Transcript 组策略的配置与排错技巧
组策略的配置 课程内容: • 什么是组策略 • 组策略的应用 • 组策略的组成 • 使用GPMC来管理组策略 创建组策略 应用组策略 备份还原组策略 • 组策略的作用 管理模板 文件夹重定向 软件分发 WMI筛选器 软件限制 什么是组策略 • 组策略是一类功能,必须是在部署好AD环 境下应用组策略 • 能够帮我们去做网络管理,包括统一管理 网络中全部部分计算机,全部部分用户的 某些属性,比如桌面显示状况,控制面板 的显示状况, IE的设置,windows media 的设置,各种软件的设置,还有能不能装 某些软件,能不能卸某些软件,能不能使 用某些软件,所有能在计算机上对客户端 调整的工作,都可以用组策略来实现 • 能够充分利用好组策略,管理员的工作量 大大减少 组策略可以: • • • • 集中化管理 管理用户环境 降低管理用户的开销 强制执行企业策略 组策略的应用 站点 GPO1 组策略和哪个 容器连接起来 就在那个容器 生效。 GPO2 域 组策略只能 给这三中容器 做设置 GPO3 OU OU OU 组策略的组成 Group Policy Container Group Policy Object •存储在AD中 •保存组策略版本信息 •包括组策略设置 •存储在两个位置 Group Policy Template •存储在SYSVOL文件夹 •保存组策略的设置 使用GPMC管理组策略 GPMC是一个组策略管理的强大软件 • 运行--gpmc.msc • 默认域控制器策略和默认域策略 • 在详细信息选项卡中可以查看该组策略的 唯一ID(GUID)--- 查看 C:\WINDOWS\SYSVOL\SYSVOL\contos o.COM\POLICIES存放是该组策略的模板 • 想知道在组策略中设置了什么---设置--生成 报告---以web方式显示 演示: 1.新建一个组策略 组策略对象---右--新建---test 2.编辑组策略 test--右--编辑(组策略编辑器) 计算机配置和用户配置有什么区别? 3.让test策略应用于一个OU • 在gpmc中把test拖到那个OU上面 • 则在test里面对用户的配置会对bob生效 (注销再登陆),对计算机配置会对计算 机帐户生效(重启). 4.备份,还原组策略 test--右--备份--选择一个位置--新建一个文件 夹---开始备份 删除test---组策略对象--右--管理备份---选择 备份的文件---还原 5.组策略的继承关系 • 默认继承:子OU默认可以继承父OU的所 有组策略 • 阻止继承 • 强制继承 • 设置权限 (1)☻删除test--新建1组策略和2组策略--把1 拖到OU上 查看: OU---组策略继承--两个组策略1和 defualt domain(域级别默认组策略,从 域上继承过来的组策略) 那么OU上的用户计算机,登陆或开机生效的 组策略是两个组策略的和 ☻把2拖到域级别上 查看: OU---组策略继承---三个组策略 OU同时应用了三条组策略,如果之间有了 冲突,则列表中顺序上面的优先级最高 (2).不希望OU继承来自域的组策略--OU--右-阻止继承 (3).让默认域级别组策略强制继承---default domain policy--右--强制 强制继承和阻止继承冲突时听强制继承的 (4).组策略只对某一个用户alice不生效 组策略1---委派---高级---添加alice---拒绝应 用组策略(权限控制用户应用组策略) 组策略的作用 • • • • • • 管理模板 脚本 文件夹重定向 软件分发 WMI筛选器 软件限制 管理模板 • 编辑组策略1---用户配置---管理模板: 主要作用通过图形化设置界面可以改客户端 的注册表 例如:IE禁止更改主页---任务栏和开始菜单中 删除运行---桌面从桌面删除回收站---控制 面板--显示(隐藏设置选项卡) • 查看: OU中任意一个用户来登陆会发现所 有的设置都已经修改了 脚本 • 计算机下启动和关机脚本 • 用户下登陆和注销脚本 • 两者生效时间不一样 1.建一个脚本logon.vbs,所有能在windows下做 的操作都能用脚本实现,写入: msgbox “hello” 调用函数---调用一个简单的 windows对话框 • 让这个脚本在OU用户登陆时生效 2. 