AD域的組策略實(shí)施.doc

組策略的實(shí)施1.理解組策略作用組策略又稱Group Policy組策略可以管理計(jì)算機(jī)和用戶組策略可以管理用戶的工作環(huán)境、登錄注銷時執(zhí)行的腳本、文件夾重定向、軟件安裝等2.組策略的結(jié)構(gòu)組策略的具體設(shè)置數(shù)據(jù)保存在GPO中 創(chuàng)建完AD后系統(tǒng)默認(rèn)的2個GPO:默認(rèn)域策略和默認(rèn)域控制器策略 GPO所鏈接的對象:S(站點(diǎn))D(域)OU(組織單位),當(dāng)然也可以應(yīng)用在本地GPO控制的對象:S、D、OU中的計(jì)算機(jī)和用戶 GPO的組件存儲在2個位置: GPC（組策略容器）與GPT（組策略模板） GPC：GPC是包含GPO屬性和版本信息的活動目錄對象 GPT：GPT在域控制器的共享系統(tǒng)卷（SYSVOL）中，是一種文件夾層次結(jié)構(gòu) 。3. 組策略更改后不是立即生效，可以通過運(yùn)行：gpupdate / force命令來立即刷新。4. 默認(rèn)下層容器會繼承上層容器的策略，如下圖： 5. 下層可以通過阻止策略繼承按鈕，不繼承上層的策略。如圖：6. 上層也可強(qiáng)制下層來繼承策略，就算下層開了阻止策略繼承也要繼承。如圖： 7. 策略之間出現(xiàn)沖突時，遵循以下幾點(diǎn)1. 如果同一個容器的計(jì)算機(jī)策略和用戶策略都設(shè)置了,但這2個的策略之間相互沖突,并且這個容器下的用戶帳戶恰好登錄了這臺計(jì)算機(jī),那么計(jì)算機(jī)策略和用戶策略同時都要生效,這時計(jì)算機(jī)策略覆蓋用戶策略!2.不同層次的策略產(chǎn)生沖突時，子容器（上層）上的GPO優(yōu)先級高!3.同一個容器上多個GPO產(chǎn)生沖突時，處于GPO列表最高位置的GPO優(yōu)先級最高。8. 篩選組策略設(shè)置，將用戶或者組添加到安全組，在應(yīng)用組策略選項(xiàng)后選擇拒絕即可 軟件策略：指派與發(fā)布1.建立一個共享文件夾，將要實(shí)施的MSI格式軟件放入共享文件夾。2.利用組策略的軟件安裝找路徑（網(wǎng)絡(luò)路徑）3. 選擇發(fā)布/指派軟件 a)指派， 程序在【開始】菜單中 b)發(fā)布， 程序顯示在【控制面板】|【添加/刪除程序】中4. 軟件指派：可以針對計(jì)算機(jī)和用戶：將軟件指派給計(jì)算機(jī)，計(jì)算機(jī)啟動時軟件將自動安裝在Documents and SettingsAll Users。將軟件指派給用戶，只有在點(diǎn)擊軟件后才開始真正安裝。下圖給出了指派給用戶的例子： 5. 路徑一定要是網(wǎng)路路徑，如下圖：只有第二個才是合法的網(wǎng)路路徑。 6. 在客戶端登入后，可以看到軟件已經(jīng)成功指派到了指定用戶，如下圖： 7. 只有在軟件運(yùn)行后才開始真正的安裝：8. 軟件發(fā)布只能針對于用戶，計(jì)算機(jī)下無法使用發(fā)布，具體實(shí)例如圖：9. 在用戶配置下使用軟件發(fā)布，具體如圖：10. 在客戶端登入后，可以看到軟件已經(jīng)成功發(fā)布到了指定用戶，如下圖：用戶漫游登入用戶可以在域內(nèi)任何機(jī)器成功登入后，使用相同的配置文件。1.在AD域控上新建一個用戶，我這里利用之前的用戶liyang ，在AD域控上新建一個文件夾work, 在work下建一個同名liyang文件夾，并啟用共享，如圖：2.給予Everyone相應(yīng)的權(quán)限，如圖：3.在安全-高級的屬性里，做相應(yīng)的權(quán)限設(shè)置，把下面的勾取消掉，在彈出的對話框做對應(yīng)操作如圖：4.把文件的所有權(quán)給予對應(yīng)的liyang用戶，如圖：5.在權(quán)限屬性里，將liyang用戶添加進(jìn)去，如下圖：6. 并給予相應(yīng)的權(quán)限，如下圖：7. 如圖：注意liyang用戶是特殊權(quán)限，并應(yīng)用到子對象：8.下一步，如圖：9. 記得給予管理員完全控制的權(quán)限：10. 在用戶屬性里面 - 配置文件 配置文件路徑：AD域的IP地址共享文件夾 如圖：11. 在客戶端用liyang用戶登入后，可以查看到已經(jīng)是通過漫游登入了，如圖：12注銷客戶端用戶，如圖：13.在AD域控上的liyang文件下可以看到客戶端的配置文件