組策略-基礎知識

組策略基礎知識：

一、組策略中包含兩部分：

     1 計算機配置：針對計算機的配置，只在計算機上生效。計算機啓動的時候應用，在出現登陸界面前。

     2 用戶配置：針對用戶的配置，只在全部用戶賬戶上生效。用戶登陸後應用。

二、根據應用範圍將組策略分爲三類：

     1 域的組策略：設置對於整個域都生效。在「AD用戶和計算機」中，右擊域名-〉屬性-〉組策略。

     2 OU的組策略：設置對於這個的OU生效。在「AD用戶和計算機」中，右擊OU名-〉屬性-〉組策略。

     3 站點的組策略：設置對於這個站點生效。在「AD站點和服務」中，右擊站點名-〉屬性-〉組策略。

    注意：「運行」中鍵入gpedit.msc，啓動的是本地組策略，咱們要的是「域組策略」！因此必須右擊「AD用戶和計算機」中才能進入。

三、組策略的執行順序：

     1 站點-〉域-〉組織單元（OU）

     2 計算機配置-〉用戶配置

四、組策略的衝突：

     1 在不一樣組策略中的同一項目的設置相反，就是組策略衝突。如：在站點組策略中，「隱藏桌面上的網上鄰居圖標」設置爲「啓用」，而域的組策略上設置的是「禁用」。再如：在域的組策略中「密碼長度」設置爲「7」，而OU的組策略中設置的是「6」。

     2 衝突的結果：後執行的是結果。

五、組策略中的設置內容：

     1 軟件安裝：自動安裝應用軟件。計算機配置和用戶配置下都有。準備工做：軟件的源安裝文件，在安裝文件中要有.msi爲後綴的可執行文件。將軟件的源安裝文件放到一個共享文件夾中。（網絡路徑）

       A、已發行：由用戶決定是否安裝。若是軟件包是已發行方式，用戶登陸後，系統會在添加/刪除程序-〉添加新程序中顯示已發行的軟件包。在計算機配置中不能實現。

       B、已指派：強制性安裝，自動安裝。

      2 WINDOWS設置：

         A、計算機配置：腳本（啓動和關機），安全設置。

         B、用戶配置：IE維護，腳本（登陸和註銷），安全設置（密鑰），遠程安裝服務（爲客戶機安裝WIN2000 PRO），文件夾重定向（把用戶的一些重要文件夾重定向到文件服務器中）。

      3 管理模板：

         A、計算機配置：WINDOWS組件、系統、網絡、打印機。

         B、用戶配置：WINDOWS組件、系統、網絡、任務欄和開始菜單、桌面、控制面板。

六、「組策略」選項卡下的操做：

      1  刪除：刪除組策略對象。

         注意：

         A 非永久刪除：「從列表中移除鏈接」。只是在列表中刪除，還能夠在系統中找到，並添加回來或添加到其餘容器上。

         B 永久性刪除：「移除鏈接並將組策略永久刪除」。完全的刪除掉，在系統中沒法找到了。

      2  新建：新建一個組策略。

      3  編輯：編輯指定組策略的設置。

      4  添加：將系統中已有的組策略應用到指定容器（域、OU、站點）中。

      5  選項：

         A 禁止替代：禁止後執行的組策略中的項目更改這個組策略的項目。如：在域的組策略中「密碼長度」設置爲「7」，而OU的組策略中設置的是「6」，而且在域的組策略中選擇了「禁止替代」。那麼最終結果爲「密碼長度」是「7」。

         B 被禁用：指定組策略不在容器上應用。

      6  屬性：

         A 禁止計算機配置：指定組策略的計算機配置在容器上不生效。

         B 禁止用戶配置：指定組策略的用戶配置在容器上不生效。

         C 「安全」選項卡：對於指定組策略的控制權限的設置。

      7  若是在一個容器上有多個組策略，在組策略列表中上端的先執行，依次向下執行。

         A 「向上」/「向下」按鈕：修改容器上的組策略在列表中的位置，從而修改了容器上組策略的執行順序。

      8  「阻止策略繼承」選項：從更高級站點、域或組織單位繼承的策略能夠在該站點、域或組織單位級別被拒絕。禁止更高級別的組策略在該容器上執行。

        A 「阻止策略繼承」若是已啓用「禁止替代」，則不會阻止「組策略」對象。

        B 「阻止策略繼承」只能在站點、域和組織單位上設置，而不能在單個「組策略」對象上設置。

七、最佳操做

     1  組策略：

         A 禁用組策略對象的未使用部分。

         B 使用阻止策略繼承和禁止替代部分功能。

         C 最小化與域中或組織單位中的用戶關聯的組策略對象的數量。應用於用戶的組策略越多，它登陸的時間越長。

         D 避免交叉域組策略對象分配。若是從其餘域得到組策略，那麼組策略對象的處理將減慢登陸和啓動。

      2  軟件安裝和管理

          A 在 Windows 安裝程序包發行或指派以前肯定它們已正確轉換。.msi或 .mst文件。

          B 每一個組策略對象只指派或發行一次：例如，若是將 Microsoft Office 指派給受組策略對象影響的計算機，則不能再將它指派或發行給受組策略對象影響的用戶。

          C 從新打包現有軟件。

          D 使用DFS。

          E 在 Active Directory 層次結構中的高層指派或發行。

      3  文件夾重定向

          A 讓「My Picture」文件夾始終跟隨「個人文檔」文件夾。