad.t.\windowscomponents\windowsexplorer”
•DisablechangestoTaskbarandStartMenusetting
“userc.\ad.t.\StartMenu&Taskbar”
例:
•要把用户开始菜单中“运行”菜单禁用
•如果要恢复原来
设置,该怎么设?
网络访问设置
•HideMyNetworkPlaceiconondesktop
“userconfiguration\administrativetemplates\desktop”
•ToolsMenu:
DisableInternetOptions…menuoption
“userconfiguration\administrativetemplates\windowscomponents\InternetExplorer\BrowserMenus
用户访问工具和应用程序设置
•RemoveRunmenufromStartmenu
“userc…\ad.t.\StartMenu&Taskbar”
•DisableTaskManager
“userc.\ad.T.\system\Logon/logoff”
AdministrativeTemplates
•把GPO删除或者把GPOLink删除掉都可以把设置恢复原来样子,达到Disable效果
•这表明组策略不会永远作用于注册表,只要作了禁用,删除GPO或者删除GPOLink就可以恢复注册表
•当然,删除GPO或者GPOLink是不明智的
AdministrativeTemplates
•可以利用“说明”
得到帮助
AdministrativeTemplates
•管理模板,对应有一个模板文件,扩展名为*.adm
AdministrativeTemplates
AdministrativeTemplates
可以导入自定义的模
板文件,利用GP生效
Script(脚本设置)
•利用组策略脚本设置,可以把脚本设置在指定时间里自动运行
Script
Script
Script
•脚本和脚本之间的缺省延时是10分钟
•可以修改
Security(安全策略设置)
•计算机的安全设置
•用户的安全设置
计算机的安全设置
用户的安全设置
导入安全模板
SoftwareInstallation(软件安装)
•为用户和计算机分配应用程序
•自修复,自动升级
SoftwareInstallation
FolderRedirection
•把客户端的应用程序数据,我的文档,桌面,开始菜单保存到网络上
FolderRedirection
FolderRedirection
•\\server\share\%username%
FolderRedirection
FolderRedirection
•文件夹重定向只是重定向用户自己创建的数据文档,而不会把系统数据重定向到网络服务器上,所以不会造成服务器硬盘容量需求过大
对组策略应用的控制
组策略的生效时间
用户策略的来源
用户策略的来源
策略继承原则
•在策略继承发生冲突时,则:
近处的设置覆盖远处的设置
策略冲突是指同时继承来的两个策略是两个相反的设置,这时需要用策略继承原则来解决
策略冲突
更改组策略默认设置
BlockInherit
NoOverride
Override
•当选中(NoOverride)阻止子容器覆盖父容器所做的设置以后,子容器和父容器的设置发生冲突时,子容器的设置无效
•是网络管理员对网络统一管理的手段
Override
•这种强制继承是针对某一个特定的组策略对象而言的,即这种强制不会扩散到另外的组策略对象上
继承的生效级别
•当父容器和子容器上都设了NoOverride,则高的NoOverride覆盖低的NoOverride的设置
继承的生效级别
•NoOverride会覆盖BlockInherriance的设置
•BlockInherriance实现灵活性
•NoOverride统一的管理
GPOLink的生效
•一个SDOU上可以连接多个GPO,这个时候,他们之间有优先级
GPOLink的生效
•一个SDOU上连接多个GPO的时候,执行顺序是:
自下而上,因为高级的会覆盖低级的,所以高级的应该放在上面
许可的设置
•作为标准活动目录对象的GPO,是可以进行许可的设置的
许可的设置
许可的设置
许可的设置的效果
•例如,有1个OU,里面有100个用户,你针对这个OU建立了一个GPO,但是你希望这个GPO只对其中30个用户起作用,那我们的处理方式是?
?
•缺省情况下,在OU上做的任何设置会影响到OU上的所有用户和计算机
许可的设置的效果
•30USERSGroup设置GroupPolicy?
?
?
?
