1、組策略應用組策略應用域、樹、林之間是什么關系？域、樹、林之間是什么關系？如何將一臺計算機安裝成域控制器？如何將一臺計算機安裝成域控制器？本地域組的特點是什么？本地域組的特點是什么？全局組的特點是什么？全局組的特點是什么？如何實現如何實現OU的委派功能？的委派功能？理解組策略的作用理解組策略的作用理解組策略的應用順序理解組策略的應用順序會配置組策略的繼承會配置組策略的繼承會配置組策略的強制生效會配置組策略的強制生效會配置組策略實現軟件分發會配置組策略實現軟件分發 組策略的概念組策略的概念軟件分發軟件分發組策略的作用組策略的作用分發軟件分發軟件修復軟件修復軟件組策略結構組策略結構刪除軟件刪除軟件計

2、算機計算機/用戶配置用戶配置組策略組策略組策略應用規則組策略應用規則繼承與阻止繼承繼承與阻止繼承累加累加應用順序應用順序強制生效強制生效篩選篩選升級軟件升級軟件組策略簡單應用組策略簡單應用方便管理方便管理AD中用戶和計算機的工作環境中用戶和計算機的工作環境用戶桌面環境用戶桌面環境計算機啟動計算機啟動/關機與用戶登錄關機與用戶登錄/注銷時所執行的腳本文件注銷時所執行的腳本文件軟件分發軟件分發安全設置安全設置通過組策略可以通過組策略可以對域設置組策略影響整個域的工作環境，對對域設置組策略影響整個域的工作環境，對OU設置組設置組策略影響本策略影響本OU下的工作環境下的工作環境降低布置用戶和計算機環境

3、的總費用降低布置用戶和計算機環境的總費用p只須設置一次，相應的用戶或計算機即可全部使用規定的設置只須設置一次，相應的用戶或計算機即可全部使用規定的設置p減少用戶不正確配置環境的可能性減少用戶不正確配置環境的可能性推行公司使用計算機的規范推行公司使用計算機的規范p桌面環境規范桌面環境規范p安全策略安全策略組策略適用的操作系統組策略適用的操作系統組策略的具體設置數據保存在組策略的具體設置數據保存在GPO中中 默認默認GPO 默認域策略默認域策略 默認域控制器策略默認域控制器策略 GPO所鏈接的對象所鏈接的對象 SDOUGPO控制控制 用戶和計算機用戶和計算機組策略組策略GPOSDOU計算機計算機用

4、戶用戶站點的概念站點的概念 活動目錄中的站點是從物理上抽象的概念活動目錄中的站點是從物理上抽象的概念 由一個或幾個通過高速鏈路連接在一起的由一個或幾個通過高速鏈路連接在一起的IP子網組成子網組成站點和域的關系站點和域的關系一個站點中可以有多個域一個站點中可以有多個域 一個域中可以有多個站點一個域中可以有多個站點站點的主要作用站點的主要作用 優化復制優化復制使用戶能夠使用可靠、高速的連接登錄到域控制器上使用戶能夠使用可靠、高速的連接登錄到域控制器上 GPC（組策略容器）與（組策略容器）與GPT（組策略模板）（組策略模板） GPC：GPC是包含是包含GPO屬性和版本信息的活動目錄對屬性和版本信息的

5、活動目錄對象象 GPT：GPT在域控制器的共享系統卷（在域控制器的共享系統卷（SYSVOL）中，）中，是一種文件夾層次結構是一種文件夾層次結構計算機配置計算機配置策略策略p軟件設置軟件設置pWindows設置設置p管理模板管理模板首選項首選項pWindows設置設置p控制面板設置控制面板設置用戶配置用戶配置策略策略p軟件設置軟件設置pWindows設置設置p管理模板管理模板首選項首選項pWindows設置設置p控制面板設置控制面板設置需求：需求：公司的網絡采用域結構進行管理，銷售部員工的用戶公司的網絡采用域結構進行管理，銷售部員工的用戶賬戶都位于銷售部賬戶都位于銷售部_OU中，現要求銷售部的員

6、工禁止中，現要求銷售部的員工禁止使用控制面板使用控制面板實現思路：實現思路：創建并鏈接組策略創建并鏈接組策略配置組策略配置組策略p用戶配置用戶配置策略策略管理模板管理模板控制面板控制面板禁止訪問禁止訪問“控制面板控制面板”請思考：請思考：組策略能夠鏈接在哪些對象上？組策略能夠鏈接在哪些對象上？請舉一個組策略應用的實例。請舉一個組策略應用的實例。繼承與阻止繼承繼承與阻止繼承 累加累加 應用順序應用順序 強制生效強制生效 篩選篩選在默認情況下，下層容器會繼承來自上層容器的在默認情況下，下層容器會繼承來自上層容器的GPO子容器可以阻止繼承上級的組策略子容器可以阻止繼承上級的組策略右擊容器右擊容器阻止

7、繼承阻止繼承繼承繼承test的組策略的組策略繼承域的組策略繼承域的組策略容器的多個組策略設置如果不沖突，則最終有效策略是容器的多個組策略設置如果不沖突，則最終有效策略是所有組策略設置的總和所有組策略設置的總和容器的多個組策略設置如果沖突，則后應用的組策略覆容器的多個組策略設置如果沖突，則后應用的組策略覆蓋先應用的組策略蓋先應用的組策略組策略設置組策略設置是否沖突是否沖突OU的有效設置的有效設置域：域：IE主頁設置為主頁設置為http:/www.ABCOU：已啟用：已啟用“阻止更改墻紙阻止更改墻紙”否否IE主頁設置為主頁設置為http:/www.ABC阻止更改墻紙阻止更改墻紙域：已啟用域：已啟用

