WINDOWS SERVER 2003从入门到精通之组策略应用.doc

WINDOWS SERVER 2003从入门到精通之组策略应用 2007-08-29 09:54:13标签：Windows 组策略推送到技术圈 版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是组策略,利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作.但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则!那么我们开始学习组策略吧:1.理解组策略作用:组策略又称Group Policy组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以:a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性c)推行公司使用计算机规范 桌面环境规范 安全策略总结:a)集中化管理b)管理用户环境c)降低管理用户的开销d)强制执行企业策略总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.2.组策略的结构组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在本地GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置:GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构 而且组策略更改后不是立即生效,需要经过一个刷新时间:我们刚才说了组策略应用的对象是计算机帐号和用户帐号,那么打开组策略编辑器可以看到:在此我们就来讲解组策略的应用规则,也就是使用方法:3.理解组策略应用顺序:站点-域-OU-子OU,当然在同一级容器也可以创建多个GPO,如下图所示:4.掌握组策略继承在不同层次的容器上设置GPO或在同一层次的容器上设置了多个GPO,只要策略之间无冲突,那么所有策略都会做累加.还有上层容器做了GPO,那么下层容器会继承上层容器的策略.5.阻止继承操作刚才说到下层容器会继承上层容器的策略,那么下层容器也可以阻止上层容器的策略,那么上层容器的策略就不会继承到下层了.方法是只需要在下层容器设置阻止继承即可:6.掌握组策略强制生效下层容器也可以阻止上层容器的策略,那么反过来上级容器也可以把策略强制给下级容器,那么不管下层容器有没有选择阻止继承,都不生效,上层容器的策略都会继承下来,所以总结就是上层容器选择了强制,而下层容器同时选择了阻止,两个都存在,那么强制优先级高,方法只需要在上层容器设置强制即可:7.刚才我们知识谈了策略没有冲突的时候,如果有冲突了听谁的呢?那么就请大家切记以下几点:1.如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!2.不同层次的策略产生冲突时，子容器上的GPO优先级高!3.同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高!总体原则：默认情况下后执行的优先级高。如果上层做强制,下层做阻止,并且上下有冲突,那么强制优先级最高!8.筛选组策略设置a)GPO都是应用于容器下的所有的计算机和用户,但在实际中会有这样的需求,例如学术部的所有普通用户都要受GPO的约束,而经理不受此约束,这个功能靠筛选来实现,筛选可以实现阻止一个GPO应用于容器内部的特定计算机和用户。b)容器中计算机和用户之所以受到GPO的影响，是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机帐户没有读取和应用组策略的权限，组策略将拒绝执行。筛选可以阻止一个GPO应用于容器内的特定计算机和用户,设置读取和应用组策略的权限 9.掌握软件分发方式：指派与发布 分发软件的步骤: a)提供一个.msi的程序放在一个共享文件夹 b)利用组策略的软件安装找路径（网络路径）c)选择发布/指派软件 指派与发布的区别 a)指派， 程序在【开始】菜单中 b)发布， 程序显示在【控制面板】|【添加/删除程序】中指派软件:a)将软件指派计算机 计算机启动时软件将自动安装在计算机里 安装在Documents and SettingsAll Usersb)将软件指派用户 不会自动安装软件本身 只安装软件相关的部分信息，如快捷方式 何时自动安装 开始运行此软件发布软件:a)不能将软件发布到计算机b)将软件发布到用户 不会自动安装软件本身 何时自动安装 “控制面板”-“添加或删除程序”-“添加新程序”那么最后我们来做一个指派给用户安装OFFICE软件的实验:1.首先把要分发的软件包放在共享文件夹中,并给之相应的权限:2.DC中打开AD用户与计算机工具,为指定的OU设置组策略,该OU下有个用户为USERB:3.在软件设置的软件安装,选择新建程序包:4.找到指定的共享文件夹(一定是要网络路径):5.选择指派:6.由于组策略生成后需要有个刷新时间,可以使用命令GPUPDATE进行立即生效:7.使用USERB用户登录系统后可以看到程序中已经有了OFFICE工具:8.不过不要高兴,因为我们选择的是指派给用户,那么当用户登录系统时看到的OFFICE程序其实没有真正安装,但第一次点击时才开始真正的安装过程,如下图.不过如果选择是指派给计算机的话,那么这台指定的计算机开机时会很慢很慢,但当计算机进入系统后就会发现OFFICE已经安装成功了.值得一提的是,如果刚才指派的这个用户没有相应的权限,那么当他执行软件安装时也会弹出无法安装,因为没权限,这点需要注意,要事先给用户相应的权限!9.修复软件a)一个被发布或者指派的软件，在安装完成后，如果软件程序内有关键性的文件损坏、遗失或者被用户不小心删除，系统会探测到此不正常的现象，并且会自动修复、重新安装此软件。b)如果原来软件分发点上的安装文件发生丢失或损坏 在服务器上修复该软件的源文件 重新部署一次 10.删除软件【立即从用户和计算机卸载软件】：下一次用户登录或计算机启动时，软件会被强制删除【允许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不允许重新安装 11.升级软件举例: Office2000升级到Office2003 Visio2000升级到visio2002a)强制升级 会强制用户将当前软件升级到新的版本b)可选升级 允许用户同时使用一个应用程序的两个版本12.组策略中的脚本应用计算机设置(开机和关机)和用户设置(登录和注销)共有四种不同应用环境下面我们来做一个用户登录脚本实验:a)打开