一、SIMATIC S7 使用概述
1.0 S7-300概述
1.1 特性
a) 针对低性能要求的模块化中小控制系统
b) 不同档次的CPU
c) 可选择不同类型的扩展模块
d) 可以扩展多达32个模块
e) 模块内集成背板总线
f) 网络连接:多点接口(MPI),PROFIBUS 或工业以太网
g) 通过编程器PG访问所有的模块
h) 无插槽限制
i) 借助于“HWConfig“工具可以进行组态和设置参数
2.0 技术参数
CPU312IFM CPU313CPU314CPU314IFM CPU 315工作存储器 6 K 字节12 K 字节24 K 字节24 K 字节48 K 字节
20 K 字节20 K 字节40 K 字节40 K 字节80 K 字节装载存储器(内部集成
RAM.)
——512 K 字节512 K 字节——512 K 字节装载存储器
(FlashEPROM)
(最多可接)
DI/DO 128 128 512 992 1024
AI/AO 32 32 64 248 128
本机I/O点
DI/DO 10 / 6 ————20 / 16 ——
AI/AO —————— 4 / 1 ——
0.6ms 0.6 ms 0.3 ms 0.3 ms 0.3 ms
程序执行时间(1K二进
制指令)
存储器标志位1024 2048 2048 2048 2048
计数器/定时器32 / 64 64 /128 64/128 64/128 64/128
有无无有无
集成功能
例如:计数器/频率测量
4 4 4 4 4
同时通过MPI通讯的节
点
2.1 技术数据
S7-300 CPU 家族支持一个通用的指令集和寻址方法。上面的幻灯片向你展示了S7-300 CPU312 --- CPU315最重要的技术规范。
2.2 程序块的数目程序块数目的差别是:(FB, FC, DB)。
CPU 312CPU 313/314/315
32 FB128 FB
32 FC128 FC
63 DB127 DB
注:- FB 功能块、- FC 功能调用、- DB 数据块
2.3 输入/输出
对CPU 312/313,只能有1层组态。
2.4 机架组态
对CPU 314/315,可以支持4层组态。
2.5 DP 连接S7-315-DP 有一个附加的接口,可以支持PROFIBUS 分布式外设(DP)
3.0 S7-300模块
3.1 信号模块(SM)
a) 数字量输入模块:24V DC,120/230V AC
b) 数字量输出模块:24V DC,继电器
c) 模拟量输入模块:电压,电流,
电阻,热电偶
d) 模拟量输出模块:电压,电流
3.2 接口模块(IM)
IM360/IM361 和IM365 可以用来进行多层组态,它们把总线从一层传到另一层。
3.3 占位模块(DM)
DM 370占位模块为没有设置参数的信号模块保留一个插槽。它也可以用来为以后安装的接口模块保留一个插槽。
3.4 功能模块(FM)
执行“特殊功能”:计数、定位、闭环控制
3.5 通讯处理器(CP)
提供以下的连网能力:点到点连接、PROFIBUS、工业以太网
4.0 S7-300: CPU 设计
4.1 模式选择器
MRES = 模块复位功能
STOP = 停止模式:程序不执行
RUN = 程序执行,编程器只读操作
RUN-P = 程序执行,编程器读写操作
4.2 状态指示器(LED)
SF = 组错误:CPU内部错误或带诊断功能模块错误
BATF = 电池故障:电池不足或不存在
DC5V= 内部5 V DC 电压指示
FRCE = FORCE:指示至少有一个输入或输出被强制
RUN = 当CPU启动时闪烁,在运行模式下常亮
STOP = 在停止模式下常亮
有存储器复位请求时慢速闪烁
正在执行存储器复位时快速闪烁
由于存储器卡插入需要存储器复位时慢速闪烁
4.3 存储器卡
为存储器卡提供一个插槽。当发生断电时利用存储器卡可以不需要电池就可以保存程序。4.4 电池盒
在前盖下有一个装锂电池的空间,当出现断电时锂电池用来保存RAM中的内容。
4.5 MPI连接
用MPI接口连接到编程设备或其它设备
4.6 DP 接口
分布式I/O 直接连接到CPU的接口。
5.0 安装STEP 7对PG/PC的要求