•组策略只能连接到SDOU上,组策略不是组的策略,或者可以称为策略的组合
•所以GPO不能连接到一个组上,但是可以在GPO的属性页上利用组来过滤组策略
组策略的生效条件
•之二:
只有在GPO(组策略对象)上有读和应用组策略的许可才会应用组策略
•默认情况,认证的用户拥有这个读和应用组策略的许可,所有登陆的用户都是认证的用户
许可的设置的效果
许可的设置的效果
组策略和安全组
•一:
组策略不能直接和安全组相连接
进行由安全组过滤的GPO列表可以提高登录性能(减少DACL和SACL中ACE的数量)
•二:
安全组可以包括计算机
组策略和安全组
•三:
组策略不能直接被应用在AD中的计算机和用户上
•四:
组策略不是OU
GPO信息的存储
•一个GPO在存储的时候分成两个方面
--GPC(GroupPolicyContainer)
--GPT(GroupPolicyTemplate)
GPC
•GPC(GroupPolicyContainer)
组策略容器
•在活动目录中定位GPO位置,连接到哪里,该GPO的版本和状态信息
•GPC存放在活动目录中
GPC
GPT
•GPT(GroupPolicyTemplate)
组策略模板
•GPT存储策略信息
•GPT存放在硬盘中
systemroot\sysvol\sysvol\Polices中
•用GUID命名,每一个GUID代表一个GPO
GPT
sysvol
•在一个网络中所有的DC的Sysvol目录的内容是完全一致的,因为他是存放GPO信息的位置
GPC,GPT
•GPCAD跟随活动目录的复制
•GPT硬盘FRS(FileReplicationService)
GPO生效条件
•之三:
GPO中的GPC,GPT同时被复制完成GPO才能生效
组策略的存储模型
•组策略对象以GPC和GPT的形式分别存放在AD和SYSVOL目录中
组策略的存储模型
•任何对计算机所做的设置的生效原因是注册表的改变,只有注册表改变了所做的设置才会生效
组策略的存储模型
•组策略修改生效也就是修改了注册表
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER
组策略的存储模型
组策略的存储模型
组策略生效
•上面两个位置是存储组策略的位置,当一个GPO不在生效时,组策略会在注册表的相应位置把相应内容删除,避免以前的策略持续作用在注册表中
组策略的高级讨论
•组策略的高级设计
•组策略的高级设置
•组策略的实现
一、管理GPO的位置
管理GPO的位置
•管理GPO的位置可以选择,但是会有这些情况发生:
1.多个管理员在不同的DC上修改相同
的GPO,则最后的修改生效
2.每次修改GPO后要确认没有其他人进
行修改,否则你的设置不会生效
3.在进行GPO修改之前要确定GPO的复
制已经完成
选择管理GPO的位置
•安全性PDC
在PDC上做的修改不会被覆盖
•为了一致性使用AD来选择DC
•为了性能选择任何有效的DC
选择管理GPO的位置
选择管理GPO的位置
二、策略的刷新
•客户端从DC获得的刷新
策略的刷新
•DC的刷新
策略的刷新
•软件安装文件夹重定向
策略的刷新时间更改
策略的应用
•缺省情况下,只有当策略被修改的情况下才会应用,就是说当客户端进行90分钟的同步的时候发现策略没有任何变化,那么他也就不会进行应用,只有当策略变化的时候才进行同步应用
三、策略和慢速连接
•组策略的不断执行会产生较大的网络流量,在高速网络中可以忽略不计,但是在低速连接网络(500KBPS)中这种网络流量会造成较大的网络负担
•缺省情况下,在慢速网络中,安全设置和管理模板的设置总是被应用
策略和慢速连接
•软件安装,文件夹重定向,脚本是不被执行
慢速连接的定义
•缺省,小于500KBPS就是慢速连接.可以改
本地组策略
•Systemroot\system32\GroupPolicy
•本地组策略在域组策略应用之前被应用,即域组策略会覆盖冲突的本地组策略
•在SDOU上设置的阻断是不能够停止本地组策略对象上的应用程序的
组策略对象的设计
•深入型结构
不需要过滤就可以应用
需要更多的继承的修改
•平面型结构
不需要继承角色的设置
需要许多的过滤的设置
一个SDOU上连接多个GPO
•一个SDOU上连接少数的比较复杂的GPO
GPO比较少,管理方便,登陆快,在GPO上做的组策略会应用到SDOU上的所有用户
•一个SDOU上连接多数的比较精确的GPO
管理比较复杂,登陆较慢,可以通过过滤使某个组策略只针对一部分用户
GPO的管理
•GPO是标准的活动目录对象,有自己的许可
•一个OU的管理员不能创建组策略对象,虽然这个管理员可以对这个OU做组策略,但是不能在这个OU上创建GPO
四、GPO的管理
•管理GPOLink
•管理创建GPO
•管理编辑GPO
管理GPOLink
管理创建GPO
•加入组:
GroupPolicyCreatorOwners
管理编辑GPO
•在SDOU的所有GPO上给予用户不包括应用之外的许可,就可以成为GPO的编辑,但是他不具备创建和连接GPO的许可
GPO的管理
•只有获得管理GPO的三个方面的所有许可才能够使组策略生效,缺一不可
•GPO会影响SDOU里面的所有内容,影响非常广泛,所以必须慎重,GPO管理的三个方面就是出于安全性的考虑
GPO的管理
•任何一个GPO只有Link到SDOU上才能生效,所以对于GPO管理的三个方面来说,GPOLink是最重要的,作为管理员,尽量要把GPOLink的权限控制在自己手里
总结
•通过组策略可以实现大部分的Windows2000网络管理的工作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教案 首页