WindowsServer2012R2組策略

1、Windows Server 2012R2 組策略一、什么是組策略    組策略（GroupPolicy）是Microsoft Windows系統(tǒng)管理員為計(jì)算機(jī)和用戶定義的，用來(lái)控制應(yīng)用程序、系統(tǒng)設(shè)置和管理模板的一種機(jī)制。通俗一點(diǎn)說(shuō)，是介于控制面板和注冊(cè)表之間的一種修改系統(tǒng)、設(shè)置程序的工具。二、為什么需要組策略    注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊(cè)表的各個(gè)角落，如果是手工

2、配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。    其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。三、組策略的兩種配置    Ø  計(jì)算機(jī)配置：        當(dāng)計(jì)算機(jī)開(kāi)機(jī)時(shí)，系統(tǒng)會(huì)根據(jù)計(jì)算機(jī)配置的內(nèi)容來(lái)設(shè)置

3、計(jì)算機(jī)環(huán)境。包括桌面外觀、安全設(shè)置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。    Ø  用戶配置：        當(dāng)用戶登錄時(shí)，系統(tǒng)會(huì)根據(jù)用戶配置的內(nèi)容來(lái)設(shè)置計(jì)算機(jī)環(huán)境。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。四、組策略類型    Ø  域內(nèi)的組策略：（優(yōu)先級(jí)從上到下依次降低）    域內(nèi)的策略會(huì)被應(yīng)用到域內(nèi)的所有計(jì)算機(jī)和用

4、戶        1. 站點(diǎn)策略        2. 域策略        3. 組織單元策略    Ø  本地計(jì)算機(jī)策略：        1. 計(jì)算機(jī)配置只會(huì)應(yīng)用在此計(jì)算機(jī)

5、60;       2. 用戶策略將應(yīng)用到在此計(jì)算機(jī)登錄的所有用戶五、計(jì)算機(jī)本地策略本地計(jì)算機(jī)組策略控制臺(tái)1.計(jì)算機(jī)配置實(shí)例1.1.不顯示關(guān)機(jī)理由1.2.賬號(hào)密碼策略1.3.賬戶鎖定策略1.4.用戶權(quán)限分配1.5.安全選項(xiàng)2.用戶配置實(shí)例2.1.刪除“開(kāi)始”菜單中的“運(yùn)行”運(yùn)行取消成功2.2.將“控制面板”中的“Windows防火墻”隱藏起來(lái)六、組策略對(duì)象（GPO）Ø  組策略有繼承性、累加性Ø  當(dāng)組策略有沖突時(shí)，則以處理順序在后的GPO為優(yōu)先，而系統(tǒng)處理GPO的

6、順序是：站點(diǎn)GPO域組織單位的GPO本地計(jì)算機(jī)策略最低。Ø  計(jì)算機(jī)配置優(yōu)于用戶配置Ø  多個(gè)配置應(yīng)用到同一處，排在前面的組策略優(yōu)先1.組策略管理AD DS中兩個(gè)內(nèi)置GPO第一個(gè)是默認(rèn)域控制器策略第二個(gè)是默認(rèn)域策略2.策略設(shè)置與首選項(xiàng)設(shè)置！策略設(shè)置是強(qiáng)制的，首選項(xiàng)設(shè)置是非強(qiáng)制的！策略設(shè)置針對(duì)整個(gè)GPO來(lái)過(guò)濾，首選項(xiàng)設(shè)置可針對(duì)單一項(xiàng)目來(lái)過(guò)濾！策略設(shè)置優(yōu)先首選項(xiàng)設(shè)置！ 應(yīng)用首選項(xiàng)設(shè)置須安裝CSE軟件3.計(jì)算機(jī)配置的應(yīng)用時(shí)限Ø  計(jì)算機(jī)配置的應(yīng)用時(shí)限       

7、0;ü  計(jì)算機(jī)開(kāi)機(jī)時(shí)        ü  計(jì)算機(jī)開(kāi)機(jī)后，域控制器每5分鐘自動(dòng)應(yīng)用一次        ü  計(jì)算機(jī)開(kāi)機(jī)后，非域控制器每90120分鐘自動(dòng)應(yīng)用一次        ü  計(jì)算機(jī)開(kāi)機(jī)后，系統(tǒng)每16小時(shí)自動(dòng)運(yùn)行一次     

8、;   ü  手動(dòng)應(yīng)用Ø  用戶配置的應(yīng)用時(shí)限        ü  用戶登錄時(shí)會(huì)自動(dòng)應(yīng)用        ü  用戶登錄后，系統(tǒng)每90120分鐘自動(dòng)應(yīng)用一次，系統(tǒng)每16小時(shí)自動(dòng)運(yùn)行一次        ü  手動(dòng)應(yīng)用4.計(jì)算機(jī)配置實(shí)例