硬件/软件要求
处理器80 486 或更高,推荐Pentium
硬盘(自由空间)最小300 MB (对Windows、交换文件、STEP7、项目)
RAM>= 32 MB, 推荐64 MB
接口CP 5611 或MPI 卡或PC-适配器存储器卡编程适配器
鼠标要
操作系统Windows 95/98/NT
注意:SIMATIC S7 系列的新编程器为STEP 7安装提供最佳条件。
在PC中插入一个MPI 卡也可以满足上面提出的要求,或者用一个PC适配器连到COM 接口。
二、PLC 的硬件安装和维护
1.0 S7-300 的组件
部件功能
导轨是S7-300的机架
电源(PS)将电网电压(120/230V)变换成为S7-300所需的24VDC工作电压
中央处理器(CPU)执行用户程序。附件:存储器模板、后备电池
接口模板(IM)连接两个机架的总线
信号模块(SM)(数字量/模拟量)把不同的过程信号与S7-300相匹配附件:总线连接器、前连接器
功能模块(FM)完成定位、闭环控制等功能
通讯处理器(CP)连接可编程控制器。附件:电缆、软件、接口模块
注:组成S7-300可编程控制器的部件简介
导轨导轨上可以安装电源、CPU、IM和最多八个信号模板
电源电源的输出是24VDC,有2A、5A和10A三种型号。输出电压是隔离的,并具有短路保护,不带负载时输出稳定。一个LED用来指示电源是否正常,当输出电
压过载时,LED指示灯闪烁。用选择开关来选择不同的供电电压:120V 和230V。
中央处理器CPU 的前面板有如下的部件:
?状态和故障指示灯,
?可取下的4位模式开关
?24V电源的连接
?连接到编程设备或另一台可编程控制器的多点接口(MPI)
?电池盒(CPU 312/FM不具备)
?存储器模块盒(CPU 312/FM和314/FM不具备)
接口模板接口模板提供多层组态的能力
信号模板这些模板根据电压范围或输出电压来选择。每个模板都有一个总线连接器,总线连接器连接背板总线。过程信号连接到前连接器的端子上
连接电缆用一个PG 电缆可以直接连接编程设备,几台可编程控制器之间组网也需要PROFIBUS 电缆和电缆连接器
功能模块功能模板替换当前智能处理器模板
通讯处理器PROFIBUS 现场总线系统的通讯处理器
2.0 S7-300的安装位置(水平和垂直安装位置)
依赖于安装位置,可编程控制器的控制柜的温度如下:
?0-600C :对于水平安装
?0-400C :对于垂直安装
3.0 S7-300的扩展能力
最大扩展能力S7-300/CPU314/315的可以扩展到32个模板,每个机架(层)安装8个模板。对于信号模板、功能模板和通讯处理器没有插槽限制,也就是说它们可以插到任何一个槽
位。
接口模板(IM)接口模板(IM 360/361)用来在机架之间传递总线。
IMS 接口代表发送,IMR 接口代表接收。接口模板必须安装到特定的插槽。
如果需要,在扩展机架可以安装辅助电源。
对于双层组态,硬连线的IM 365 接口模板较为经济(不需要辅助电源,在扩展机架
上不能使用CP模板)。
局部地址区一些功能模板,例如:FM NC,可以有它们自己的I/O。这使得该FM模块可以快速访问自己专用的I/O 区域。这个I/O 区域就叫做局部地址区。每个机架上都可配置
局部地址区,在运行过程中,CPU将不能访问这些I/O区域。
槽号槽1 到3 (= 固定分配):
槽1:PS (电源),如果存在
槽2:CPU (中央处理器),如果存在
槽3:IM (接口模板),如果存在
槽4 到11 (自由分配):
SM、FM、CP可以插入这八个槽中的任何一个
距离两层机架之间的电缆长度:
采用IM 365 的两层之间最大长度:1m
采用IM360/361的多层组态之间最大长度:10m
3.1 安装规范
1) 对于水平安装,CPU和电源必须安装在左面。对于垂直安装,CPU 和电源必须安装在底部
2) 必须保证下面的最小间距:
a) 机架左右为20 mm
b) 单层组态安装时,上下为40 mm
两层组态安装时,上下至少为80 mm
3) 接口模块安装在CPU的右面
4) 一个机架上最多插八个I/O 模块(信号模块、功能模块、通讯处理器)
5) 多层组态只适用于CPU 314/315/316
