Windows-Server-2012R2-组策略.docx

Windows Server 2012R2 组策略一、什么是组策略组策略（GroupPolicy）是Microsoft Windows系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。二、为什么需要组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。三、组策略的两种配置 计算机配置：当计算机开机时，系统会根据计算机配置的内容来设置计算机环境。包括桌面外观、安全设置、应用程序分配和计算机启动和关机脚本运行等。 用户配置：当用户登录时，系统会根据用户配置的内容来设置计算机环境。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。四、组策略类型 域内的组策略：（优先级从上到下依次降低）域内的策略会被应用到域内的所有计算机和用户1.站点策略2.域策略3.组织单元策略 本地计算机策略：1.计算机配置只会应用在此计算机2.用户策略将应用到在此计算机登录的所有用户五、计算机本地策略本地计算机组策略控制台1.计算机配置实例1.1.不显示关机理由1.2.账号密码策略1.3.账户锁定策略1.4.用户权限分配1.5.安全选项2.用户配置实例2.1.删除“开始”菜单中的“运行”运行取消成功2.2.将“控制面板”中的“Windows防火墙”隐藏起来六、组策略对象（GPO）组策略有继承性、累加性 当组策略有冲突时，则以处理顺序在后的GPO为优先，而系统处理GPO的顺序是：站点GPO域组织单位的GPO本地计算机策略最低。 计算机配置优于用户配置 多个配置应用到同一处，排在前面的组策略优先1.组策略管理AD DS中两个内置GPO第一个是默认域控制器策略第二个是默认域策略2.策略设置与首选项设置！策略设置是强制的，首选项设置是非强制的！策略设置针对整个GPO来过滤，首选项设置可针对单一项目来过滤！策略设置优先首选项设置！ 应用首选项设置须安装CSE软件3.计算机配置的应用时限 计算机配置的应用时限 计算机开机时 计算机开机后，域控制器每5分钟自动应用一次 计算机开机后，非域控制器每90120分钟自动应用一次 计算机开机后，系统每16小时自动运行一次 手动应用 用户配置的应用时限 用户登录时会自动应用 用户登录后，系统每90120分钟自动应用一次，系统每16小时自动运行一次 手动应用4.计算机配置实例4.1.允许普通用户在域控制器登陆依次是账户管理员、管理员（必须添加）、备份管理员、打印管理员、服务管理员、用户应用后更新4.2.设置密码策略4.3.账户锁定策略4.4.Windows防火墙设置计算机配置策略管理模板网络网络连接Windows 防火墙域配置文件4.5.时间提供程序4.6.禁止安装可移动设备计算机配置策略管理模板系统设备安装设备安装限制5.用户配置实例要求指定用户只能通过企业内的代理服务器上网新建Internet设置（按你IE版本来选）注意下面的虚线，代表着配置了没有更新按F5进行更新后确认应用确定禁用用户IE浏览器自动配置设置域用户测试更新策略（已经登陆了域用户打cmd命令更新，没有的在登陆时会自动更新）测试成功6.使用组策略发布软件 将软件分配给用户：当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装：1.开始运行此软件： 例如用户登录后执行操作：“开始”“控制界面”“添加或删除程序”“添加程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。2.利用“文件启动”功能： 例如假设这个被“通告”的程序为Microsoft Excel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，此时用户只要双击扩展名为.xls的文件，系统就会自动安装Microsoft Excel。 将软件分配给计算机：当将一个软件通过组策略分配给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and SettingsAll Users文件夹内。任何用户登录后，都可以使用此软件。6.1.自动修复软件一个被发布或分配的软件，在安装完成后，如果此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常现象，并且会自动修复、重新安装此软件。6.2.准备工作步骤1：在服务器上创建共享文件夹把文件夹共享出来，确保组策略会影响到的各用户对目录至少具有读的权限。步骤2：在客户端测试是否可以正常访问共享文件夹。步骤3：准备合适的被部署软件，把软件拷贝到共享文件夹下，可以根据需要建立子文件夹。组策略对被部署的软件有一定的要求，通常是MSI文件，如果是EXE文件，请按照后面小节介绍的方法打包。6.3.实训项目提前准备两种格式的文件：.msl和.zap这里发布的是.zap文件测试在客户端，以“行政部”组织单元下的用户登录到域，从“开始”“程序”菜单中，应该可以看到“MicrosoftActiveSync”菜单，如图。该软件并未实际安装，单击该菜单项可以开始安装。应该把域用户加入到本地的管理员组中，否则安装软件会失败。6.4.使用ZAP文件来包装EXE文件步骤1：把被发布的文件（这里用的是“Winrar-x64-540scp.exe”）拷贝到共享文件夹下。步骤2：在和EXE同一目录下，创建以“.ZAP”为后缀的文件，内容为：ApplicationFriendlyname=TESTSetupcommand=Win2012-1新建文件夹winrar-x64-540scp.exe（被发布文件的地址）保存并修改文件的后缀名步骤3：发布ZAP文件。在组策略的编辑窗口中，依次展开“用户配置”“策略”“软件设置”“软件安装”，右击“软件安装”新建数据包。在如图15-34窗口的右下角的列表框中选择“ZAW与早期版本应用程序数据包（*.ZAP）”，把ZAP文件进行发布。步骤4：在客户端上，从“控制面板”“添加或删除程序”“添加新程序”窗口，可以看到新发布的程序，双击它就可以进行安装了。6.5.升级软件 使用组策略对软件进行升级有两种方法：一种是软件本身能够识别版本，例如Microsoft Office 2007能够检测计算机上安装的Microsoft Office 2003，对于这种软件只需把新版的软件部署即可，用户在安