Red de conocimiento informático - Conocimiento del nombre de dominio - ¿Cómo utilizar la política de grupo para implementar software?

¿Cómo utilizar la política de grupo para implementar software?

En WIN2000, además de la configuración del entorno de trabajo y del entorno informático del usuario, la Política de grupo también proporciona funciones potentes. Enumere algunas de las características de la Política de grupo.

1. Configuración de la política de la cuenta

B. Configuración de la política local

c. Configuración del entorno de trabajo del usuario

p>

E. Instalación y eliminación de software.

F. Redirección de carpetas.

□Descripción general de la política de grupo

Se pueden configurar políticas de grupo para sitios, dominios y unidades organizativas. Estas políticas de grupo se almacenan en el directorio x:\win nt\sysvol\sysvol\abc.com\policies.

La Política de Grupo se divide en dos partes: configuración del ordenador y configuración del usuario.

A. Configuración de la computadora: Cuando la computadora se inicia, el entorno de la computadora se configurará de acuerdo con el contenido de "Configuración de la computadora".

b. Configuración de usuario: cuando un usuario inicia sesión, el entorno de trabajo del usuario se configurará de acuerdo con el contenido de "Configuración de usuario".

Nota: Política de grupo local: almacenada en el directorio X:\WINNT\system32\GroupPolicy.

1. El orden de aplicación y las reglas de las políticas de grupo:

El orden de aplicación y las reglas de diferentes políticas de grupo:

1. p>

2. Política de grupo de sitio:

3. Política de grupo de dominio:

4. La política aplicada sobrescribirá la política aplicada anteriormente. Las instrucciones específicas son las siguientes:

1. Si se establece una política de grupo en el contenedor de alto nivel pero no en el contenedor de bajo nivel, el contenedor de bajo nivel heredará la política de grupo establecida en el. contenedor de alto nivel.

2. Si se crea otra política de grupo en un contenedor inferior, la política de grupo inferior reemplazará a la política de grupo superior.

3. Si el contenedor principal no establece una política de grupo, la política de grupo de nivel inferior no heredará la política de grupo principal.

4. Si la política de grupo está configurada en el contenedor principal, pero la política de grupo en el contenedor secundario no está configurada. La política del grupo principal se heredará.

En segundo lugar, evitar la herencia de estrategias

Puede configurar la casilla de verificación "Evitar la herencia de políticas" en la política de grupo del contenedor secundario para no heredar la configuración de la política de grupo pasada por el contenedor principal, es decir, utilizar directamente la configuración de política de grupo del subcontenedor.

En tercer lugar, la estrategia de herencia forzosa.

En la Política de grupo del contenedor principal, puede forzar que el contenedor secundario herede la configuración de la Política de grupo transferida por el contenedor principal mediante la casilla de verificación "Sin reemplazo".

□Objetivos de la Política de Grupo

Cómo establecer la configuración de la Política de Grupo:

Dependiendo del ordenador, se puede instalar en las siguientes ubicaciones. Política de seguridad de dominio o Usuarios y equipos de Active Directory, Política de seguridad de control de dominio y Política de seguridad local. (Todo en Herramientas Administrativas).

Lo siguiente utiliza Usuarios y Computadoras de Active Directory para establecer la política de grupo.

Inicio-Programas-Herramientas administrativas-Usuarios y equipos de Active Directory-Seleccione el controlador de dominio y haga clic derecho en el mouse-Propiedades-Política de grupo (GPO)

Primero, cambie el Grupo Política

Otorgue a todos los miembros del grupo de usuarios del dominio el permiso "Iniciar sesión localmente". Pasos de configuración:

1. Inicio-Programas-Herramientas administrativas-Usuarios y computadoras de Active Directory-seleccione el controlador de dominio y haga clic derecho en el mouse-Propiedades-Política de grupo.

