組策略（基礎篇）學習目標懂得組策略如何簡化管理windows2003網絡；了解在windows2003網絡中組策略的結構；了解組策略各項的功能；掌握組策略對象的創建；掌握組策略對象的生效規則。內容介紹組策略概念組策略的內容結構在活動目錄中設置組策略組策略的生效規則重、難點分析重點：組策略的功能組策略的結構組策略對象的創建組策略的生效難點：組策略對象的存儲結構組策略對象的創建組策略的生效組策略(GroupPolicy)是一個管理用戶工作環境的技術,通過它可以確保用戶擁有所需的工作環境,也可以通過它來限制用戶,這不僅讓用戶擁有適當的環境,也減輕了系統管理員的管理負擔.任務一組策略概述使用組策略可以做到：站點/域級別的集中管理，OU級別分散的管理控制用戶的系統軟件環境通過控制用戶和計算機環境，降低管理成本任務一組策略介紹2003就能連接使用這些設置管理員使用組策略配置設置后站點域OU組策略用戶計算機組策略的功能展示帳戶策略的設定:例如設定用戶密碼的長度、密碼使用期限、帳戶鎖定策略等。本地策略的設置：例如審核策略的設置、用戶權限的指派、安全性的設置。腳本（scripts）的設置：例如登錄/注銷、啟動/關機腳本的設置。用戶工作環境的設置：例如隱藏用戶桌面上所有圖標，刪除“開始”菜單中的“運行”/“搜索”/“關機”等功能，添加“注銷”功能等。軟件的安裝與刪除:用戶登錄或計算機啟動時，自動為用戶安裝應用軟件、自動修復應用軟件或自動刪除應用軟件。限制軟件的運行:通過各種不同軟件限制的規則，來限制域用戶只能運行某些軟件。文件夾重定向:例如改變“我的文檔”、“開始菜單”等文件夾的存儲位置。其他系統設置用戶組策略設置:用戶登錄時，系統根據此內容來配置用戶的工作環境。桌面環境設置軟件設置Windows設置安全設置計算機策略設置:啟動計算機時，系統就會根據此內容來配置計算機的環境。桌面環境設置軟件設置Windows設置安全設置組策略的組成組策略的配置選項計算機配置：當啟動計算機時，系統就會根據“計算機配置”的內容來配置計算機的環境。用戶配置：當用戶登錄時，系統就會根據“用戶配置”來配置用戶的工作環境。注：除了可以針對站點、域、OU來設定組策略之外，還可以針對每一臺計算機配置“本地計算機策略”，這個策略只會應用到本地計算機以及在此計算機登錄的所有用戶。組策略基本規則組策略只能夠管理計算機與用戶，不可以管理打印機、共享文件夾等其它對象。組策略不能應用到組，只可以應用到站點、域控制器或者組織單位（Site、Domain、OU）等容器上。組策略不會影響未加入域的計算機和用戶，對于這些計算機和用戶，應該使用本地安全策略來管理。組策略是通過“組策略對象（GroupPolicyObject,GPO）”來設定的，只要將GPO鏈接到指定的站點、域或OU等容器上，該GPO內的設定值就會影響到該站點、域或OU內的所有用戶和計算機。內建的GPO：系統已經有兩個內建的GPO，分別是：DefaultDomainPloicy

此GPO已經被鏈接到域，因此它的設定值會被應用到整個域內的所有用戶和計算機。DefaultDomainControllerPloicy

此GPO已經被鏈接到DomainControllerOU，因此它的設定值會被應用到域控制器組織單位內的所有用戶和計算機，即默認只有域控制器。任務二組策略對象（GroupPolicyObject）GPO包含組策略設置內容存儲在兩個場所存儲在活動目錄數據庫內記載此GPO的屬性與版本等數據查看GPC：AD用戶和計算機--查看--高級--選擇域--展開System容器--Policies位于DC%systemroot%\SYSVOL\Sysvol\域名稱\Policies文件夾內,以GUID為文件夾名存儲GPO的配置值與相關文件的文件夾組策略容器GPC組策略模板GPT組策略所有配置信息GPO內容被分為GPC和GPT兩部分：GPO的內容創建連接的組策略對象創建連接的GPO連接的GPO的名字

默認：連接到域/OU—域/企業管理員組連接到站點—企業管理員組GroupPolicyCreatorOwners組可創建和修改GPO，但不能建立連接。新建的GPO沒有任何設置創建連接的組策略對象當修改了站點、域或OU的GPO配置值后，并不是立刻就有效，而是必須等它們被應用到用戶或計算機后才有效。計算機配置的啟用時間計算機開機時自動啟用即使不重新開機，系統仍然會每隔一段時間自動啟用：域控制器默認每隔5分鐘自動啟用非域控制器默認每隔90~120分鐘自動啟用不論策略配置值是否有變動，系統仍然會每隔16小時自動啟用一次手動啟用：gpupdate/darget:computer/force可從事件查看器內查看“SceCli”事件來檢查是否已經啟用成功。任務三組策略的生效應用用戶配置的啟用時間用戶登錄時自動啟用。即使用戶不注銷、登錄，系統默認每隔90~120分鐘自動啟用。而且會每隔16小時自動啟用一次。手動啟用：gpupdate/darget:user/force組策略實例在繼續組策略高級功能之前，為了加深印象，下面關于計算機和用戶的兩個實例：實例1：計算機配置由于系統默認只有某些組內（administrators）的用戶才有權限在扮演域控制器的計算機上登陸，因此一般用戶登陸時會提示“此系統的本地策略不允許您交互登陸”讓所有的域用戶都能登陸，修改“DefaultDomainControllerPloicy”中的“允許本地登陸”的權限。組策略實例實例2：用戶配置利用“用戶配置”讓某OU容器內的用戶登陸后在“開始”菜單內沒有“運行”選項。選擇此OU—屬性—組策略—新建—用戶配置—管理模板—任務欄和[開始]菜單—從[開始]菜單中刪除‘運行’菜單總結組策略的介紹組策略的結構組策略對象的內容組策略的生效時間9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Tuesday,March18,202510、人的志向通常和他們的能力成正比例。00:43:0100:43:0100:433/18/202512:43:01AM11、夫學須志也，才須學也，非學無以廣才，非志無以成學。3月-2500:43:0100:43Mar-2518-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。00:43:0100:43:0100:43Tuesday,March18,202513、志不立，天下無可成之事。3月-253月-2500:43:0100:43:01March18,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。18三月202512:43:01上午00:43:013月-2515、會當凌絕頂，一覽眾山小。三月2512:43上午3月-250