WINDOWS SERVER 2003從入門到精通之組策略應用

目前大部分的公司都去購買MS的OS產品,剛推出不久的VISTA,以及即將面視的WINDOWS SERVER 2008,你們都已習慣了WINS的操做界面,不過在企業當中看中的是MS的AD的應用,而在AD中,能起到關鍵做用的就是"組策略",利用組策略管理域中的計算機和用戶工做環境，實現軟件分發等一系列功能,快速便捷的幫助管理員完成煩瑣的工做.

但要了解組策略的使用,不是瞭解它的具體有哪些選項,而是要掌握它的應用規則!

那麼咱們開始學習組策略吧:
1.理解組策略做用:

組策略又稱Group Policy
組策略能夠管理計算機和用戶
組策略能夠管理用戶的工做環境、登陸註銷時執行的腳本、文件夾重定向、軟件安裝等
使用組策略能夠:
a)對域設置組策略影響整個域的工做環境，對OU設置組策略影響本OU下的工做環境
b)下降佈置用戶和計算機環境的總費用
    由於只須設置一次，相應的用戶或計算機便可所有使用規定的設置
    減小用戶不正確配置環境的可能性
c)推行公司使用計算機規範
    桌面環境規範
    安全策略

總結:

a)集中化管理
b)管理用戶環境
c)下降管理用戶的開銷
d)強制執行企業策略

總之組策略給企業和管理員帶了高效率,地成本.原來作一樣的工做須要10個管理員要忙10天都不能完成的事情,若是使用組策略1個管理員在一天的工做日就把事情全搞定,並且還有時間作下來喝咖啡.聽起來好像不太可能,而事實獲得了證實,但那你須要掌握組策略的應用規則.

 

 

2.組策略的結構

組策略的具體設置數據保存在GPO中
建立完AD後系統默認的2個GPO:默認域策略和默認域控制器策略
GPO所連接的對象:S(站點)D(域)OU(組織單位),固然也能夠應用在"本地"
GPO控制的對象:SDOU中的計算機和用戶

 

GPO的組件存儲在2個位置:
GPC（組策略容器）與GPT（組策略模板）
GPC：GPC是包含GPO屬性和版本信息的活動目錄對象
GPT：GPT在域控制器的共享系統卷（SYSVOL）中，是一種文件夾層次結構

 

 

並且組策略更改後不是當即生效,須要通過一個刷新時間:

 

咱們剛纔說了組策略應用的對象是計算機賬號和用戶賬號,那麼打開組策略編輯器能夠看到:

 

在此咱們就來說解組策略的應用規則,也就是使用方法:

3.理解組策略應用順序:站點-域-OU-子OU,固然在同一級容器也能夠建立多個GPO,以下圖所示:

 

 

4.掌握組策略繼承

在不一樣層次的容器上設置GPO或在同一層次的容器上設置了多個GPO,只要策略之間無衝突,那麼全部策略都會作累加.

還有上層容器作了GPO,那麼下層容器會繼承上層容器的策略.

 

5.阻止繼承操做

剛纔說到下層容器會繼承上層容器的策略,那麼下層容器也能夠阻止上層容器的策略,那麼上層容器的策略就不會繼承到下層了.方法是隻須要在下層容器設置"阻止繼承"便可:

 

 

6.掌握組策略強制生效

下層容器也能夠阻止上層容器的策略,那麼反過來上級容器也能夠把策略強制給下級容器,那麼無論下層容器有沒有選擇"阻止繼承",都不生效,上層容器的策略都會繼承下來,因此總結就是上層容器選擇了"強制",而下層容器同時選擇了"阻止',兩個都存在,那麼"強制"優先級高,方法只須要在上層容器設置"強制"便可:

 

 

 

7.剛纔咱們知識談了策略沒有衝突的時候,若是有衝突了聽誰的呢?那麼就請你們切記如下幾點:

1.若是同一個容器的計算機策略和用戶策略都設置了,但這2個的策略之間相互衝突,而且這個容器下的用戶賬戶剛好登陸了這臺計算機,那麼計算機策略和用戶策略同時都要生效,這時計算機策略覆蓋用戶策略!
2.不一樣層次的策略產生衝突時，子容器上的GPO優先級高!
3.同一個容器上多個GPO產生衝突時，處於GPO列表最高位置的GPO優先級最高!
整體原則：默認狀況下後執行的優先級高。若是上層作強制,下層作阻止,而且上下有衝突,那麼強制優先級最高!