2. Seleccione "Política de controlador de dominio predeterminada" y haga clic en "Editar".

3. Aparece la ventana Política de grupo - Configuración de la computadora - Configuración de WIN - Configuración de seguridad - Política local - Asignación de derechos de usuario - Haga doble clic en "Inicio de sesión local" a la derecha.

4. Aparece el cuadro de diálogo Configuración de la política de seguridad (haga clic en Agregar) para agregar usuarios del dominio al grupo.

En segundo lugar, compruebe si la configuración de "inicio de sesión local" es normal.

Debido a que la política de grupo recién creada no puede surtir efecto inmediatamente, se debe utilizar uno de los tres métodos siguientes para lograr el objetivo.

1. En el símbolo del sistema. Ingrese la política de actualización de secedit machine_policy.

Para habilitar la configuración de la máquina o el perfil de usuario: simplemente cambie machine_policy a user_policy.

2. Reinicie esta computadora.

3. Espere a que esta política se aplique al ordenador.

En tercer lugar, cree un nuevo usuario y pruebe si puede iniciar sesión localmente.

□Configuración de la política de plantilla administrativa

Establezca la política del modo administrativo mediante el siguiente ejemplo.

1. Ocultar el icono "Entorno de red" en el escritorio del usuario.

2. Elimina comandos como Ejecutar y Ayuda del menú "Inicio".

3. Añade la función "Cerrar sesión" al menú "Inicio".

Primero, cree las unidades organizativas y las cuentas de usuario necesarias para el ejercicio.

1. Establecer una unidad organizativa, Taiwán.

2. Cree una nueva cuenta de usuario TONY en la unidad organizativa de Taiwán.

3. Cree una nueva unidad organizativa VENTAS en la unidad organizativa de Taiwán.

4. Cree una nueva cuenta de usuario SCOTT en la unidad organizativa de ventas.

En segundo lugar, configure y pruebe la funcionalidad de la Política de grupo.

Cree un GPO en la unidad organizativa de Taiwán y luego inicie sesión con el usuario TONY de la unidad organizativa de Taiwán para probar si el GPO es válido. Luego utilice el usuario SCOTT en la unidad de organización de ventas del siguiente nivel para probar si hereda la configuración de GPO de Taiwán.

A. Establecer una GPO en la unidad organizativa de Taiwán denominada Política de Taiwán.

1. Inicie sesión con una cuenta de administrador.

2. Inicio-Programas-Herramientas administrativas-Usuarios y computadoras de Active Directory-Haga doble clic en el nombre del dominio-Unidad organizativa de Taiwán-Propiedades-Política de grupo-Cree una nueva GP0 y asígnele el nombre Política de Taiwán.

b. Cambiar la configuración de la política de Taiwán

1 Seleccione "Política de Taiwán" - seleccione "Editar".

2. Configuración de Usuario-Plantillas Administrativas-Barra de tareas y menú "Inicio".

3. Haga doble clic en el botón derecho y elimine el comando "Ayuda" del menú "Inicio". "

4. Aparece el cuadro de diálogo de propiedades: habilitar.

5. Confirme y complete la configuración.

C. Pruebe si la cuenta TONY y la cuenta SCOTT he heredado la Política de grupo de la Política de Taiwán

En tercer lugar, pruebe la función alternativa de la Política de grupo

Cree un GPO en la unidad organizativa debajo de la unidad organizativa de Taiwán y luego configúrelo de la siguiente manera: Configuración. >

El comando "Ayuda" se eliminará del menú Inicio "El comando está deshabilitado.

A. Crear un nuevo GPO en la unidad organizativa de ventas.

1. Inicie sesión con una cuenta de administrador.

2. Inicio-Programas-Herramientas administrativas-Usuarios y computadoras de Active Directory-haga doble clic en el nombre del dominio-haga clic con el botón derecho en la unidad organizativa de ventas en Taiwán-Propiedades-Política de grupo-Crear (llamado: tain wan) -Política de Ventas)-editar.