6) 保证机架与安装部分的连接电阻很小(例如通过垫圈来连接)
3.2 安装检查表
1) 所有部件是否齐备(见部件清单)
2) 安装导轨
3) 安装电源
4) 把总线连接器连到CPU,并安装模块
5) 把总线连接器连到I/O 模块,并安装模块
6) 连接前连接器,并插入标签条和槽号
7) 给模块配线(电源,CPU 和I/O 模块)
3.3 导轨安装
1) 总线连接器:每个模板都带一个总线连接器。安装前把总线连接器插入模板。注:从CPU开始,最后一个模板不需要总线连接器。
2) 模板:按顺序把模板挂到导轨上方。模板的顺序是:
?电源
?CPU
?其它模板
向下按模板并用螺丝把将它们紧固在导轨上。
3) 前连接器:前连接器插入信号模板,来连接现场信号。在模板和前连接器之间是一个机械编码器,
可以避免以后把前连接器混淆。
4) 槽号:槽口标号条是CPU的附件,它们用来标识模块的位置。在后面设置模块参数时,要知道模块
的位置。
3.4 电源和CPU的接线
1) 打开电源模块和CPU模块面板上的前盖。
2) 松开电源模块上接线端子的夹紧螺钉。
3) 将进线电缆连接到端子上,并注意绝缘。
4) 上紧接线端子的夹紧螺钉。
5) 用连接器将电源模块与CPU模块连接起来并上紧螺钉。
6) 关上前盖。
7) 检查进线电压的选择开关把槽号插入前盖。
注:
电缆进线电缆应选用截面积在0.25至2.5 mm2之间的柔性电缆
连接器连接器包含在电源模块的定货当中,它用来将电源模块产生的直流24V工作电压连接到CPU模块上
注意: CPU利用外部输入的24V工作电压产生内部所需的5V电压
24V 连接电源模块还提供了24V输出电压的辅助接线端子, 用于连接信号模块
进线电压电源模块上选择开关用来选择进线电压的等级。选择开关有230V和120V两档。操作时用螺丝刀撬开保护盖,根据实际进线电压设置好开关的位置然后关上保护盖
3.5 前连接器的接线
1) 打开信号模块的前盖。
2) 将前连接器放在接线位置。
3) 将夹紧装置插入前连接器中。
4) 剥去电缆的绝缘层(6 mm 长度)。
5) 将电缆连接到端子上。
6) 用夹紧装置将电缆夹紧。
7) 将前连接器放在运行位置。
8) 关上前盖。
9) 填写端子标签并将其压入前盖中,在前连接器盖上粘贴槽口号码
注:
电缆采用截面积为0.25至1.5 mm2的柔性电缆。
接头处不需要芯线套管。如果想使用芯线套管,请选用DIN 46228标准的非绝缘套管。
接线位置压下模块上部的释放按钮,向前拔出前连接器直到尽头。在此位置上前连接器已经与模块断开,而且由于端子比较突出便于接线。
端子分配端子的分配请参考用户手册中信号模块的部分。
M一般接到端子20上, L+接到端子2或1上。
光电隔离数字信号的输入和输出模块具有光电隔离措施。8或16个输入或输出点使用一个公共端(M端)。
电缆长度非屏蔽电缆的最大允许长度为600 m (模拟信号模块除外)。屏蔽电缆的最大允许长度为1000 m。
电缆的安装为了实现正确的EMC安装,请参考S7-300操作手册中关于电气安装的部分。
对于>60 V 的信号或电源电缆,一般应采用单独的捆扎或穿管。
三、STEP 7 编程方法
1.0 程序结构
STEP 7为设计程序提供三种方法。基于这些方法,可以选择最适合于你的应用的程序设计方法。1.1 线性化编程
所有的程序都在一个连续的指令块中。这种结构和PLC所代替的固定接线的继电器线路类似。系统按照顺序处理各个指令。
1.2 模块化编程
程序分成不同的块,每个块包含了一些设备和任务的逻辑指令。组织块中的指令决定是否调用有关的控制程序模块。例如,一个模块程序包含有一个被控加工过程的各个操作模式。
1.3 结构化编程
结构化程序包含有带有参数的用户自定义的指令块。这些块可以设计成一般调用。实际的参数(输入和输出的地址)在调用时进行赋值。一个带参数的程序块的例子如下:
a) 一个“泵控”块含有对泵的操作指令,例如控制过程中的泵的输入和输出信号。
b) 对泵进行控制的程序块负责调用(打开) “泵控”块,并指出哪个泵要进行控制。
c) 当“泵控”块完成其操作指令后,程序返回到调用块(例如,OB1),然后,继续执行其他的指
令。
2.0 线性化编程
2.1 什么是线性化编程?
