《Win2008R2AD组策略-统一域用户桌面背景要点.pdf》由会员分享,可在线阅读,更多相关《Win2008R2AD组策略-统一域用户桌面背景要点.pdf(22页珍藏版)》请在三一文库上搜索。
1、我们先了解下组策略知识: 1、组策略中包含两部分: 1 计算机配置: 针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。 2 用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。 2、根据应用范围将组策略分为三类: 1 域的组策略:设置对于整个域都生效。在“AD用户和计算机”中,右击域名- 属性 - 组策略。 2 OU的组策略:设置对于这个的OU生效。在“ AD 用户和计算机”中,右击OU名- 属性 - 组策略。 3 站点的组策略:设置对于这个站点生效。在“AD站点和服务”中,右击站点名- 属性 - 组策略。 注意:“运行”中键入gpedit.msc ,
2、启动的是本地组策略,我们要的是“域组策略”!所以必须右击 “AD用户和计算机”中才能进入。 3、组策略的执行顺序: 1 站点 - 域 -组织单元(OU ) 2 计算机配置 - 用户配置 4、组策略的冲突: 1 在不同组策略中的同一项目的设置相反,就是组策略冲突。如:在站点组策略中,“隐藏桌面上的 网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。再如:在域的组策略中“密码长度”设 置为“ 7”,而OU的组策略中设置的是“ 6”。 2 冲突的结果:后执行的是结果。 5、组策略中的设置内容: 1 软件安装:自动安装应用软件。计算机配置和用户配置下都有。准备工作:软件的源安装文件,在 安
3、装文件中要有.msi 为后缀的可执行文件。将软件的源安装文件放到一个共享文件夹中。(网络路径) A、已发行:由用户决定是否安装。如果软件包是已发行方式,用户登录后,系统会在添加/ 删除 程序 -添加新程序中显示已发行的软件包。在计算机配置中不能实现。 B、已指派:强制性安装,自动安装。 2 WINDOWS 设置: A、计算机配置:脚本(启动和关机),安全设置。 B、用户配置: IE 维护,脚本(登录和注销),安全设置(密钥),远程安装服务(为客户 机安装 WIN2000 PRO ),文件夹重定向(把用户的一些重要文件夹重定向到文件服务器中)。 3 管理模板: A、计算机配置:WINDOWS组件
4、、系统、网络、打印机。 B、用户配置:WINDOWS组件、系统、网络、任务栏和开始菜单、桌面、控制面板。 6、“组策略”选项卡下的操作: 1 删除:删除组策略对象。 注意: A 非永久删除: “从列表中移除连接”。只是在列表中删除,还可以在系统中找到,并添加 回来或添加到其他容器上。 B 永久性删除:“移除连接并将组策略永久删除”。彻底的删除掉,在系统中无法找到了。 2 新建:新建一个组策略。 3 编辑:编辑指定组策略的设置。 4 添加:将系统中已有的组策略应用到指定容器(域、OU 、站点)中。 5 选项: A 禁止替代:禁止后执行的组策略中的项目更改这个组策略的项目。如: 在域的组策略中“密
5、 码长度”设置为“ 7”, 而 OU的组策略中设置的是“ 6”, 并且在域的组策略中选择了“禁止替代”。那么最终 结果为“密码长度”是“7”。 B 被禁用:指定组策略不在容器上应用。 6 属性: A 禁止计算机配置:指定组策略的计算机配置在容器上不生效。 B 禁止用户配置:指定组策略的用户配置在容器上不生效。 C “安全”选项卡:对于指定组策略的控制权限的设置。 7 如果在一个容器上有多个组策略,在组策略列表中上端的先执行,依次向下执行。 A “向上” / “向下”按钮:修改容器上的组策略在列表中的位置,从而修改了容器上组策 略的执行顺序。 8 “阻止策略继承”选项:从更高级站点、 域或组织单
6、位继承的策略可以在该站点、域或组织单 位级别被拒绝。禁止更高级别的组策略在该容器上执行。 A “阻止策略继承”如果已启用“禁止替代”,则不会阻止“组策略”对象。 B “阻止策略继承”只能在站点、域和组织单位上设置,而不能在单个“组策略”对象上设置。 7、最佳操作 1 组策略: A 禁用组策略对象的未使用部分。 B 使用阻止策略继承和禁止替代部分功能。 C 最小化与域中或组织单位中的用户关联的组策略对象的数量。应用于用户的组策略越多, 它登录的时间越长。 D 避免交叉域组策略对象分配。如果从其他域获得组策略,那么组策略对象的处理将减慢登 录和启动。 2 软件安装和管理 A 在 Windows 安
7、装程序包发行或指派之前确定它们已正确转换。.msi 或 .mst文件。 B 每个组策略对象只指派或发行一次:例如, 如果将 Microsoft Office 指派给受组策略 对象影响的计算机,则不能再将它指派或发行给受组策略对象影响的用户。 C 重新打包现有软件。 D 使用 DFS 。 E 在 Active Directory 层次结构中的高层指派或发行。 3 文件夹重定向 A 让“My Picture ”文件夹始终跟随“我的文档”文件夹。 * * 了解以上组策略知识后,我们就开工 (*_*) 组策略管理在windows 域管理中占有重要地位,本身也不是新的内容了。但微软在Windows200
8、8 中终于集成了 一个非常好用的组策略管理工具组策略管理控制台。注意: 2008 r2 右击域或者OU的属性中不再出现“组 策略”。 在 Server 2008 以前的 Windows Server 中要想配置组策略,是件麻烦事。 后来微软推出了一个小工具gpmc , 才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工具的存在。在Windows 2008 R2 中,微软 将它集成了进来,大大方便了管理员对于组策略的管理和配置。首先,让我们看看它的庐山真面目吧! 在“开始” - “管理工具”- “组策略管理”,就可打开。或者在“运行”中键入gpmc.msc,也能打开: 对“财政部”的用
9、户统一桌面,右击“财政部”- “在这个域中创建GPO 并在此处链接” 命名为“财政部组策略对象” 右击 -“编辑” 1、启用 “ 用户配置 - 管理模板 - 桌面 -Active Desktop-启用 Active Desktop “, “ 禁用 Active Desktop“保持 “ 未配置 “ 2、启用 “ 用户配置 - 管理模板 - 桌面 -Active Desktop-桌面墙纸 “并在墙纸 “名称 “处输入墙纸的路径 在 AD服务器中共享一个“ Share”的文件夹,权限为everyone 读取,在里面放一张壁纸: 这是壁纸的内容: 在下面中输入192.168.1.88sharebackgroundNBA.jpg 更新组策略 :gpupdate 用“财政部”的用户登入客户端,会发现桌面已变。 会发现桌面的图标有蓝色阴影,相当难看!请见我的解决方案。 发现桌面不能更改,全部灰色不可用: 用域管理员账号登入客户端,桌面不受影响: OK! $ $ 下面是对浏览器的标题进行统一设定: “运行” -gpupdate ,更新组策略。 以下用财政部的一个用户登录客户端验证: 用域管理员验证,不受影响 下面是限制用户能登陆的机子:
链接地址:https://www.31doc.com/p-5198474.html