脚本---登陆--添加---浏览(脚本必须放在默认位 置) 文件夹重定向 文件夹重定向---可以把客户端这四个文件夹 重定向到任意一个共享文件夹 1.DC的E盘下创建一个doc文件夹---共享---权 限放到最大(添加everyone给完全控制权 限) 2.文件夹重定向---我的文档--右--属性--\\192.168.1.4\doc 会在这个文件夹下创建一个以该用户名字的 文件夹,然后把客户端的我的文档里的文 件存到这里 3.在客户端查看---我的文档--属性---目标文件 夹的路径 4.查看--DC的E盘下的doc---里面有一个用户 文件夹(但只有用户本人自己可以访问) • 注意:组策略刷新需要时间,为了刷新快 点 gpupdate /force可以在客户端刷新服 务器端的组策略 软件分发 在网络管理经常需要给客户端装很多软件, 有了组策略不需要跑到客户端,只要在服 务器端就可以给他装软件了 1.在DC软件gpmc---共享 2软件设置---软件安装---新建一个程序包(虽 然在本地,必须通过网络路径去找)--gpmc.msi---发布方式---指派 3.查看:客户端登陆---该软件已经装上 其实当第一次运行时它才真正安装上 注意: • 如用组策略来把软件安装在客户端上,必 须是msi的安装程序(只有windows操作 系统是兼容的),wininstallle可以将exe 安装程序转成这个格式。 • 还有一个SMS软件可以将所有的软件(任何 格式)发到客户端上面 WMI筛选器 • 组策略能做软件分发,来装OFFICE,有的机器 好有的机器坏,P4的装office 2003,P2的机器 装offcie 97 • 原来做软件分发,把p4放在一个OU,P2机器放 一个OU • 做一个wmi筛选器和一个组策略连接起来,然后 组策略利用筛选器自己判断生效的客户端的CPU, 是p3 以上就装office 2003,如果以下就装office 97 • 根据另一个参数,office要500M,组策略在应用 到所有客户端上时,先检查一下计算机C盘够不 够500M,如果不够就不应用,否则装一半就报错 演示: 1.查看组策略1---WMI筛选器--没有 2. WMI筛选器(作用查询客户端的某些参数, 返回结果,两种0和1:磁盘空间大于500M, 返回真,则组策略生效,假不生效) • 新建筛选器---disk--查询语句---保存 Select * FROM Win32LogicalDisk WHERE (Name="C:" or Name="D:" or Name="E:") AND DriveType=3 AND FreeSpace>10485760 AND FileSysytem="NTFS" • 客户端必须满足这三个条件才会返回 真,就可以应用该组策略,如果为假 则不应用 3. 和组策略1做连接---WMI筛选器--disk 什么是软件限制策略 • • • • 软件限制策略可以控制电脑上运行什么样的程序 只允许用户在多用户电脑上运行指定类型的文件 控制哪些用户运行软件时有限制 防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑 可以通过组策略来限制客户端能使用的软件 软件限制策略的规则 哈希规则 证书规则 •利用文件的MD5或SHA1的hash来 做比较 •当您有一个多版本的文件时,来防 止有些版本的运行 •利用程序上的数码签名来做比较 •防止有些win32的程序或含有 Active X的程序运行 internet区域规则 路径规则 •控制不同web Application在不同 的Internet区域里 •利用路径来做比较 •当您的文件夹里含有许多要被 运行程序所用到的文件 1. 组策略1--编辑---安全设置----软件限制策 略---创建软件策略---其他规则--新建路径 规则--c:\windows\system32\notepad.exe--不允许(不受限--允许) 但是客户端可以把这个可执行程序拷贝到另 一个地方就可以运行了 2. 删除路径规则---新建哈希规则---文件路径-自动算出哈希值--不允许 文件不管放在哪都不能运行 如果一个程序有多个规则,怎么办?? 比如: 给calc.exe做了三条规则 • 路径规则 不限制 • 哈系规则 不允许 • 证书规则 不允许 优先级: 1.哈系规则 2.证书规则 3.路径规则 4.Internet 区域规则