WINDOWS SERVER 2003从入门到精通之组策略应用

目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,你们都已习惯了WINS的操做界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键做用的就是"组策略",利用组策略管理域中的计算机和用户工做环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工做.

但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则!

那么咱们开始学习组策略吧:
1.理解组策略做用:

组策略又称Group Policy
组策略能够管理计算机和用户
组策略能够管理用户的工做环境、登陆注销时执行的脚本、文件夹重定向、软件安装等
使用组策略能够:
a)对域设置组策略影响整个域的工做环境，对OU设置组策略影响本OU下的工做环境
b)下降布置用户和计算机环境的总费用
    由于只须设置一次，相应的用户或计算机便可所有使用规定的设置
    减小用户不正确配置环境的可能性
c)推行公司使用计算机规范
    桌面环境规范
    安全策略

总结:

a)集中化管理
b)管理用户环境
c)下降管理用户的开销
d)强制执行企业策略

总之组策略给企业和管理员带了高效率,地成本.原来作一样的工做须要10个管理员要忙10天都不能完成的事情,若是使用组策略1个管理员在一天的工做日就把事情全搞定,并且还有时间作下来喝咖啡.听起来好像不太可能,而事实获得了证实,但那你须要掌握组策略的应用规则.

 

 

2.组策略的结构

组策略的具体设置数据保存在GPO中
建立完AD后系统默认的2个GPO:默认域策略和默认域控制器策略
GPO所连接的对象:S(站点)D(域)OU(组织单位),固然也能够应用在"本地"
GPO控制的对象:SDOU中的计算机和用户

 

GPO的组件存储在2个位置:
GPC（组策略容器）与GPT（组策略模板）
GPC：GPC是包含GPO属性和版本信息的活动目录对象
GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

 

 

并且组策略更改后不是当即生效,须要通过一个刷新时间:

 

咱们刚才说了组策略应用的对象是计算机账号和用户账号,那么打开组策略编辑器能够看到:

 

在此咱们就来说解组策略的应用规则,也就是使用方法:

3.理解组策略应用顺序:站点-域-OU-子OU,固然在同一级容器也能够建立多个GPO,以下图所示:

 

 

4.掌握组策略继承

在不一样层次的容器上设置GPO或在同一层次的容器上设置了多个GPO,只要策略之间无冲突,那么全部策略都会作累加.

还有上层容器作了GPO,那么下层容器会继承上层容器的策略.

 

5.阻止继承操做

刚才说到下层容器会继承上层容器的策略,那么下层容器也能够阻止上层容器的策略,那么上层容器的策略就不会继承到下层了.方法是只须要在下层容器设置"阻止继承"便可:

 

 

6.掌握组策略强制生效

下层容器也能够阻止上层容器的策略,那么反过来上级容器也能够把策略强制给下级容器,那么无论下层容器有没有选择"阻止继承",都不生效,上层容器的策略都会继承下来,因此总结就是上层容器选择了"强制",而下层容器同时选择了"阻止',两个都存在,那么"强制"优先级高,方法只须要在上层容器设置"强制"便可:

 

 

 

7.刚才咱们知识谈了策略没有冲突的时候,若是有冲突了听谁的呢?那么就请你们切记如下几点:

1.若是同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,而且这个容器下的用户账户刚好登陆了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!
2.不一样层次的策略产生冲突时，子容器上的GPO优先级高!
3.同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高!
整体原则：默认状况下后执行的优先级高。若是上层作强制,下层作阻止,而且上下有冲突,那么强制优先级最高!

 

8.筛选组策略设置 

a)GPO都是应用于容器下的全部的计算机和用户,但在实际中会有这样的需求,例如学术部的全部普通用户都要受GPO的约束,而经理不受此约束,这个功能靠筛选来实现,筛选能够实现阻止一个GPO应用于容器内部的特定计算机和用户。
b)容器中计算机和用户之因此受到GPO的影响，是由于他们对GPO拥有读取和应用组策略的权限。若是用户或计算机账户没有读取和应用组策略的权限，组策略将拒绝执行。

筛选能够阻止一个GPO应用于容器内的特定计算机和用户,设置读取和应用组策略的权限

 

 

 

9.掌握软件分发方式：指派与发布

    分发软件的步骤:
        a)提供一个.msi的程序放在一个共享文件夹
        b)利用组策略的软件安装找路径（网络路径）
        c)选择发布/指派软件
    指派与发布的区别
        a)指派， 程序在【开始】菜单中
        b)发布， 程序显示在【控制面板】|【添加/删除程序】中

 

指派软件:

a)将软件指派计算机
    计算机启动时软件将自动安装在计算机里
    安装在Documents and Settings\All Users
b)将软件指派用户
    不会自动安装软件自己
    只安装软件相关的部分信息，如快捷方式
    什么时候自动安装
    开始运行此软件

 

发布软件:

a)不能将软件发布到计算机
b)将软件发布到用户
    不会自动安装软件自己
    什么时候自动安装
        “控制面板”-“添加或删除程序”-“添加新程序”

 

那么最后咱们来作一个指派给用户安装OFFICE软件的实验:

 

1.首先把要分发的软件包放在共享文件夹中,并给之相应的权限:

 

 

2.DC中打开"AD用户与计算机"工具,为指定的OU设置组策略,该OU下有个用户为USERB:

 

 

3.在软件设置的软件安装,选择新建程序包:

 

4.找到指定的共享文件夹(必定是要网络路径):

 

5.选择"指派":

 

 

6.因为组策略生成后须要有个刷新时间,可使用命令GPUPDATE进行当即生效:

 

 

7.使用USERB用户登陆系统后能够看到程序中已经有了OFFICE工具:

 

8.不过不要高兴,由于咱们选择的是"指派给用户",那么当用户登陆系统时看到的OFFICE程序其实没有真正安装,但第一次点击时才开始真正的安装过程,以下图.不过若是选择是"指派给计算机"的话,那么这台指定的计算机开机时会很慢很慢,但当计算机进入系统后就会发现OFFICE已经安装成功了.

值得一提的是,若是刚才指派的这个用户没有相应的权限,那么当他执行软件安装时也会弹出"没法安装",由于没权限,这点须要注意,要事先给用户相应的权限!

 

9.修复软件

a)一个被发布或者指派的软件，在安装完成后，若是软件程序内有关键性的文件损坏、遗失或者被用户不当心删除，系统会探测到此不正常的现象，而且会自动修复、从新安装此软件。
b)若是原来软件分发点上的安装文件发生丢失或损坏
    在服务器上修复该软件的源文件
    从新部署一次

 

 

10.删除软件

【当即从用户和计算机卸载软件】：下一次用户登陆或计算机启动时，软件会被强制删除
【容许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不容许从新安装

 

11.升级软件

举例:
    Office2000升级到Office2003
    Visio2000升级到visio2002
a)强制升级
    会强制用户将当前软件升级到新的版本
b)可选升级
    容许用户同时使用一个应用程序的两个版本

 

 

 

12.组策略中的脚本应用

计算机设置(开机和关机)和用户设置(登陆和注销)共有四种不一样应用环境

下面咱们来作一个用户登陆脚本实验:

a)打开组策略的用户-脚本-登陆:

 

b)打开登陆脚本:

 

c)在桌面上建立一个*.vbs的脚本文件:

 

d)添加脚本:

 

e)找到脚本指定要放到的LOGON文件夹内(网络路径,必需要放在这里才能生效):

 

 

 

 

f)当即刷新:

 

g)登陆界面:

 

最后我给你们共享一个WORD文档,是关于组策略的应用规则实验.刚开始接触组策略的能够作以参考.在我上传的文档中!