 

8.篩選組策略設置 

a)GPO都是應用於容器下的全部的計算機和用戶,但在實際中會有這樣的需求,例如學術部的全部普通用戶都要受GPO的約束,而經理不受此約束,這個功能靠篩選來實現,篩選能夠實現阻止一個GPO應用於容器內部的特定計算機和用戶。
b)容器中計算機和用戶之因此受到GPO的影響，是由於他們對GPO擁有讀取和應用組策略的權限。若是用戶或計算機賬戶沒有讀取和應用組策略的權限，組策略將拒絕執行。

篩選能夠阻止一個GPO應用於容器內的特定計算機和用戶,設置讀取和應用組策略的權限

 

 

 

9.掌握軟件分發方式：指派與發佈

    分發軟件的步驟:
        a)提供一個.msi的程序放在一個共享文件夾
        b)利用組策略的軟件安裝找路徑（網絡路徑）
        c)選擇發佈/指派軟件
    指派與發佈的區別
        a)指派， 程序在【開始】菜單中
        b)發佈， 程序顯示在【控制面板】|【添加/刪除程序】中

 

指派軟件:

a)將軟件指派計算機
    計算機啓動時軟件將自動安裝在計算機裏
    安裝在Documents and Settings\All Users
b)將軟件指派用戶
    不會自動安裝軟件自己
    只安裝軟件相關的部分信息，如快捷方式
    什麼時候自動安裝
    開始運行此軟件

 

發佈軟件:

a)不能將軟件發佈到計算機
b)將軟件發佈到用戶
    不會自動安裝軟件自己
    什麼時候自動安裝
        「控制面板」-「添加或刪除程序」-「添加新程序」

 

那麼最後咱們來作一個指派給用戶安裝OFFICE軟件的實驗:

 

1.首先把要分發的軟件包放在共享文件夾中,並給之相應的權限:

 

 

2.DC中打開"AD用戶與計算機"工具,爲指定的OU設置組策略,該OU下有個用戶爲USERB:

 

 

3.在軟件設置的軟件安裝,選擇新建程序包:

 

4.找到指定的共享文件夾(必定是要網絡路徑):

 

5.選擇"指派":

 

 

6.因爲組策略生成後須要有個刷新時間,可使用命令GPUPDATE進行當即生效:

 

 

7.使用USERB用戶登陸系統後能夠看到程序中已經有了OFFICE工具:

 

8.不過不要高興,由於咱們選擇的是"指派給用戶",那麼當用戶登陸系統時看到的OFFICE程序其實沒有真正安裝,但第一次點擊時纔開始真正的安裝過程,以下圖.不過若是選擇是"指派給計算機"的話,那麼這臺指定的計算機開機時會很慢很慢,但當計算機進入系統後就會發現OFFICE已經安裝成功了.

值得一提的是,若是剛纔指派的這個用戶沒有相應的權限,那麼當他執行軟件安裝時也會彈出"沒法安裝",由於沒權限,這點須要注意,要事先給用戶相應的權限!

 

9.修復軟件

a)一個被髮布或者指派的軟件，在安裝完成後，若是軟件程序內有關鍵性的文件損壞、遺失或者被用戶不當心刪除，系統會探測到此不正常的現象，而且會自動修復、從新安裝此軟件。
b)若是原來軟件分發點上的安裝文件發生丟失或損壞
    在服務器上修復該軟件的源文件
    從新部署一次

 

 

10.刪除軟件

【當即從用戶和計算機卸載軟件】：下一次用戶登陸或計算機啓動時，軟件會被強制刪除
【容許用戶繼續使用軟件，但禁止新的安裝】：用戶和計算機仍可繼續執行使用軟件，但不容許從新安裝

 

11.升級軟件

舉例:
    Office2000升級到Office2003
    Visio2000升級到visio2002
a)強制升級
    會強制用戶將當前軟件升級到新的版本
b)可選升級
    容許用戶同時使用一個應用程序的兩個版本

 

 

 

12.組策略中的腳本應用

計算機設置(開機和關機)和用戶設置(登陸和註銷)共有四種不一樣應用環境

下面咱們來作一個用戶登陸腳本實驗:

a)打開組策略的用戶-腳本-登陸:

 

b)打開登陸腳本:

 

c)在桌面上建立一個*.vbs的腳本文件:

 

d)添加腳本:

 

e)找到腳本指定要放到的LOGON文件夾內(網絡路徑,必需要放在這裏才能生效):

 

 

 

 

f)當即刷新:

 

g)登陸界面:

 

最後我給你們共享一個WORD文檔,是關於組策略的應用規則實驗.剛開始接觸組策略的能夠作以參考.在我上傳的文檔中!