AD域的組策略實施.doc

組策略的實施1.理解組策略作用組策略又稱Group Policy組策略可以管理計算機和用戶組策略可以管理用戶的工作環(huán)境、登錄注銷時執(zhí)行的腳本、文件夾重定向、軟件安裝等2.組策略的結構組策略的具體設置數據保存在GPO中 創(chuàng)建完AD后系統(tǒng)默認的2個GPO:默認域策略和默認域控制器策略 GPO所鏈接的對象:S(站點)D(域)OU(組織單位),當然也可以應用在本地GPO控制的對象:S、D、OU中的計算機和用戶 GPO的組件存儲在2個位置: GPC（組策略容器）與GPT（組策略模板） GPC：GPC是包含GPO屬性和版本信息的活動目錄對象 GPT：GPT在域控制器的共享系統(tǒng)卷（SYSVOL）中，是一種文件夾層次結構 。3. 組策略更改后不是立即生效，可以通過運行：gpupdate / force命令來立即刷新。4. 默認下層容器會繼承上層容器的策略，如下圖： 5. 下層可以通過阻止策略繼承按鈕，不繼承上層的策略。如圖：6. 上層也可強制下層來繼承策略，就算下層開了阻止策略繼承也要繼承。如圖： 7. 策略之間出現(xiàn)沖突時，遵循以下幾點1. 如果同一個容器的計算機策略和用戶策略都設置了,但這2個的策略之間相互沖突,并且這個容器下的用戶帳戶恰好登錄了這臺計算機,那么計算機策略和用戶策略同時都要生效,這時計算機策略覆蓋用戶策略!2.不同層次的策略產生沖突時，子容器（上層）上的GPO優(yōu)先級高!3.同一個容器上多個GPO產生沖突時，處于GPO列表最高位置的GPO優(yōu)先級最高。8. 篩選組策略設置，將用戶或者組添加到安全組，在應用組策略選項后選擇拒絕即可 軟件策略：指派與發(fā)布1.建立一個共享文件夾，將要實施的MSI格式軟件放入共享文件夾。2.利用組策略的軟件安裝找路徑（網絡路徑）3. 選擇發(fā)布/指派軟件 a)指派， 程序在【開始】菜單中 b)發(fā)布， 程序顯示在【控制面板】|【添加/刪除程序】中4. 軟件指派：可以針對計算機和用戶：將軟件指派給計算機，計算機啟動時軟件將自動安裝在Documents and SettingsAll Users。將軟件指派給用戶，只有在點擊軟件后才開始真正安裝。下圖給出了指派給用戶的例子： 5. 路徑一定要是網路路徑，如下圖：只有第二個才是合法的網路路徑。 6. 在客戶端登入后，可以看到軟件已經成功指派到了指定用戶，如下圖： 7. 只有在軟件運行后才開始真正的安裝：8. 軟件發(fā)布只能針對于用戶，計算機下無法使用發(fā)布，具體實例如圖：9. 在用戶配置下使用軟件發(fā)布，具體如圖：10. 在客戶端登入后，可以看到軟件已經成功發(fā)布到了指定用戶，如下圖：用戶漫游登入用戶可以在域內任何機器成功登入后，使用相同的配置文件。1.在AD域控上新建一個用戶，我這里利用之前的用戶liyang ，在AD域控上新建一個文件夾work, 在work下建一個同名liyang文件夾，并啟用共享，如圖：2.給予Everyone相應的權限，如圖：3.在安全-高級的屬性里，做相應的權限設置，把下面的勾取消掉，在彈出的對話框做對應操作如圖：4.把文件的所有權給予對應的liyang用戶，如圖：5.在權限屬性里，將liyang用戶添加進去，如下圖：6. 并給予相應的權限，如下圖：7. 如圖：注意liyang用戶是特殊權限，并應用到子對象：8.下一步，如圖：9. 記得給予管理員完全控制的權限：10. 在用戶屬性里面 - 配置文件 配置文件路徑：AD域的IP地址共享文件夾 如圖：11. 在客戶端用liyang用戶登入后，可以查看到已經是通過漫游登入了，如圖：12注銷客戶端用戶，如圖：13.在AD域控上的liyang文件下可以看到客戶端的配置文件