下载文档原格式
实验6 利用组策略来管理用户环境
一、实验目的:
组策略中的配置分为“计算机配置”和“用户配置”两类。
根据网络管理的需要,将分别利用组策略中“计算机配置”和“用户配置的功能特性,实现对用户环境的配置。
二、实验内容:
“组策略编辑器”窗口
设置是否启用组策略配置
“密码策略”设置窗口
“账户锁定策略”设置窗口
“用户权限分配”设置窗口
“安全选项”设置窗口
组策略中设置信息
“脚本策略”设置窗口
“登陆属性”对话框
将“登录”脚本文件login.vbs复制到文件夹内
添加脚本名称和参数
选取“我的文档”的“属性”菜单项
设置“我的文档”的重定向
退出页面
登陆页面
用户端“我的文档”被重定向后的显示。
第 4 章 网络用户的配置和管理4.1 案例 9 本地用户及组的管理【案例效果】初期的JJB 总部在北京的规模并不是很大, 管理员王帅为了更好的管理每台计算机的相 关帐户信息及工作组, 并把具有相同权限的用户用统一的本地组进行管理, 以下的任务是管 理员王帅通过“工作组”的模式对计算机的管理。
工作组一般指小型的网络环境,网络结构 简单,不需要特殊的服务区角色。
在工作组模式的网络中,每台计算机都维护自己的用户帐 号信息和资源信息。
【相关知识】1.工作组的特性工作组是由一些计算机组成的一个小型网络。
在这个网络中可能包括 Windows Server 2003、 Windows 2000 Server, 也可能包括Windows XP Professional、 Windows 2000 Professional 或 Windows98 等,所有的计算机的地位都是平等的。
一个典型的工作组的组成如图 4125 所示。
在工作组中不能集中管理网络中的所有资源, 每台计算机就都要重复地去做一些管理 工作,工作组有以下特性。
(1)工作组内的每一台计算机都要维护自己的资源、日常管理工作和用户身份验证。
(2)每一台计算机都在本地存储用户帐户的信息。
(3)用户在工作组中使用本地账户登录到本地计算机,一个账户只能登录到一台计算 机中。
(4)一个工作组中的计算机的数量最好不要超过 10台计算机。
图4125 工作组示意图2.本地用户帐户在 Windows Server 2003 中,用户帐户的登录步骤是强制性的,用户都只有准确无误地 提交自己的用户名和密码才能获准使用计算机,否则无法使用计算机。
在工作组模式下的本 地身份验证的过程中,用户的 SID 通过提交用户名和密码被 Windows Server 2003 内置的 SAM(Security Account Management)数据库进行比对。
使用组策略管理用户环境组策略(Group Policy)是一种在Windows操作系统上,用于管理计算机和用户配置项的技术。
通过组策略,管理员可以集中管理计算机和用户的策略设置,以确保网络中的所有计算机和用户都符合组织的安全和管理要求。
在用户环境管理中,组策略可以用于配置用户的桌面设置、应用程序访问权限、安全设置等。
组策略提供了灵活的配置选项,可以根据不同的组织需求进行自定义设置。
以下是使用组策略管理用户环境的步骤:第一步:创建组策略对象(Group Policy Object,GPO)第二步:配置组策略设置在组策略管理器中,可以对GPO进行配置设置。
其中,用户配置和计算机配置是两个主要的部分。
在用户配置中,管理员可以对用户的桌面设置进行管理。
可以设置桌面背景、屏保、桌面图标等。
此外,还可以配置用户的Internet Explorer设置、安全选项,以及其他应用程序的访问权限等。
在计算机配置中,管理员可以对计算机的安全设置和网络连接进行管理。
可以设置密码策略、防火墙设置、文件夹和文件访问权限等。
此外,还可以配置网络设置、打印机设置等。
第三步:链接GPO到域、OU或站点创建和配置好GPO之后,需要将其链接到特定的域、OU或站点上。
通过链接,GPO才能被应用到相应的计算机和用户上。
第四步:更新组策略设置一旦将GPO链接到特定的域、OU或站点上,组策略将在下次用户登录时被自动应用。
如果需要立即应用组策略设置,可以使用命令行工具gpupdate /force。
第五步:监视和管理组策略效果在组策略管理器中,管理员可以监视和管理GPO的效果。
可以查看GPO应用情况,检查错误和警告信息,以及对GPO进行修改和删除等操作。
通过使用组策略管理用户环境,管理员可以实现以下好处:1.集中管理:通过组策略,管理员可以集中管理组织中所有计算机和用户的配置设置,提高管理效率。
无需逐个配置每台计算机或每个用户的设置。
2.统一标准:通过组策略,管理员可以定义和强制执行组织的安全和管理标准。
当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。
下面各例用于学习GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。
(以下各例都在组策略管理工具中完成,在上一课已经安装了GPMC.MSI这个组策略管理工具)一、强制实现域中所有用户使用统一桌面背景。
1. 实现这一策略如下图:先建立一个统一桌面背景的GPO,把它链接到域,并设置这个GPO 为强制。
2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。
图片的UNC路径是:\\Jame\公用共享\背景.jpg。
3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。
4. 取一个组策略名5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。
6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。
在右侧窗口,双击“Active Desktop墙纸”并如下设置。
(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用UNC路径)7. 把“统一背景”这个GPO链接到域:对域右击,选“链接现有GPO”。
对统一背景GPO右击,设置“强制”,使此GPO的组策略继承是强制继承,不能被阻止继承。
8. 用域用户Kaka登陆域测试一下,背景已经有图片,表示部署成功。
二、除了域管理员和委派管理员外所有域用户禁用控制面板。
1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。
对“禁用控制面板”GPO进行编辑。