线性化编程具有不带分支的简单结构:一个简单的程序块包含系统的所有指令。线性编程类似于硬接线的继电器逻辑。
2.2 它如何执行?
顾名思义,线性化程序描述了一条一条重复执行的一组指令。所有的指令都在一个块内(通常是组织块)。块是连续执行的,在每个CPU扫描周期内都处理线性化程序。
2.3 优点和缺点是什么?
所有的指令都在一个块内,此方法适于单人编写程序的工程。由于仅有一个程序文件,软件管理的功能相对简单。但是,由于所有的指令都在一个块内,每个扫描周期所有的程序都要执行一次,即使程序的某些部分并没有使用。此方法没有有效地利用CPU。另外,如果在程序中有多个设备,其指令相同,但参数不同,将只得用不同的参数重复编写这部分程序。
3.0 模块化编程
3.1 什么是模块化编程?
模块化编程是把程序分成若干个程序块,每个程序块含有一些设备和任务的逻辑指令。
3.2 它如何执行?
在组织块(OB1)中的指令决定控制程序的模块的执行。模块化编程功能(FC)或功能块(FB)。它们控制着不同的过程任务,例如:操作模式,诊断或实际控制程序。这些块相当于主循环程序的子程序。
3.3 优点和缺点是什么?
在模块化编程中,在主循环程序和被调用的块之间仍没有数据的交换。但是,每个功能区被分成不同的块。这样就易于几个人同时编程,而相互之间没有冲突。另外,把程序分成若干小块,将易于对程序调试和查找故障。OB1中的程序包含有调用不同块的指令。由于每次循环中不是所有的块都执行,只有需要时才调用有关的程序块,这样,CPU 将更有效地得到利用。一些用户对模块化编程不熟悉,开始时此方法看起来没有什么优点,但是,一旦理解了这个技术,编程人员将可以编写更有效和更易于开发的程序。
4.0 结构化编程
4.1 什么是结构化编程?
结构化程序把过程要求的类似或相关的功能进行分类,并试图提供可以用于几个任务的通用解决方案。向指令块提供有关信息(以参数形式),结构化程序能够重复利用这些通用模块。
这些模块的例子包括:
- 传送带系统中所有交流电机的通用逻辑控制的块
- 装配线机械中所有电磁线圈的通用逻辑控制的块
- 造纸机器中所有驱动装置的通用逻辑控制的块
4.2 它如何执行?
OB1 (或其他块)中的程序调用这些通用执行块。和模块化编程不同,通用的数据和代码可以共享。
4.3 优点和缺点是什么?
不需要重复这些指令,然后对不同的设备代入不同的地址,可以在一个块中写程序,用程序把参数(例如:要操作的设备或数据的地址)传给程序块。这样,可以写一个通用模块,更多的设备或过程可以使用此模块。当使用结构化编程方法时,需要管理程序存储和使用数据。
4.4 程序块类型
1) 用户块:用户块包括程序代码和用户数据。在结构化程序中,一些块循环调用处理,一些块需
要时才调用。
2) 系统块:系统块是在CPU操作系统中预先定义好的功能和功能块。这些块不占用用户程序空间。
用户程序调用系统块,在整个系统中这些块具有相同的接口、相同的标示和相同的号。用户程序可以容易地转换到不同的CPU或PLC。
注:用户定义的块
块类型特性
组织块(OB)OB块构成了S7 CPU 和用户程序的接口。可以把全部程序存在OB1中,让它连续不断地循环处理。也可以把程序放在不同的块中,用OB1在需要的时候调用这些程序块。除
OB1外。操作系统根据不同的事件可以调用其他的OB块。
例如:时间-日期中断、周期时间中断、诊断中断、硬件中断、故障处理中断、硬件启动
功能块(FB)功能块是在逻辑操作块内的功能或功能组,在操作块内分配有存储器,并存储有变量。FB 需要这个背景数据块形式的辅助存储器。通过背景数据块传递参数,而且,一些局部参数
也保存在此区。其他的临时变量存在局部堆栈中。保存在背景数据块内的数据,当功能块
关闭时数据仍保持。而保存在局部堆栈中的数据不能保存。
功能(FC)功能是类似于功能块的逻辑操作块,但是,其中不分配存储区。FC 不需要背景数据块。
临时变量保存在局部堆栈中,直到功能结束。当FC执行结束时,使用的变量要丢失。
数据块(DB)数据块是一个永久分配的区域,其中保存其他功能的数据或信息。数据块是可读/写区,并做为用户程序的一部分转入CPU。
系统块
系统功能块(SFC)系统功能是集成在S7 CPU中的已经编程并调试过的功能。这些块支持的一些任务是设置模块参数、数据通讯和拷贝功能等。用户程序可以不用装载直接调用SFC。SFC不需要分配数据块。
系统功能块(SFB)系统功能块是S7 CPU的集成功能。由于SFB是操作系统的一部分,用户程序可以不用装载直接调用SFB。SFB需要分配背景数据块DB,数据块必须作为用户程序的一部分下装到CPU。
系统数据块(SDB)系统数据块是由不同STEP 7工具产生的程序存储区,其中存有操作控制器的必要数据。SDB中存有一些信息,例如:组态数据、通讯连接和参数。
5.0 循环程序执行
5.1 启动
当PLC得电或从STOP 切换到RUN模式时,CPU执行一次全启动(使用OB100)。在全启动期间,操作系统清除非保持位存储器、定时器和计数器,删除中断堆栈和块堆栈,复位所有保存的硬件中断,并启动扫描循环监视时间。
5.2 扫描循环
CPU的循环操作包括三个主要部分,见下图:
?CPU 检查输入信号的状态并刷新过程影响输入表。?执行用户程序
?把过程输出映象输出表写到输出模块
四、硬件调试
1.0 调试内容
1) 观察模板上的LED指示灯
2) 执行CPU 存储器复位
3) 执行CPU的完全再启动
