AD组策略.doc

一、 组策略基础知识1、组策略中包含两部分： 1 计算机配置：针对计算机的配置，只在计算机上生效。计算机启动的时候应用，在出现登录界面前。 2 用户配置：针对用户的配置，只在所有用户帐户上生效。用户登录后应用。2、根据应用范围将组策略分为三类： 1 域的组策略：设置对于整个域都生效。在“AD用户和计算机”中，右击域名-属性-组策略。 2 OU的组策略：设置对于这个的OU生效。在“AD用户和计算机”中，右击OU名-属性-组策略。 3 站点的组策略：设置对于这个站点生效。在“AD站点和服务”中，右击站点名-属性-组策略。 注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD用户和计算机”中才能进入。3、组策略的执行顺序： 1 站点-域-组织单元（OU） 2 计算机配置-用户配置4、组策略的冲突： 1 在不同组策略中的同一项目的设置相反，就是组策略冲突。如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。 2 冲突的结果：后执行的是结果。5、组策略中的设置内容： 1 软件安装：自动安装应用软件。计算机配置和用户配置下都有。准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。将软件的源安装文件放到一个共享文件夹中。（网络路径） A、已发行：由用户决定是否安装。如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-添加新程序中显示已发行的软件包。在计算机配置中不能实现。 B、已指派：强制性安装，自动安装。 2 WINDOWS设置： A、计算机配置：脚本（启动和关机），安全设置。 B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。 3 管理模板： A、计算机配置：WINDOWS组件、系统、网络、打印机。 B、用户配置：WINDOWS组件、系统、网络、任务栏和开始菜单、桌面、控制面板。6、“组策略”选项卡下的操作： 1 删除：删除组策略对象。 注意： A 非永久删除：“从列表中移除连接”。只是在列表中删除，还可以在系统中找到，并添加回来或添加到其他容器上。 B 永久性删除：“移除连接并将组策略永久删除”。彻底的删除掉，在系统中无法找到了。 2 新建：新建一个组策略。 3 编辑：编辑指定组策略的设置。 4 添加：将系统中已有的组策略应用到指定容器（域、OU、站点）中。 5 选项： A 禁止替代：禁止后执行的组策略中的项目更改这个组策略的项目。如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”，并且在域的组策略中选择了“禁止替代”。那么最终结果为“密码长度”是“7”。 B 被禁用：指定组策略不在容器上应用。 6 属性： A 禁止计算机配置：指定组策略的计算机配置在容器上不生效。 B 禁止用户配置：指定组策略的用户配置在容器上不生效。 C “安全”选项卡：对于指定组策略的控制权限的设置。 7 如果在一个容器上有多个组策略，在组策略列表中上端的先执行，依次向下执行。 A “向上”/“向下”按钮：修改容器上的组策略在列表中的位置，从而修改了容器上组策略的执行顺序。 8 “阻止策略继承”选项：从更高级站点、域或组织单位继承的策略可以在该站点、域或组织单位级别被拒绝。禁止更高级别的组策略在该容器上执行。 A “阻止策略继承”如果已启用“禁止替代”，则不会阻止“组策略”对象。 B “阻止策略继承”只能在站点、域和组织单位上设置，而不能在单个“组策略”对象上设置。7、最佳操作 1 组策略： A 禁用组策略对象的未使用部分。 B 使用阻止策略继承和禁止替代部分功能。 C 最小化与域中或组织单位中的用户关联的组策略对象的数量。应用于用户的组策略越多，它登录的时间越长。 D 避免交叉域组策略对象分配。如果从其他域获得组策略，那么组策略对象的处理将减慢登录和启动。 2 软件安装和管理 A 在 Windows 安装程序包发行或指派之前确定它们已正确转换。.msi或 .mst文件。 B 每个组策略对象只指派或发行一次：例如，如果将 Microsoft Office 指派给受组策略对象影响的计算机，则不能再将它指派或发行给受组策略对象影响的用户。 C 重新打包现有软件。 D 使用DFS。 E 在 Active Directory 层次结构中的高层指派或发行。 3 文件夹重定向 A 让“My Picture”文件夹始终跟随“我的文档”文件夹。二、 案例研究案例1：AD组策略实现统一桌面组策略管理在windows域管理中占有重要地位，本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具组策略管理控制台。注意：2008 r2 右击域或者OU的属性中不再出现“组策略”。