3. Aparece la ventana Política de grupo-Configuración de usuario-Plantillas administrativas-Barra de tareas y menú Inicio.

4. Haz doble clic en el comando "Eliminar Ayuda" en el menú "Inicio" de la derecha. "-Desactivar-OK, la configuración está completa.

5. Realice la prueba y compárela con el último resultado de la prueba.

4. En el GPO del subcontenedor, si estos La política está configurada en "No configurada", estas configuraciones en el contenedor secundario heredarán las configuraciones en el contenedor principal. Sin embargo, puede configurar la casilla de verificación "Evitar herencia de políticas" en el GPO del contenedor secundario. heredado.

5. Herencia forzada de la política de grupo

Esta configuración puede obligar a todos sus contenedores secundarios a heredar la configuración de GPO del contenedor principal.

□Configuración de la política de la cuenta

Notas sobre la configuración de la política de la cuenta:

A. ordenadores del dominio.

B. Si la política de cuenta está configurada para una unidad organizativa, solo se aplicará a los ordenadores de esa unidad organizativa.

Para configurar la política de cuenta:

Haga clic con el botón derecho en Usuarios y equipos de Active Directory (dominio o unidad organizativa)-Propiedades-Política de grupo-Seleccione GPO-Editar-Configuración del equipo-Configuración de Win- Configuración de seguridad: políticas de cuenta. Las siguientes son políticas de contraseñas y políticas de bloqueo de cuentas. Se explican los elementos de uso común.

1. Descripción de elementos comunes de la política de contraseñas:

A. Vida útil máxima de la contraseña: establece la vida útil máxima de las contraseñas de los usuarios.

B. Duración mínima de la contraseña: establezca la duración más corta de la contraseña de usuario.

C. Longitud mínima de la contraseña: Al configurar una contraseña de usuario, la contraseña debe tener al menos unos pocos caracteres.

D. Forzar historial de contraseñas: establezca si se debe registrar la contraseña utilizada anteriormente por el usuario, de modo que al configurar una nueva contraseña, se pueda configurar la contraseña utilizada anteriormente.

e.El historial de contraseñas no se conserva. Al configurar una nueva contraseña, puede configurar una contraseña utilizada anteriormente.

f. Mantener el historial de contraseñas. Al configurar una nueva contraseña, la contraseña reservada no se puede utilizar como nueva contraseña.

2. Política de bloqueo de cuenta

A. Umbral de bloqueo de cuenta: configura el usuario para que se bloquee después de múltiples errores de inicio de sesión.

B. Tiempo de bloqueo de la cuenta: cuánto tiempo después del bloqueo del usuario. Desbloquear automáticamente.

C. Restablecer el contador de bloqueo de la cuenta: el contador de bloqueo comienza en 0, aumenta en 1 si el usuario no puede iniciar sesión y aumenta en 0 si el usuario inicia sesión correctamente. Si el valor del contador de bloqueo es igual al umbral de bloqueo de la cuenta, la cuenta se bloqueará.

□Configuración de política local

La configuración de política local incluye: política de auditoría, política de asignación de derechos de usuario y política de opciones de seguridad.

1. Política de asignación de derechos de usuario

1 Pasos de configuración: Usuarios y equipos de Active Directory (dominio o unidad organizativa) haga clic con el botón derecho en Propiedades-Política de grupo-Seleccione GPO-Editar-Equipo. Configuración-Configuración de Win-Configuración de seguridad-Política local-Asignación de permisos de usuario: Tener los siguientes permisos:

A. Inicio de sesión local: Permitir que los usuarios inicien sesión presionando CTRL+SUPR+ALT en esta computadora.

B. Agregar trabajos al dominio: permite a los usuarios agregar computadoras WINNT/WIN2000 al dominio.

C. Apagar el sistema: permite al usuario apagar esta computadora.

d. Acceda a esta computadora a través de la red:

E. Apague esta computadora desde la computadora remota.

Realizar copias de seguridad de archivos y directorios.

