理论部分:
一、组策略的概念:
“组策略”是一组策略的集合,它加强了管理员通过活动目录数据库在站点、域或组织单位中管理控
制用户和计算机的能力。
1.组策略的作用:
组策略的作用是可以方便地管理AD中的计算机和用户的工作环境。如:用户桌面环境计算机启动/关机与用户登录/注销时所执行的脚本文件、软件安装、安全设置等。
2.组策略的结构:
组策略具体设置数据保存在GPO(Group Policy Object,组策略对象)中,被视为AD中一种特殊的对象。可以将GPO和活动目录的容器(站点、域和OU)连接起来,以影响容器中的用户和计算机。组策略是通过组策略对象来进行管理的。
***默认GPO:
当域创建完成的时候默认的有两个GPO,一个是Default Domain Policy(默认域策略),另一个是Deafault Domain Controller Policy(默认域控制策略)。默认域策略影响域中所有的用户和计算机,而默认域控制器策略影响组织单位“Domain Controllers"中所有的用户和计算机。
***SDOU(Site、Domain、Organizational Unit)
GPO用来保存组策略,必须进一步指定GPO所链接对象,才能将组策略应用到指定的对象。GPO只能链接到AD的站点、域或组织单位。统称为SDOU,即为活动目录的容器,容器中包含的用户和计算机这两种活动目录对象会受到组策略的控制。站点的概念:活动目录中的站点是从物理上抽象出来的概念,站点是由一个或几个通过高速链路连接在一起的IP子网组成。
站点和域的区别:站点映射网络的物理拓扑结构,域映射网络的逻辑拓扑结构。活动目录的物理结构和逻辑结构是彼此独立的,是两个截然不同的概念。一个站点中可以有多个域(例如:一个局域网办公网络可以看成一个站点,在这个问题站点中可以创建多个域)、一个域中也可以有多个站点(例如 ,一个公在北京和上海都有办公网络,北京和上海的局域网可以看成两个站点,而这两个站点的计算机可以在一个域中)。创建站点可以优化复制和使用户能够使用可靠、高速的连接登录到域控制器上。
***GPO的组件存储位置:
GPO的组件存储在两个位置:GPT(组策略模板)和GPC(组策略容器)。GPC是包含GPO属性的版本信息的活动目录对象。GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构。
3.组策略包含的对象:
组策略包含的对象有两个:计算机配置和用户配置。它们里面都有三个选项:软件设置、WINDOWS设置和管理模板(在各个选项中具体有什么这里就不说了)。需要注意的是:计算机配置一般是重启计算机才能生效,用户配置一般是用户重新登录就可以生效。
二、组策略应用规则:
因为组策略的影响范围非常广泛,域内的有的用户和计算机都可能会受到它的约束,因此,在应用组策略之前应明确组策略的各种应用规则,如组策略的继承、累加、应用顺序和强制生效等,以利用其顺利地实现用户的需求。
1.继承与阻止继承:
在默认的情况下,下层容器会继承来自上层容器的GPO,但是子容器也可以阻止继承上层容器的组策略。比如说:域配置了一个GPO,则它下面的一个OU就会继承这个GPO,当然可以在OU上设置阻止继承域上的GPO。具体应用顺序后面会详细说明。
2.累加:
如果容器的多个组策略设置不冲突,则最终的有效策略是的有组策略设置的总和。这个意思就是说当域和它的下层容器OU的策略分别为“阻止用户更改墙纸”和“桌面上不显示回收站”。这个时候因为它们的策略没有发生冲突,那么这个时候的有效策略就会是它们累加后的策略“阻止用户更改墙纸”和桌面不显示回收站”这两个策略。如果容器的多个组策略设置冲突(对相同项目进行了不同的设置),在默认的情况下,后应用的组策略将覆盖先应用的组策略。比如:域的GPO规定禁止更改墙纸,OU的GPO规定可以更改墙纸,则在默认情况下,OU的有效设置是可以更改墙纸。
3.应用顺序:
组策略按以下顺序被应用:LSDOU,它表示Local(本地)、Site(站点)、Domain(域)、Organizational Unit(组织单位)。在默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。当有两个GPO时候,应用顺序是最面的那个生效。下面那个就不生效了。
4.强制生效:
因为在前面提到了下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置一个与上级容器相冲突的GPO,从而使得上级GPO不能生效。为了实现统一管理,就会使用到强制生效。并且强制生效会覆盖阻止继承设置,这也成为了网络管理员对网络进行统一管理的一种方法。当上级和下级都
5.筛选:
上面介绍的GPO都是应用于容器下的的有用户和计算机。但在实际环境中会有这样的需求,例如,销售部的所有用户都受GPO约束,而销售部经理的账户不受此约束,这个功能要依靠筛选来实现。筛选可以实现阻止一个GPO应用于容器内部的特定用户和计算机。有两种方法可以实现这种环境:
1》在OU组策略里点击委派选项里的“高级”按钮然后把特殊用户设置成拒绝应用组策略。
2》把特殊用户加入到安全筛选选项里。
三、利用组策略实现软件分发:
当我们布置域中的软件时,常常会遇到要在很多台计算机上对同一软件进行安装、修复、卸载和升级操作。如果在每台计算机上重复这些操作,工作量大而且容易出错,而利用GPO设置软件分发策略,可以实现容器下所有用户和计算机的软件管理,有效地提升软件部署效率。
1.分发软件:
首先获取Windows安装程序包文件,这个程序包应包含一个.msi文件以及必要的相关安装文件。当然也可以是别的软件包,不过那样的话就得写一个小脚本来发布。
然后将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹。
最后创建或修改GPO,该GPO包含软件分发的内容。
2.软件分发的方式:
软件分发的方式有两种:一种是分配,另一种是发布。分配和发布的区别是分配可以将程序分配到用户或计算机、而发布则只能将程序发布给用户。
二、实验部分:
实验部分比较简单这里就不说了^_^!
阅读(2297) | 评论(0) | 转发(0) |