域組策略應用詳解

1、精選優(yōu)質文檔-傾情為你奉上域組策略應用詳解Win2003域之組策略應用目前大部分的公司都去購買MS 的OS 產(chǎn)品, 剛推出不久的VISTA, 以及即將面視的WINDOWS SERVER 2008,大家都已習慣了WINS 的操作界面, 不過在企業(yè)當中看中的是MS 的AD 的應用, 而在AD 中, 能起到關鍵作用的就是" 組策略", 利用組策略管理域中的計算機和用戶工作環(huán)境，實現(xiàn)軟件分發(fā)等一系列功能, 快速便捷的幫助管理員完成煩瑣的工作.b5E2RGbCAP但要了解組策略的使用, 不是了解它的具體有哪些選項, 而是要掌握它的應用規(guī)則! 那么我們開始學習組策略吧: 1. 理解組策

2、略作用: 組策略又稱Group Policy 組策略可以管理計算機和用戶p1EanqFDPw組策略可以管理用戶的工作環(huán)境、登錄注銷時執(zhí)行的腳本、文件夾重定向、軟件安裝等 使用組策略可以:a) 對域設置組策略影響整個域的工作環(huán)境，對OU 設置組策略影響本OU 下的工作環(huán)境 b) 降低布置用戶和計算機環(huán)境的總費用DXDiTa9E3d因為只須設置一次，相應的用戶或計算機即可全部使用規(guī)定的設置 減少用戶不正確配置環(huán)境的可能性 c) 推行公司使用計算機規(guī)范 桌面環(huán)境規(guī)范 安全策略 總結: a) 集中化管理 b) 管理用戶環(huán)境 c) 降低管理用戶的開銷 d) 強制執(zhí)行企業(yè)策略RTCrpUDGiT總之組策略

3、給企業(yè)和管理員帶了高效率, 地成本. 原來做同樣的工作需要10個管理員要忙10天都不能完成的事情, 如果使用組策略1個管理員在一天的工作日就把事情全搞定, 而且還有時間做下來喝咖啡. 聽起來好像不太可能, 而事實得到了證明, 但那你需要掌握組策略的應用規(guī)則.5PCzVD7HxA2. 組策略的結構組策略的具體設置數(shù)據(jù)保存在GPO 中創(chuàng)建完AD 后系統(tǒng)默認的2個GPO:默認域策略和默認域控制器策略 GPO 所鏈接的對象:S(站點)D(域)OU(組織單位), 當然也可以應用在" 本地" GPO 控制的對象:SDOU中的計算機和用戶jLBHrnAILgGPO 的組件存儲在2個位置:

4、GPC （組策略容器）與GPT （組策略模板）GPC ：GPC 是包含GPO 屬性和版本信息的活動目錄對象GPT ：GPT 在域控制器的共享系統(tǒng)卷（SYSVOL ）中，是一種文件夾層次結構而且組策略更改后不是立即生效, 需要經(jīng)過一個刷新時間:我們剛才說了組策略應用的對象是計算機帳號和用戶帳號, 那么打開組策略編輯器可以看到:在此我們就來講解組策略的應用規(guī)則, 也就是使用方法:3. 理解組策略應用順序:站點-域-OU-子OU, 當然在同一級容器也可以創(chuàng)建多個GPO, 如下圖所示:xHAQX74J0X4. 掌握組策略繼承在不同層次的容器上設置GPO 或在同一層次的容器上設置了多個GPO, 只要策略

5、之間無沖突, 那么所有策略都會做累加.LDAYtRyKfE還有上層容器做了GPO, 那么下層容器會繼承上層容器的策略.5. 阻止繼承操作剛才說到下層容器會繼承上層容器的策略, 那么下層容器也可以阻止上層容器的策略, 那么上層容器的策略就不會繼承到下層了. 方法是只需要在下層容器設置" 阻止繼承" 即可:Zzz6ZB2Ltk6. 掌握組策略強制生效下層容器也可以阻止上層容器的策略, 那么反過來上級容器也可以把策略強制給下級容器, 那么不管下層容器有沒有選擇" 阻止繼承", 都不生效, 上層容器的策略都會繼承下來, 所以總結就是上層容器選擇了" 強

6、制", 而下層容器同時選擇了" 阻止', 兩個都存在, 那么" 強制" 優(yōu)先級高, 方法只需要在上層容器設置" 強制" 即可:dvzfvkwMI17. 剛才我們知識談了策略沒有沖突的時候, 如果有沖突了聽誰的呢? 那么就請大家切記以下幾點:1. 如果同一個容器的計算機策略和用戶策略都設置了, 但這2個的策略之間相互沖突, 并且這個容器下的用戶帳戶恰好登錄了這臺計算機, 那么計算機策略和用戶策略同時都要生效, 這時計算機策略覆蓋用戶策略!rqyn14ZNXI2. 不同層次的策略產(chǎn)生沖突時，子容器上的GPO 優(yōu)先級高!3. 同一個