G. Restaurar archivos y directorios.

Administrar registros de auditoría y seguridad.

1. Es hora de cambiar el sistema.

j.Carga y descarga de controladores de dispositivos.

k.Obtener la propiedad de documentos u otros elementos.

2. Política de opciones de seguridad

A. No mostrar el último nombre de usuario que inició sesión en la pantalla de inicio de sesión.

b.Se permite la parada antes del aterrizaje.

C. Solicitar al usuario que cambie la contraseña de usuario antes de que caduque.

d. Deshabilite la configuración de inicio de sesión CTRL+ALT+SUPR.

e. El texto del mensaje cuando el usuario intenta iniciar sesión y el título del mensaje cuando el usuario intenta iniciar sesión.

□Script de inicio/cierre de sesión, inicio/apagado

Script de inicio de sesión: Se configura para el usuario, es decir, si al usuario se le asigna un script de inicio de sesión. Este script se ejecutará automáticamente al iniciar sesión.

1. Configuración del script de inicio de sesión/cierre de sesión

Utilice el Bloc de notas para escribir scripts de inicio de sesión y cierre de sesión;

Script de inicio de sesión: Nombre: logon.vbs Contenido del archivo: WScripts It repite "Bienvenido a Windows 2000, esta es una prueba de script de inicio de sesión".

Secuencia de comandos de cierre de sesión: Nombre: contenido del archivo logoff.vbs: wscrpts echo "Adiós, esta es una prueba de secuencia de comandos de cierre de sesión.

Pasos de configuración:

1. En Haga clic con el botón derecho en Usuarios y computadoras en Active Directory-Propiedades-Política de grupo-Seleccione GPO-Editar-Configuración de usuario-Configuración Win-Script (iniciar sesión y cerrar sesión)-Iniciar sesión

2. Aparece un cuadro de diálogo que muestra el script. cuadro de archivos.

3. Copie el logon.vbs que editó en el siguiente directorio:

%systemroot%\SYSVOL\sysvol\domain name\policy\{guid}\user\script\. login

GUID, diferentes GPO tienen diferentes números GUID. Cada GUID es único.

4. En el cuadro de diálogo del paso 2, haga clic en Agregar para agregar logon.vbs-OK.

5. Agregue el script de cierre de sesión de manera similar: logoff.vbs.

6. Si se configura un GPO para un dominio, funcionará para todos los usuarios del dominio. Es decir, el script aparece al iniciar sesión. Si se configura solo para una unidad organizativa, se mostrará una secuencia de comandos a los usuarios de esa unidad organizativa.

7. Crear usuarios y probar la efectividad y necesidad del script.

2. Configuración del script de inicio/apagado.

Editar scripts de inicio y apagado:

Script de inicio: Nombre de archivo: startup.vbs Contenido del archivo: wscript echo "Bienvenido a Windows 2000, esta es una prueba de script de inicio".

Secuencia de comandos de apagado: Nombre de archivo: Shutdown.vbs Contenido del archivo: wscript repite "Adiós, esto es una prueba de secuencia de comandos"

Para configurar la secuencia de comandos de inicio/apagado:

1. Haga clic derecho en "Usuarios y computadoras de Active Directory"-Propiedades-Política de grupo-Seleccione GPO-Editar-Configuración de la computadora-Configuración Win-Script (Inicio/Apagado)-Iniciar

2. selección del cuadro de diálogo "Iniciar archivo de script".

1. Obtenga el archivo de script de inicio que creamos: % systemroot %\SYSVOL\SYSVOL\domain\policies\{guid}\machine\scripts\startup.

4. Regrese al cuadro de diálogo Agregar archivo que apareció en el paso 2 y haga clic en el botón "Agregar". Busque y seleccione el archivo startup.vbs.

