学习目标
v在完成本章的学习后,您将能够:v共同组策略集中管理网络
企业需求
v企业的员工都使用计算机办公,为了管理上的方便,需要对全部的计算机在某些配置上强制性实施统一的配置。例如:密码设置原则、统一安装办公软件。
什么是组策略
v“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系,不要把组策略理解为是针对用户组所配置的策略。
v组策略是一种在用户或计算机集合上强制使用一些配置的方法,组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括菜单启动项、软件设置,这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。
各种组策略
v计算机是否加入到域对策略的影响是很大的
v没有加入到域中的计算机只有本地策略在起作用v而如果计算机加入到域中,牵涉的组策略就复杂得多了,包括本地策略、默认域策略、默认域控制器策略,还有组织单元上(OU)的策略等
本地策略、本地安全策略
v没有加入到域中的计算机只有本地策略在起作用v本地安全策略是本地策略的一部分
本地安全策略:在管理工具中
本地策略:在MMC中添加
添加管理单元:组策略对象编辑器
本地安全策略是本地策略的一部分
两种配置选项
v计算机配置:用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上,当该计算机启动后,自动应用设置的组策略。
v用户配置:用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时,就会应用用户配置组策略。
默认域策略
v域策略会应用到整个域,域策略存储在域控制器上。
v在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。
默认域控制器策略
v默认域控制器策略是应用到域中的域控制器的。v在“Active Directory用户和计算机”窗口中的左边选中“Domain Controllers”,右击鼠标选择“属性”项,选择“组策略”选项卡。
v域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。
v默认域控制器策略是安装Windows 2003时自动创建的、应用到域控制器上的策略。
17.1.4 各种策略存在的位置
各种策略并存时,哪个在起作用?
v作用顺序:
q首先是本地策略
q然后是域策略
q域控制器策略(域控制器上才有)
v如果发生不同组策略对同一策略项设置了不同的值,后者将替代前者
v也就是说本地策略的优先级是最低的。
创建组策略
n每一计算机上的本地策
略都是只能有一个,因
此只能编辑本地策略而
不能创建本地策略
n而域上可以有多个组策
略,我们可以在一个域
上同时应用多个组策略
也可以在原有的策略上直接进行修改
创建新的组策略,则域上有多个策略存在
n有多个策略时,排在
列表上面的组策略具
有较高的优先级
n对于同一策略设置,
上面的组策略会替代
下面的组策略
修改域控制器上的默认策略
设置密码策略