在Server 2008以前的Windows Server中要想配置组策略， 是件麻烦事。后来微软推出了一个小工具gpmc，才解决了问题，但这个工具需要下载和安装，许多人不知道有这个工具的存在。在Windows 2008 R2中，微软将它集成了进来，大大方便了管理员对于组策略的管理和配置。首先，让我们看看它的庐山真面目吧！注意windows2003实现方式如下：操作主要分两步：一、将客户端墙纸更新至服务器设置1、启用用户配置-管理模板-桌面-Active Desktop-启用Active Desktop ， 禁用Active Desktop保持未配置2、启用用户配置-管理模板-桌面-Active Desktop-Active Desktop 墙 纸并在墙纸名称处输入墙纸的路径3、于服务器更新组策略:gpupdate /force;客户端更新组策略：gpupdate /force 最好重启客户端验证墙纸是否未服务器设置以下是windows2008实现方式在“开始”-“管理工具”-“组策略管理”，就可打开。或者在“运行”中键入gpmc.msc，也能打开：对“财政部”的用户统一桌面，右击“财政部”-“在这个域中创建GPO并在此处链接”命名为“财政部组策略对象”右击-“编辑”1、启用用户配置-管理模板-桌面-Active Desktop-启用Active Desktop ， 禁用Active Desktop保持未配置2、启用用户配置-管理模板-桌面-Active Desktop-桌面墙纸并在墙纸名称处输入墙纸的路径在AD服务器中共享一个“Share”的文件夹，权限为everyone读取，在里面放一张壁纸：这是壁纸的内容：在下面中输入192.168.1.88sharebackgroundNBA.jpg更新组策略:gpupdate用“财政部”的用户登入客户端，会发现桌面已变。会发现桌面的图标有蓝色阴影，相当难看！请见我的解决方案。发现桌面不能更改，全部灰色不可用：用域管理员账号登入客户端，桌面不受影响：OK!$下面是对浏览器的标题进行统一设定：“运行”-gpupdate，更新组策略。以下用财政部的一个用户登录客户端验证：用域管理员验证，不受影响下面是限制用户能登陆的机子：在策略实现之后，用户的桌面图标会出现阴影，解决办法如下：在客户PC上做如下操作：. 我的电脑-右键属性-高级-性能-设置-视觉效果-选中“调整为最佳外观”或“让windows选择计算机的最佳设置(L)”确定即可！案例2：组策略实现统一软件安装 作为网络管理员，经常被一些“份外”的工作所困扰，最常做的，就是给公司内的机器安装软件。如果一个机器安装也就罢了，要安装的机器一多，你就必须奔波于各个物理地点(各个机器所在地)间，这无疑是一件很痛苦的事情。而且，大量的重复劳动也分散了你的精力，使你不能专心于网络管理工作。而Windows2000组策略中的；软件指派安装功能，将使你彻底摆脱这种烦恼。 什么是软件的指派安装 Windows2000组策略的软件指派安装，实际上是一种自动远程安装服务。通过组策略的配置，可以实现域内所有的计算机自动安装所需要的软件；也可以使指定的用户，无论在域内哪台计算机登录，都可以得到他们需要的应用软件。 注意：有msi为后缀的安装包的软件才能进行指派安装。 指派安装的实现 现在我们以使域内所有计算机能够自动安装软件为例，来谈谈组策略中软件的指派安装。 首先以管理员身份登录域控制器(本例中域控制器为server)，把需要指派安装的软件存放在一个文件夹下，并共享这个文件夹。本例的文件夹共享名为software”。 然后，在“活动目录用户和计算机”中鼠标右键单击域名(如本例的zjbhisorg)，选择“属性”，在弹出的“属性”对话框中选择“组策略”标签页。选中默认策略“DefaultDomainPoli-cy”(如无默认策略，可以点“新建”按钮新建一个组策略)，点击“编辑”按钮对其进行编辑。 在弹出的组策略对话框中，展开“计算机配置软件设置呻软件安装”，此处便是软件指派的配置点了。点击菜单中的“操作”，然后选择“新建程序包”，在弹出的“打开”对话框中，指定我们要指派安装的软件包。(这里必须提醒大家：在指定安装软件包时，须使用网络路径，例如本例：ipsoftwareabc.msi如果我们以本地路径为指派路径，如D：softwareabc.msi则客户机在启动的时候就会按照这个路径在本机中进行查找，结果是显而易见的：找不到安装程序!)选择了需要指派的程序包以后，单击“打开”，进入“部署软件”对话框，选择其中的“已指派”项，并“确定”，回到“组策略”对话框，从图的右侧可以看出，该软件已经指派了。 接下来我们要对这个指派软件进行相应的设置。选中程序包，单击鼠标右键，选择“属性”进入所指派软件的“属性”对话框并选择“部署”标签页，选择“当这个应用程序不再处于管理范围内时，将其卸载”项，这样做的作用在于：如果从组策略中删除了该软件的指派安装，则用户的计算机会自动在启动时将该软件卸载。 到此，我们就完成了软件的指派安装工作。用户在域内启动自己的计算机时，计算机便会自动从