5. Agregue el archivo de script de cierre de manera similar. Una vez configurado Shutdown.vbs6, funcionará para los usuarios del dominio si esta política de GPO está configurada para el dominio. Si

Si este GPO se configura para una unidad organizativa, la unidad organizativa establecida entrará en vigor.

□Implementación de aplicaciones

La política de grupo le permite implementar aplicaciones para usuarios y computadoras. Es decir,

a. Distribuir aplicaciones a los usuarios. Cuando una aplicación se lanza a los usuarios a través de GPO. Los usuarios pueden agregar o eliminar aplicaciones ellos mismos.

B. Asignar la aplicación a un usuario o computadora: cuando una aplicación se refleja y se envía al usuario a través del GPO de la Política de grupo, la aplicación se "anunciará" al usuario cuando éste inicie sesión. , pero la aplicación El programa en realidad no está instalado, solo proporciona información de instalación y se instalará cuando lo aplique. si está asignado a una computadora. La aplicación se instalará automáticamente cuando se inicie la computadora.

c. Reparar aplicaciones automáticamente. Aplicaciones publicadas o distribuidas. Cuando una aplicación se daña, se repara automáticamente cuando el usuario inicia sesión o se reinicia la computadora.

D. Eliminar aplicaciones de usuario: Si un usuario no desea utilizar una aplicación publicada o asignada después de la instalación, puede eliminarla del GPO.

Primero, publique la aplicación

Cree una carpeta para instalar el paquete de instalación de WINDOWS.

1. Cree una carpeta en cualquier servidor, como C:\packages. Esta carpeta se utiliza para almacenar aplicaciones.

2. Establezca esta carpeta en * * * y asígnele un nombre * * *. Debido a que los usuarios de la red deben acceder a través de una ruta UNC, usted debe configurar el acceso.

3. Copie la aplicación a la ** carpeta compartida.

Establezca la ubicación predeterminada del paquete

4. Usuarios y equipos de Active Directory-Nombre de dominio-Propiedades-Política de grupo-Seleccione GPO-Editar-Configuración de usuario-Configuración de software-Instalación de software.

5. Atributo “Instalación de software”.

6. Aparece el cuadro de entrada "Ubicación predeterminada del paquete". Ingrese aquí: La ubicación de almacenamiento de la aplicación. Tenga en cuenta que esta es una ruta UNC. \\computername\* *Carpeta compartida. -seguro.

Publicar la aplicación

7. Volver a "Instalación de software"--Nuevo--"Paquete".

8. Seleccione el paquete de instalación para el ejercicio; haga clic en "Abrir".

9. Seleccione "Publicado" - Aceptar.

Instalar aplicaciones publicadas.

1. Inicie sesión como usuario de dominio o usuario de unidad organizativa.

2. Inicio-Configuración-Panel de control-Agregar o quitar programas.

3. Agregar nuevo programa: agregue un programa de la red (se mostrarán las aplicaciones publicadas).

4. Seleccione la aplicación que desea instalar; haga clic en Agregar; la aplicación se instalará.

Pruebe la función de la aplicación de reparación automática

1. Busque la ubicación de instalación de la aplicación.

2. Elimine la carpeta de instalación de esta aplicación.

3. El usuario que publicó la aplicación vuelve a iniciar sesión.

4. Después de ejecutar la aplicación eliminada, encontrará que el sistema la reinstalará automáticamente.

En segundo lugar, asignar aplicaciones a los usuarios.

Asignar una aplicación a un usuario es básicamente lo mismo que distribuir una aplicación a un usuario.

1. Cree una * * * carpeta compartida en el servidor.

2. Establecer la ubicación predeterminada del paquete

3. Asigne la aplicación al usuario. El método de implementación es: Cambie "Publicado" a "Asignado" para probar la aplicación asignada.

