資源描述:
《組策略與組策略管理》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、第1章組策略與組策略管理教學(xué)提示:組策略是Windowsserver2003系統(tǒng)中功能最為強(qiáng)大的基礎(chǔ)技術(shù),也是在實(shí)際中應(yīng)用最廣泛的技術(shù);網(wǎng)絡(luò)管理人員最得力的助手。通過(guò)組策略可以很方便地對(duì)系統(tǒng)進(jìn)行管理,尤其是在域模式下組策略的功能更加如虎添翼。教學(xué)目標(biāo):本章目的是學(xué)習(xí)組策略的基本操作;熟練運(yùn)用組策略來(lái)實(shí)現(xiàn)域模式下多計(jì)算機(jī)軟件分發(fā)任務(wù)。熟練使用組策略對(duì)系統(tǒng)進(jìn)行安全加固的方法。1.1組策略概述1.1.1何謂組策略所謂策略(Policy),是Windows中的一種自動(dòng)配置桌面設(shè)置的機(jī)制。所謂組策略(GroupPolicy)
2、,顧名思義,就是基于組的策略。它以Windows中的一個(gè)MMC管理單元的形式存在,可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定用戶來(lái)設(shè)置多種配置,包括桌面配置和安全配置。譬如,可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容,以及“開(kāi)始”菜單選項(xiàng)等,也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之,組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。簡(jiǎn)單點(diǎn)說(shuō),組策略就是修改注冊(cè)表中的配置。當(dāng)然,組策略使用自己更完善的管理組織方法,可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置,遠(yuǎn)比手工修改注冊(cè)表方便、靈活,功能也更
3、加強(qiáng)大。1.1.2組策略編輯器及組策略基本功能您只需單擊選擇【開(kāi)始】→【運(yùn)行】命令,在【運(yùn)行】對(duì)話框的【打開(kāi)】欄中輸入“gpedit.msc”,然后單擊“確定”按扭即可啟動(dòng)windows2003組策略編輯器。(注:這個(gè)“組策略”程序位于“C:WINNTSYSTEM32”中,文件名為“gpedit.msc”。)圖13-1組策略編輯器窗口在打開(kāi)的組策略窗口中(如組策略圖所示),可以發(fā)現(xiàn)左側(cè)窗格中是以樹(shù)狀結(jié)構(gòu)給出的控制對(duì)象,右側(cè)窗格中則是針對(duì)左邊某一配置可以設(shè)置的具體策略。另外,您或許已經(jīng)注意到,左側(cè)窗格中的【本地計(jì)
4、算機(jī)】策略是由【計(jì)算機(jī)配置】和【用戶配置】?jī)纱笞渔I構(gòu)成,并且這兩者中的部分項(xiàng)目是重復(fù)的,如兩者下面都含有【軟件設(shè)置】、【W(wǎng)indows設(shè)置】等。那么在不同子鍵下進(jìn)行相同項(xiàng)目的設(shè)置有何區(qū)別呢?這里的【計(jì)算機(jī)配置】是對(duì)整個(gè)計(jì)算機(jī)中的系統(tǒng)配置進(jìn)行設(shè)置的,它對(duì)當(dāng)前計(jì)算機(jī)中所有用戶的運(yùn)行環(huán)境都起作用;而【用戶配置】則是對(duì)當(dāng)前用戶的系統(tǒng)配置進(jìn)行設(shè)置的,它僅對(duì)當(dāng)前用戶起作用。例如,二者都提供了“停用自動(dòng)播放”功能的設(shè)置,如果是在【計(jì)算機(jī)配置】中選擇了該功能,那么所有用戶的光盤(pán)自動(dòng)運(yùn)行功能都會(huì)失效;如果是在【用戶配置】中選擇了此項(xiàng)
5、功能,那么僅僅是該用戶的光盤(pán)自動(dòng)運(yùn)行功能失效,其他用戶則不受影響。設(shè)置時(shí)需注意這一點(diǎn)。組策略功能具有強(qiáng)大的功能,一般常用組策略來(lái)實(shí)現(xiàn)軟件分發(fā)、IE維護(hù)、軟件限制、脫機(jī)文件、安全設(shè)置、漫游配置文件、文件夾重定向、基于注冊(cè)表的設(shè)置、計(jì)算機(jī)和用戶腳本等。接下來(lái)重點(diǎn)以組策略實(shí)現(xiàn)軟件分發(fā)和組策略實(shí)現(xiàn)軟件限制以包安全為例講述組策略的具體應(yīng)用。1.1組策略實(shí)現(xiàn)軟件分發(fā)在域模式下,通過(guò)組策略來(lái)實(shí)現(xiàn)軟件分發(fā)非常方便快捷,在開(kāi)始菜單里選擇【程序】→【管理工具】→【ActiveDirectory用戶和計(jì)算機(jī)】,打開(kāi)【ActiveDire
6、ctory用戶和計(jì)算機(jī)】。圖13-2活動(dòng)目錄用戶和計(jì)算機(jī)窗口可在此選擇整個(gè)域或者某組織單元,右擊選擇【屬性】,在【組策略】頁(yè)中,點(diǎn)【新建】組策略,命名為“軟件分發(fā)”。圖13-3為域新建名為“軟件分發(fā)”的組策略然后點(diǎn)“編輯”,即打開(kāi)“組策略編輯器”。圖13-4“軟件分發(fā)”組策略編輯器在組策略編輯器的計(jì)算機(jī)配置里,點(diǎn)【軟件設(shè)置】前“+”號(hào)展開(kāi),選擇【軟件安裝】后在右邊空白處右擊,如圖13-5所示,在彈出菜單里選擇【新建】→【程序包】。圖13-5新建軟件安裝程序包點(diǎn)開(kāi)“程序包”后會(huì)出來(lái)讓你選擇程序包位置的窗口,如圖13-
7、6所示,程序包文件是MSI后綴的文件,MSI文件是WindowsInstaller的數(shù)據(jù)包,它實(shí)際上是一個(gè)數(shù)據(jù)庫(kù),包含安裝一種產(chǎn)品所需要的信息和在很多安裝情形下安裝(和卸載)程序所需的指令和數(shù)據(jù)。可以應(yīng)用工具自己創(chuàng)建自己的MSI程序包,創(chuàng)建MSI程序包的工具一般在系統(tǒng)安裝盤(pán)里有。圖13-6選擇要安裝的軟件包圖13-7選擇部署方法假如要安裝Windows2003自帶的支持工具包文件,這個(gè)安裝包文件必須事先放在服務(wù)器的某個(gè)目錄下并共享且其他機(jī)器有相應(yīng)的權(quán)限(要是其他可執(zhí)行文件須先做成MSI格式的安裝包才可以分發(fā))。選擇
8、后要分發(fā)的安裝包后,讓選擇部署方法:選擇“已指派”,若選“高級(jí)”即打開(kāi)一個(gè)新的屬性頁(yè)可進(jìn)行其他高級(jí)選項(xiàng),如下圖所示:圖13-8部署方法“高級(jí)”界面圖13-9“軟件分發(fā)”設(shè)置完后的界面這樣就完成了軟件分發(fā)。這里“指派”為強(qiáng)制安裝,如果希望用戶決定是否安裝應(yīng)用程序則可以利用發(fā)布的方式,在“用戶配置”里設(shè)置,操作步驟同上,只是在選擇部署類型的時(shí)候選擇"已發(fā)布"。還