理论部分
课程回顾
•添加额外域控制器有什么好处? 添加额外域控制器需要满足哪些条件?
•如何添加额外域控制器？
技能展示
理解组策略的概念
•创建组策略
理解计算机配置和用户配置的区别掌握组策略的应用规则
组策略概念
I
、
组策略对象概念
I
创建组策略
1
U 建组策略
| 策略继承与阻止 ] 策略累加型突 ]
官策略应用规心 |策麟制纹 | 筛选
I
软件分发
I
本章结构 组策略应用
I
•组策略
-一组策略的集合
-用来统一修改系统、设置程序
设置桌面环境1-^-1
>71.
女至以直自动
执行脚本 ,软件分
发
•组策略的优点
-减小管理成本
-只需设置一次，相应的计算机或用户即可应用-减小用户单独配置错误的可能性
-可以针对特定对象设置特定的策略
-用户
.计算机
组策略对象
• GPO ( Group Policy Object)的概念-存储组策略的所有配置信息
—AD中的一种特殊对
象
•默认GP。

-默认域策略
-默认域控制器策略• GPO链接
-只能链接到站点、域、
*1?
B 兴卜5” ccr»
TZ I DMtfdt ?。

1 技
y
S iij Dm.m = a
a id人争即
矿-ms
B 团HH®
JJ D-fx-alt Derain Ccc.troll.rx Tolicj (jf 以
点、Dgin Fdicy
S J nllWWw
9 3 SltfUt 彻
虫站点
t匝烈銓榜
U
______________________________________________L
■ .冋
X1 二ia j
bcne com中的组策略对关内召
|签塩|
计算机配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置。

控制面板设置
计算机配置只针对容器中的计算机生效
用户配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置。

控制面板设置
计算机配置和用户配置2-1
用户配置只针对容器中的用
户生效
案例：组策略的简单应用
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中
•需求描述
-销售部员工使用统一的桌面背景，禁止更改桌面背景
•实现思路
-创建并链接GPO
-配置组策略
1!
-用户配置-策略-管理模板-桌面-桌面
小结
•请思考
-使用组策略有什么好处? -GPO可以链接到哪些对象?
计算机配置和用户配置有什么区别？
—使用什么命令可以刷新组策略使其立即生效?
•策略继承与阻止
-下级容器可以继承或阻止应用其上级容器的
GPO设置
•策略累加与冲突
-多个GPO设置可以累加或发生）中突被覆盖•策略强制生效
使下级容器强制执行其上级容器的GPO设置•筛选
-阻止一个容器内的用户或计算机应用其GPO设
置
策略继承与阻止
•下级容器默认会继承来自上级容器的GPO 子容器可以阻止继承上级容器的G P0
—右击魚组宙路萸RB I卜幺快承
志又件伊）掬TOO s§（v）窗口0）戒助oo
I _|g| '-I
坦洒治理
、\、林.bsot. C^ri
(3紗
[d，bwn«t. ccn
* Dtf&nlt D
稍售部
此列瘀包括任佛脇到芯点的物。

有关更多详细信!？，苗单击"奈助”" Policy
D OB »a a Conir all arv
人事浏工程却
-行晩J
:一財和
E =
R allp^D cr_S41es
'［壬襲驚义北京一
F 下、m （SiSH ffi 言
Starter 时。

m甬站点
r：组語珞丑很
丄翁苗瑁作军
继承默认域策略
2J
策略累加与冲突
•如果多个组策略设置不冲突，则最终的有效策略是所有组策略设置的累加
如果多个组策略设置冲突，则后应用的组策略覆盖先应用的组策略
组策略设置是否冲突OU的有效设置域：已启用"从桌面删除回收站厂
0U :已启用"阻止更改墙纸" 否元緬删除回收站
阻止更改墙纸
域：已禁用"阻止更改墙纸"
0U1已启用"阻止更改墙纸" 是阻止更改墙纸
组策略应用顺序
•组策略应用顺序:LSDOU
-首先应用本地组策略
-如果有站点组策略，则应用
-接着应用域策略
-最后应用0U上的策略
-如果同一个OU上链接了多个GPO ,则按照链接顺序从高到低逐个应用
策略强制生效
强制生效是上级容器强制下级容器执行其GPO设-IDI XI
〃强制生效"会覆盖"阻止继承"设置
筛选
•筛选可以阻止一个GPO 应用于容器内的特 定计算血或用户
-委派一权限设置
安全设虽
安全I
r* Donain Adnins IjEHETSIonain Admits)
'f^ Enlerpr J se ASina G)EKETkEntexprise Adnins) ^EllTERFBISE ODKTKOUCTS 係 namgcr 为 (nana&er aObsGl us) 11
渤施）...I 榔紐）
允许
3詞
写入
创逮所有子?撿 删院昕有子?掾
諏(V)
7償苗i 誹稀ll 知忡隔
I 程 I 瞬
应用伝）
小结
口
口
口
请思考
-如果OU上的组策略设置与域上的组策略设置不冲突，该OU的有效策略是什么?
-如果OU上的组策略设置与域上的组策略设置冲突，该0U的有效策略是什么?
-组策略的应用顺序是什么?
软件分发
•软件分发步骤
-准备.msi格式文件
-将.msi格式文件放置到软件分发点
—创建并链接GPO
•分配与发布的区别
-分配：将程序分配到用户或计算机
-发布：将程序发布给用户，用户可选择是否安装
-分配比发布更具有强制性
实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U 〃销售部〃中•需求描述
-将软件MBSA统一分发给销售部所有员工-用户可以选择是否进行安装
•实现思路
-准备软件mbsa.msi
-将软件mbsa.msi放置至U共享文件夹中
-创建并链接GPO
用户西己詈—笫临—软件设詈
组策略概念 I 、 组策略对象概念 I 创建组策略 1 U 建组策略 | 策略继承与阻止 ] 策略累加型突 ] 官策略应用规心 |策麟制纹 | 筛选 I 软件分发 I 本章总结
组策略应用 I
上机部分
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中•需求描述
-销售部员工使用统一的桌面背景
•实现思路
-准备桌面背景图片
将图片放置到共享文件夹中（赋予读取权限即可）
—创建并链接GPO
一配置组策略
用户配置-策略-管理模板-桌面-桌面-刷新组策略
-验证组策略的应用结果皿孫野完成
实验案例二:组策略的应用规则2
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中
•需求描述
-禁止所有用户运行命令提示符
-所有用户使用公司统一的桌面背景
-销售部用户使用销售部统一的桌面背景
-销售部经理可以自定义桌面背景
组策略的应用规则2-2
•实现思路
-将两张桌面背景图片放到共享文件夹（赋予读取权限）
-编辑默认域策略
.启用〃阻止访问命令提示符〃策略
•设置公司统一使用的桌面背景
-在0U "销售部”上创建并链接GPO
•设置销售部统一使用的桌面背景
•委派权限，为销售部经理添加〃读取〃和〃应用组策
略〃的拒绝权限
练跡完成。