Después de que el usuario inicia sesión, puede agregar nuevos programas en Inicio-Configuración-Panel de control-Agregar o quitar aplicaciones. Encontrará que las aplicaciones asignadas se han instalado, pero en realidad son "anuncios" y. en realidad no están instalados.

Prueba de la función de reparación automática de aplicaciones

Esta función es similar a probar la función de reparación automática de aplicaciones publicadas.

En tercer lugar, asigne la aplicación a la computadora

Usuarios y computadoras de Active Directory-Dominio o unidad organizativa-Propiedades-Política de grupo-GPO seleccionado-Configuración de la computadora-Configuración de software-Instalación de software. Otros lugares son similares a la asignación de aplicaciones a los usuarios.

1. Cambie el tipo de implementación de la aplicación.

2. Anular la implementación de la aplicación. Haga clic derecho en la aplicación implementada - Todas las tareas - Eliminar.

3. Establezca si desea mostrar la interfaz de instalación completa o solo una parte de la interfaz al instalar la aplicación. Haga clic derecho en la aplicación implementada-Propiedades-Implementación.

4. Actualice la aplicación: haga clic derecho en la aplicación implementada-Propiedades-Actualizar-Agregar.

□Redirección de carpetas

Puede utilizar la Política de grupo para redirigir la ubicación de almacenamiento de algunas carpetas especiales en WIN2000 a otras carpetas en la red. La llamada carpeta dedicada se refiere a la ubicación de almacenamiento de datos como "Mis documentos" y "Mis imágenes". Generalmente, estas carpetas están en la computadora local. Puede especificar otras computadoras en la red a través de Mis documentos-Propiedades-Carpeta de destino.

Redirigir de las dos formas siguientes

1. Configurar para cada usuario, es decir, redirigir la carpeta de cada usuario.

2. Para la configuración del grupo, se redirige la carpeta del usuario. Es decir, todos los miembros de un grupo

La carpeta Mis documentos ilustra cómo redirigir una carpeta configurada para un grupo.

1. Usuarios y computadoras de Active Directory: el usuario1 y el usuario2 se establecen en la unidad organizativa y luego crean una seguridad, como un grupo de prueba.

2. , como x Documentos, que se utiliza para almacenar los datos de "Mis documentos" del usuario.

3. Establezca la carpeta en * * *. * * * Tiene el mismo nombre que el nombre de la carpeta.

4. Haga clic en Usuarios y equipos de Active Directory - haga clic derecho en el nombre de dominio - Propiedades - Política de grupo - seleccione GPO - Editar - Configuración de usuario - Configuración de Windows - Redirección de carpetas - Mis documentos.

5. Haga clic derecho en Mis documentos-Propiedades-Destino-Configuración, seleccione Avanzado-Especificar ubicaciones para diferentes grupos de usuarios-y haga clic en Agregar.

6. Aparece el cuadro de diálogo para agregar "Especificar grupo y ubicación". En Membresía del grupo de seguridad, ingrese el nombre del grupo y luego ingrese la ruta de la carpeta UNC donde se almacenarán Mis documentos para cada usuario del grupo. - "Está bien" hecho.

7. Cierre sesión, inicie sesión como USUARIO1 en TESTGROUP y cambie la carpeta "Mis documentos" a la ruta establecida anteriormente.

Redireccionar la carpeta Mis documentos de un usuario a un servidor de red tiene las siguientes ventajas.

1. Se puede acceder a esta carpeta independientemente del inicio de sesión del usuario en cualquier computadora de la red.

2. El departamento de información podrá realizar periódicamente copias de seguridad de los datos almacenados en el servidor para proteger los datos del usuario.

3. Se puede configurar "Mis Documentos" del usuario en el servidor.

Si "Mis Documentos" y "Mis Documentos" están en el mismo disco duro, incluso si el sistema "Mis Documentos" se reinstala después de ser redirigido a otro disco duro, la carpeta "Mis Documentos" se Los datos tienen poco impacto.