7、容器上多個GPO 產(chǎn)生沖突時，處于GPO 列表最高位置的GPO 優(yōu)先級最高!總體原則：默認情況下后執(zhí)行的優(yōu)先級高。如果上層做強制, 下層做阻止, 并且上下有沖突, 那么強制優(yōu)先級最高!EmxvxOtOco8. 篩選組策略設置a)GPO 都是應用于容器下的所有的計算機和用戶, 但在實際中會有這樣的需求, 例如學術部的所有普通用戶都要受GPO 的約束, 而經(jīng)理不受此約束, 這個功能靠篩選來實現(xiàn), 篩選可以實現(xiàn)阻止一個GPO 應用于容器內部的特定計算機和用戶。SixE2yXPq5b) 容器中計算機和用戶之所以受到GPO 的影響，是因為他們對GPO 擁有讀取和應用組策略的權限。如果用戶或計算機帳戶沒有

8、讀取和應用組策略的權限，組策略將拒絕執(zhí)行。6ewMyirQFL篩選可以阻止一個GPO 應用于容器內的特定計算機和用戶, 設置讀取和應用組策略的權限9. 掌握軟件分發(fā)方式：指派與發(fā)布 分發(fā)軟件的步驟:a) 提供一個.msi 的程序放在一個共享文件夾 b) 利用組策略的軟件安裝找路徑（網(wǎng)絡路徑） c) 選擇發(fā)布/指派軟件 指派與發(fā)布的區(qū)別kavU42VRUsa) 指派， 程序在【開始】菜單中b) 發(fā)布， 程序顯示在【控制面板】|【添加/刪除程序】中 指派軟件:a) 將軟件指派計算機計算機啟動時軟件將自動安裝在計算機里 安裝在Documents and SettingsAll Users b) 將軟

9、件指派用戶 不會自動安裝軟件本身y6v3ALoS89只安裝軟件相關的部分信息，如快捷方式 何時自動安裝 開始運行此軟件 發(fā)布軟件:a) 不能將軟件發(fā)布到計算機 b) 將軟件發(fā)布到用戶 不會自動安裝軟件本身 何時自動安裝M2ub6vSTnP“控制面板”-“添加或刪除程序”-“添加新程序”那么最后我們來做一個指派給用戶安裝OFFICE 軟件的實驗:1. 首先把要分發(fā)的軟件包放在共享文件夾中, 并給之相應的權限:2.DC 中打開"AD 用戶與計算機" 工具, 為指定的OU 設置組策略, 該OU 下有個用戶為USERB:3. 在軟件設置的軟件安裝, 選擇新建程序包:4. 找到指定的

10、共享文件夾(一定是要網(wǎng)絡路徑):5. 選擇" 指派":6. 由于組策略生成后需要有個刷新時間, 可以使用命令"gpupdate /force"進行立即生效:0YujCfmUCw7. 使用USERB 用戶登錄系統(tǒng)后可以看到程序中已經(jīng)有了OFFICE 工具:8. 不過不要高興, 因為我們選擇的是" 指派給用戶", 那么當用戶登錄系統(tǒng)時看到的OFFICE 程序其實沒有真正安裝, 但第一次點擊時才開始真正的安裝過程, 如下圖. 不過如果選擇是" 指派給計算機" 的話, 那么這臺指定的計算機開機時會很慢很慢, 但當計算機進入

11、系統(tǒng)后就會發(fā)現(xiàn)OFFICE 已經(jīng)安裝成功了.eUts8ZQVRd值得一提的是, 如果剛才指派的這個用戶沒有相應的權限, 那么當他執(zhí)行軟件安裝時也會彈出" 無法安裝", 因為沒權限, 這點需要注意, 要事先給用戶相應的權限sQsAEJkW5T!9. 修復軟件a) 一個被發(fā)布或者指派的軟件，在安裝完成后，如果軟件程序內有關鍵性的文件損壞、遺失或者被用戶不小心刪除，系統(tǒng)會探測到此不正常的現(xiàn)象，并且會自動修復、重新安裝此軟件。GMsIasNXkAb) 如果原來軟件分發(fā)點上的安裝文件發(fā)生丟失或損壞在服務器上修復該軟件的源文件重新部署一次10. 刪除軟件【立即從用戶和計算機卸載軟件】：下一次用戶登錄或計算機啟動時，軟件會被強制刪除【允許用戶繼續(xù)使用軟件，但禁止新的安裝】：用戶和計算機仍可繼續(xù)執(zhí)行使用軟件，但不允許重新安裝11. 升級軟件舉例:Office2000升級到Office2003Visio2000升級到visio2002a) 強制升級會強制用戶將當前軟件升級到新的版本b) 可選升級允許用戶同時使用一個應用程序的兩個版本12. 組策略中的腳本應用計算機設置(開