9、4.1.允許普通用戶在域控制器登陸依次是賬戶管理員、管理員（必須添加）、備份管理員、打印管理員、服務(wù)管理員、用戶應(yīng)用后更新4.2.設(shè)置密碼策略4.3.賬戶鎖定策略防火墻設(shè)置計(jì)算機(jī)配置策略管理模板網(wǎng)絡(luò)網(wǎng)絡(luò)連接Windows 防火墻域配置文件4.5.時(shí)間提供程序4.6.禁止安裝可移動(dòng)設(shè)備計(jì)算機(jī)配置策略管理模板系統(tǒng)設(shè)備安裝設(shè)備安裝限制5.用戶配置實(shí)例要求指定用戶只能通過(guò)企業(yè)內(nèi)的代理服務(wù)器上網(wǎng)新建Internet設(shè)置（按你IE版本來(lái)選）注意下面的虛線，代表著配置了沒(méi)有更新按F5進(jìn)行更新后確認(rèn)應(yīng)用確定禁用用戶IE瀏覽器自動(dòng)配置設(shè)置域用戶測(cè)試更新策略（已經(jīng)登陸了域用戶打cmd命令更新，沒(méi)有的在登陸時(shí)會(huì)自動(dòng)

10、更新）測(cè)試成功6.使用組策略發(fā)布軟件Ø  將軟件分配給用戶：    當(dāng)將一個(gè)軟件通過(guò)組策略分配給域內(nèi)的用戶后，則用戶在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，這個(gè)軟件都會(huì)被“通告”給該用戶，但這個(gè)軟件并沒(méi)有真正的被安裝，而只是安裝了與這個(gè)軟件有關(guān)的部分信息。只有在以下兩種情況下，這個(gè)軟件才會(huì)被自動(dòng)安裝：    1. 開(kāi)始運(yùn)行此軟件： 例如用戶登錄后執(zhí)行操作：“開(kāi)始”“控制界面”“添加或刪除程序”“添加程序”單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式后，就會(huì)自動(dòng)安裝此軟件。  

11、;  2. 利用“文件啟動(dòng)”功能： 例如假設(shè)這個(gè)被“通告”的程序?yàn)镸icrosoft Excel，當(dāng)用戶登錄后，他的計(jì)算機(jī)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一起，此時(shí)用戶只要雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會(huì)自動(dòng)安裝Microsoft Excel。Ø  將軟件分配給計(jì)算機(jī)：    當(dāng)將一個(gè)軟件通過(guò)組策略分配給域內(nèi)的計(jì)算機(jī)后，在這些計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)軟件就會(huì)自動(dòng)安裝在這些計(jì)算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到Documents and SettingsAll U

12、sers文件夾內(nèi)。任何用戶登錄后，都可以使用此軟件。6.1.自動(dòng)修復(fù)軟件    一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會(huì)自動(dòng)探測(cè)到此不正常現(xiàn)象，并且會(huì)自動(dòng)修復(fù)、重新安裝此軟件。    6.2.準(zhǔn)備工作步驟1：在服務(wù)器上創(chuàng)建共享文件夾把文件夾共享出來(lái)，確保組策略會(huì)影響到的各用戶對(duì)目錄至少具有讀的權(quán)限。步驟2：在客戶端測(cè)試是否可以正常訪問(wèn)共享文件夾。步驟3：準(zhǔn)備合適的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需要建立子文件夾。組策略對(duì)被部署的軟件有一定的

13、要求，通常是MSI文件，如果是EXE文件，請(qǐng)按照后面小節(jié)介紹的方法打包。6.3.實(shí)訓(xùn)項(xiàng)目提前準(zhǔn)備兩種格式的文件：.msl和.zap這里發(fā)布的是.zap文件測(cè)試在客戶端，以“行政部”組織單元下的用戶登錄到域，從“開(kāi)始”à“程序”菜單中，應(yīng)該可以看到“MicrosoftActiveSync”菜單，如圖。該軟件并未實(shí)際安裝，單擊該菜單項(xiàng)可以開(kāi)始安裝。應(yīng)該把域用戶加入到本地的管理員組中，否則安裝軟件會(huì)失敗。6.4.使用ZAP文件來(lái)包裝EXE文件步驟1：把被發(fā)布的文件（這里用的是“Winrar-x64-540scp.exe”）拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP”

14、為后綴的文件，內(nèi)容為：ApplicationFriendlyname="TEST"Setupcommand=Win2012-1新建文件夾winrar-x64-540scp.exe（被發(fā)布文件的地址）保存并修改文件的后綴名步驟3：發(fā)布ZAP文件。在組策略的編輯窗口中，依次展開(kāi)“用戶配置”à“策略”à“軟件設(shè)置”à“軟件安裝”，右擊“軟件安裝”新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本應(yīng)用程序數(shù)據(jù)包（*.ZAP）”，把ZAP文件進(jìn)行發(fā)布。步驟4：在客戶端上，從“控制面板”à“添加或刪除程序”à“添加新程序”窗口，可以看到新發(fā)布的程序，雙擊它就可以進(jìn)行安裝了。 6.5.升級(jí)軟件   使用組策略對(duì)軟件進(jìn)行升級(jí)有兩種方法：一種是軟件本身能夠識(shí)別版本，例如Microsoft  Office 2007能夠檢測(cè)計(jì)算機(jī)上安裝的Mic