8、“阻止更改墻紙阻止更改墻紙”OU：已禁用：已禁用“阻止更改墻紙阻止更改墻紙”是是可以更改墻紙可以更改墻紙組策略按以下順序被應用：組策略按以下順序被應用： LSDOU首先應用本地組策略對象首先應用本地組策略對象如果有站點組策略對象，則應用之如果有站點組策略對象，則應用之然后應用域組策略對象然后應用域組策略對象如果計算機或用戶屬于某個如果計算機或用戶屬于某個OU，則應用，則應用OU上的組策上的組策略對象略對象如果計算機或用戶屬于某個如果計算機或用戶屬于某個OU的子的子OU，則應用子，則應用子OU上的組策略對象上的組策略對象如果同一個容器下鏈接了多個組策略對象，則按照策如果同一個容器下鏈接了多個組策

9、略對象，則按照策略優先級從大到小逐個應用略優先級從大到小逐個應用強制生效是上級容器強制下級容器執行其強制生效是上級容器強制下級容器執行其GPO設設置置強制的強制的請思考：請思考：如果如果OU上的組策略設置與域上的組策略設置沖突，上的組策略設置與域上的組策略設置沖突，OU的有效策略是什么？的有效策略是什么？如果如果OU上的組策略設置與域上的組策略設置不沖突，上的組策略設置與域上的組策略設置不沖突，OU的有效策略是什么？的有效策略是什么？組策略的應用順序是什么？組策略的應用順序是什么？分發軟件分發軟件 修復軟件修復軟件刪除軟件刪除軟件 升級軟件升級軟件 分發軟件的步驟分發軟件的步驟 獲取獲取Win

10、dows安裝程序包文件；該軟件包包含一安裝程序包文件；該軟件包包含一個個.msi文件以及必要的相關安裝文件文件以及必要的相關安裝文件將軟件安裝文件放到一個軟件分發點將軟件安裝文件放到一個軟件分發點創建或修改創建或修改GPO分配與發布的區別分配與發布的區別分配：分配到用戶或計算機分配：分配到用戶或計算機發布：發布給用戶發布：發布給用戶分配比發布更具強制性分配比發布更具強制性用戶的軟件發生文件丟失或損壞時，自動重新復制用戶的軟件發生文件丟失或損壞時，自動重新復制正確的文件來修復正確的文件來修復如果原來軟件分發點上的安裝文件發生丟失或損壞如果原來軟件分發點上的安裝文件發生丟失或損壞在服務器上修復該軟

11、件的源文件在服務器上修復該軟件的源文件重新部署一次重新部署一次不再需要分發的軟件，可以在不再需要分發的軟件，可以在GPO中刪除軟件中刪除軟件設置設置 下一次用戶和計算機登錄或啟動時，軟件會被強制刪下一次用戶和計算機登錄或啟動時，軟件會被強制刪除除用戶和計算機仍可繼續執行使用軟件，但不允許重新用戶和計算機仍可繼續執行使用軟件，但不允許重新安裝安裝 強制升級強制升級強制用戶將當前軟件升強制用戶將當前軟件升級到新的版本級到新的版本可選升級可選升級允許用戶同時使用一個允許用戶同時使用一個應用程序的兩個版本應用程序的兩個版本 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有多

12、個賬，域中有多個賬戶戶ms1、ms2和計算機賬戶和計算機賬戶C1，如何使域中所有，如何使域中所有用戶使用統一的桌面背景？用戶使用統一的桌面背景？ 實現思路：實現思路：利用組策略統一桌面背景利用組策略統一桌面背景準備桌面背景圖片準備桌面背景圖片規劃桌面背景圖片的保存位置并共享規劃桌面背景圖片的保存位置并共享注意共享權限與注意共享權限與NTFS權限權限學員練習：學員練習：在在DC上共享文件夾并設置共享權限與上共享文件夾并設置共享權限與NTFS權限權限將背景圖片保存至共享文件夾將背景圖片保存至共享文件夾在在DC上創建并鏈接組策略上創建并鏈接組策略配置組策略配置組策略刷新組策略刷新組策略驗證組策略的應

13、用結果驗證組策略的應用結果 需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域，域中有組織單，域中有組織單位位Sales_OU，該組織單位中有多個賬戶和計算機賬戶，該組織單位中有多個賬戶和計算機賬戶，所有的策略為默認狀態，現在需要：所有的策略為默認狀態，現在需要：p所有計算機在關閉時會顯示所有計算機在關閉時會顯示“關閉事件跟蹤程序關閉事件跟蹤程序”p所有經典開始菜單的用戶不顯示所有經典開始菜單的用戶不顯示“注銷注銷”p所有所有Sales_OU中使用經典開始菜單的用戶顯示中使用經典開始菜單的用戶顯示“注銷注銷”實現思路：實現思路：在域的組策略上設置在域的組策略上設置“關閉事件跟

14、蹤程序關閉事件跟蹤程序”在域組策略和在域組策略和OU組策略上對同一策略做不同設置組策略上對同一策略做不同設置驗證效果驗證效果學員練習：學員練習：分別設置組策略分別設置組策略驗證組策略的繼承與生效順序驗證組策略的繼承與生效順序需求描述：需求描述：公司搭建了公司搭建了Windows 2008域域ABC.com，域中有多個，域中有多個用戶賬戶用戶賬戶ms1、ms2和計算機賬戶和計算機賬戶C1，現要將，現要將ocs分發給所有域用戶分發給所有域用戶 實現思路：實現思路：利用組策略實現軟件的分發與升級利用組策略實現軟件的分發與升級準備軟件的準備軟件的.msi安裝包安裝包規劃安裝包的保存位置并共享規劃安裝包的保存位置并共享注