4) 启动SIMATIC 管理器
5) 用监视变量功能检查输入
6) 用修改变量功能检查输出
2.0 指示灯
2.1 S7-300电源模块上的LED指示灯
LED”DC24V”状态电源的反应常亮24V正常24V正常
闪烁输出电路过载:
到130%(动态)到130%(静态)到130%(动态)电压急降,当不过载时,重建电压到130%(静态),电压降低,减少设备寿命
不亮输出短路电压不输出,当短路消失时自动恢复不亮原端超压或欠压过电压会造成损坏,欠电压自动关断2.2 S7-300 CPU模块上的LED指示灯
状态显示LED SF = 系统错误、编程错误或从有诊断功能模板来的故障
BATF = 电池故障:电池电压不足或不存在电池
DC 5V = 5V 电源电压指示
FRCE = 当强制执行时变亮
RUN = 当CPU启动时闪烁,在RUN模式下常亮
STOP = 在STOP模式下常亮,
当要求存储器复位时慢速闪烁,执行存储器复位时快速闪烁。
钥匙开关用于手动设置CPU操作模式
MRES = 存储器复位(模板复位)
STOP = STOP 模式: 不执行程序
RUN-P = RUN模式:CPU 执行程序
RUN = 执行程序,但是,程序只能读,不能改写。
存储器卡插槽在该槽中插入存储器卡。存储器卡可以不用电池永久地保存用户程序。
电池在前盖下有一个放置锂电池的盒。
MPI 连接在前盖下有一个9针连接器,它是S7设备之间MPI连接的多点接口。
2.3 数字量模块上的LED指示灯
注:LED指示灯:模板上的每个输入和输出都有用于诊断的LED指示灯。它们在确定程序错误时非常有用。LED显示的是光耦前的现场过程状态或内部状态。
2.4 执行存储器复位和完全再启动
存储器复位:当存储器复位时,工作存储器、装载存储器和带保持的数据都被清除。然后执行硬件测试。如果存储器卡存在,用户程序就从存储器卡拷贝到工作存储器。
完全再启动:当完全再启动时,过程映像和非保持数据被清除。当过程映像读入后,就开始新的一个循环。
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术: 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点:易实现 缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe 封装的程序安装包要用Advanced Installer重新封装成msi文件) 实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略 一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包: 1、运行Advanced Installer,打开新建工程向导,按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息 5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,其它默认
本文介绍了如何使用组策略编辑器更改计算机或计算机用户的本地策略设置。 回到顶端 使用组策略 在Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的Active Directory 容器(如站点、域或组织单位(OU))关联。使用组策略管理单元,您可以为以下各项指定策略设置: ?基于注册表的策略。 包括针对Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理模板”节点。 ?安全选项。 包括本地计算机、域和网络安全设置的选项。 ?软件安装和维护选项。 用来集中管理程序的安装、更新和删除。 ?脚本选项。 包括用于计算机启动和关闭以及用户登录和注销的脚本。 ?文件夹重定向选项。 这些选项允许管理员将用户的特殊文件夹重定向到网络上。 使用组策略,您可以一次性地定义用户工作环境的状态,以后就可以靠系统来实施您定义的策略。 回到顶端 如何启动组策略编辑器 若要启动组策略编辑器,请按照下列步骤操作。 备注: 为了使用组策略编辑器,您必须使用一个有管理员权限的帐户登录到计算机。 1.单击开始,然后单击运行。 2.在打开框中,键入mmc,然后单击确定。 3.在文件菜单上,单击添加/删除管理单元。 4.单击添加。 5.在Available Stand-alone Snap-ins(可用的独立管理单元)菜单上,单击组策 略,然后单击添加。 6.如果您不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您 输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。 备注:您可以使用浏览按钮来找到链接到站点、域、组织单位(OU) 或计算机的组策略对象。使用默认的组策略对象(GPO)(本地计算机)编辑本地计算机的设置。
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
组策略终极应用技巧 出处:中国IT实验室责任编辑:ANSON2006-03-17 15:39:34 关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。 限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“…文件?菜单:禁用…另存为...?菜单项”、“…文件?菜单:禁用另存为网页菜单项”、“…查看?菜单:禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改,可以将“…工具?菜单:禁用…Internet选项...?”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页(Windows 2000/XP/2003) 在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进
一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下: (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 (2)选择“文件”菜单下的“添加/删除管理单元”命令。 (3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。 (4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。 (5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。 特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程: 一、OU(组织单元)的管理 1、OU的概念 域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。 2、建立OU及子对象 (1)注意图标。 (2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。 (3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一:OU的管理 1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述 1、组策略的概念 (1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。 (2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。 (3)组策略配置类型有:计算机配置和用户配置。 (4)组策略分为:本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。 2、组策略的应用顺序 (1)本地组策略 (2)域组策略 (3)域控制器组策略 (4)组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤:右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤:右击-属性-“组策略”选项卡-“编辑”按钮
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
组策略完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
组策略高手·完全手册-WebCast视频教程是微软官方网出的一个系列讲座 组策略是活动目录里的重要组成部分,也是活动目录里的重点内容。了解和使用组策略将最大限度的使你的管理工作变得简单化、条理化。你想了解更多的组策略知识,并希望成为组策略的高手吗?本系列课程将就组策略的概念、实现、管理、维护以及使用GPMC(组策略管理工具)来对组策略进行备份、恢复等进行讲解,并结合组策略的实际应用深入了解组策略这个管理用户和计算机的利器。帮助大家从了解组策略到熟练使用组策略的入门到进阶的学习。 系列课程列表 入门篇 入门篇中,我们将首先了解组策略的概念,知道什么是组策略?组策略能做什么?我们为什么要使用组策略?通过这部分课程的学习,我们主要要认识组策略并知道组策略的常规使用方法,知道如何对组策略进行建立、编辑和应用的基础知识。 讲师信息:王辉微软金牌认证讲师苏州索迪培训中心 2005-12-16 10:00-11:30 什么是组策略?组策略能做什么?本讲将简要介绍组策略的概念,组策略的构成和专用术语。了解组策略的功能介绍和主要应用场景,初步认识组策略的设置内容和组成结构的基础知识。 组策略高手完全手册入门篇之一:组策略介绍和功能概览.rar 讲师信息:张华微软金牌认证讲师微软护航技术专家 2005-12-19 10:00-11:30 讲述如何建立组策略对象和组策略链接,如何对组策略对象进行编辑,如果将组策略对象链接到对应的OU或域上,以及如何使用组策略编辑器来编辑设置组策略。并引导听众了解组策略的简单处理规则。 组策略高手完全手册入门篇之二:创建、编辑和应用组策略.rar 讲师信息:王辉微软金牌认证讲师苏州索迪培训中心 2005-12-21 14:00-15:30 你需要部署软件吗?你是否为烦琐的大批量部署软件而犯愁?你希望用户可以自己选择软件安装而不需要安装介质吗?你希望强制为用户或计算机安装指定的软件吗?通过组策略可以快速方便的完成软件的部署和分发工作。