XP網(wǎng)絡(luò)組建與系統(tǒng)管理(3)

1、Windows 2000/XP網(wǎng)絡(luò)組建與系統(tǒng)管理李燕中南分校第九章 用戶操作環(huán)境管理本章主要介紹： 用戶配置文件的基本概念 用戶配置文件的三種類型和配置方法 登錄腳本和主目錄的基本概念 組策略的定義 基于組策略的管理用戶操作環(huán)境管理 用戶的工作環(huán)境包含桌面上所出現(xiàn)的項目與設(shè)置，例如: 屏幕的顏色、鼠標(biāo)的設(shè)置、窗口的大小與位置、網(wǎng)絡(luò)驅(qū)動器與網(wǎng)絡(luò)打印機(jī)的連接以及應(yīng)用程序的設(shè)置等。 在Windows 2000的網(wǎng)絡(luò)上，可以通過以下的工具來管理用戶的工作環(huán)境： 用戶配置文件、登錄腳本、主目錄、組策略、環(huán)境變量、磁盤配額用戶配置文件用戶配置文件概念 用戶配置文件是包含著用戶所有自行設(shè)置的工作環(huán)境，存儲用

2、戶桌面設(shè)置、應(yīng)用程序設(shè)置以及用戶個人資料和與登錄相關(guān)的其他信息。 它會由Windows 2000在用戶第一次登錄時創(chuàng)建。 例如：只要使用系統(tǒng)中建立的一個帳戶登陸系統(tǒng)一次，就會在系統(tǒng)根目錄的Documents and Settings文件夾的下面會生成一個以這個帳戶為文件夾名字的文件夾。用戶配置文件示意圖以administrator為例，如圖所示： 用戶配置文件 ：內(nèi)容應(yīng)用程序數(shù)據(jù)：程序的專用數(shù)據(jù)。這部分內(nèi)容是由程序供應(yīng)商決定在用戶配置文件中存儲那些；Cookie：用戶信息和首選項桌面：桌面上面的各個項目，包括文件、快捷方式和文件夾Favorites（收藏夾）：到Internet上經(jīng)常訪問網(wǎng)頁的

3、位置的快捷方式。Local Settings：應(yīng)用程序數(shù)據(jù)、歷史和臨時文件。用戶配置文件 ：內(nèi)容我的文檔：用戶文檔和子文件夾My Recent Documents：指向最近使用過的文檔和訪問過的文件夾的快捷方式。Sent To：指向文檔處理實用程序的快捷方式?！鹃_始】菜單：指向程序項的快捷方式。Templates：用戶模板項目。NetHood：指向【網(wǎng)上鄰居】項的快捷方式。PrintHood：指向打印機(jī)文件夾項的快捷方式。用戶配置文件 作為網(wǎng)絡(luò)的策劃者，在具體實施的時候既可以在不同的計算機(jī)上創(chuàng)建不同的用戶配置文件以求得到不同的工作環(huán)境，也可以全部都使用同樣的用戶配置文件以獲得相同的工作環(huán)境。使

4、用用戶配置文件有以下幾個特點： 1） 用戶在每次登錄到計算機(jī)時，有默認(rèn)的或預(yù)先設(shè)置的工作環(huán)境與界面。 用戶配置文件2） 多個用戶在使用同一臺計算機(jī)時，每個用戶都可以有他個人的工作環(huán)境設(shè)置，互不干擾；3）用戶登錄到工作站時，其桌面設(shè)置與他注銷離開時的設(shè)置保持一致。4）用戶配置文件可以存儲在服務(wù)器上，當(dāng)用戶登錄到運(yùn)行Windows 2000的計算機(jī)上時，該用戶配置文件同樣有效。 用戶配置文件的結(jié)構(gòu) 刪除：將選中的配置文件從本機(jī)中刪除。更改類型：將用戶配置文件設(shè)置為“本地配置文件”或“漫游配置文件”兩種類型之一。復(fù)制到：將一個用戶的配置文件復(fù)制成另外一個用戶的配置文件。 請注意，在Windows X

5、P/2003環(huán)境下，用戶配置文件的設(shè)置和Windows 2000并不相同。演示如下：用戶配置文件的類型用戶配置文件的三種類型本地配置文件 第一次登錄到計算機(jī)時，將創(chuàng)建本地用戶配置文件，并保存在計算機(jī)的本地硬盤上。漫游用戶配置文件 漫游用戶配置文件由系統(tǒng)管理員創(chuàng)建，并保存在服務(wù)器上。每次登錄到網(wǎng)絡(luò)上的任何一臺計算機(jī)時，都可以使用該配置文件。用戶配置文件的類型強(qiáng)制用戶配置文件 強(qiáng)制用戶配置文件也是漫游配置文件，只是它是只讀的。用來為個人或整個用戶組指定特殊的設(shè)置。 只有系統(tǒng)管理員才能更改強(qiáng)制用戶配置文件。 每次登錄時，都使用固定的配置。當(dāng)注銷用戶時，系統(tǒng)不保存用戶所做的任何改變。當(dāng)用戶再次登錄時，

6、配置文件仍然和上次登錄時一樣。 用戶配置文件的內(nèi)容來源 在Windows 2000中，有兩套相互獨(dú)立的結(jié)構(gòu)聯(lián)合構(gòu)成了用戶的工作環(huán)境，它們分別是%SystemRoot%Documents and Settings目錄下的“All Users”（所有用戶）目錄和“Default User”（默認(rèn)用戶）目錄。 當(dāng)用戶第一次登錄計算機(jī)時，通過對以上兩種規(guī)范的結(jié)合，為該用戶創(chuàng)建一個配置文件。盡管不同用戶的配置文件會不相同，但所有用戶在首次登錄時，其配置文件是相同的用戶配置文件的內(nèi)容來源 All Users目錄 “All Users”目錄也可稱為“所有用戶”配置文件，它包含了通用程序組和桌面快捷方式。 用

7、戶配置文件的內(nèi)容來源 通用程序組內(nèi)的程序可供所有登錄這臺計算機(jī)的用戶使用，也就是無論哪個用戶登錄時，其屏幕上都會有此程序組。 通用程序組的作用是為工作站上的所有用戶提供通用的訪問特性。 前提：每個用戶必須具有使用這個應(yīng)用程序的權(quán)限。 用戶配置文件的內(nèi)容Default User目錄 為某一個用戶提供默認(rèn)的訪問特性，因此，它要比“All Users”目錄包含更多的內(nèi)容。設(shè)置漫游配置文件建立一個空的漫游配置文件設(shè)置漫游配置文件 在上述步驟完成后，當(dāng)用戶登錄時，就會自動在該路徑建立一個空的漫游配置文件。當(dāng)用戶注銷時，其所做的任何修改都會保存到此漫游配置文件中。以后，該用戶就以此配置文件作為工作配置。注

8、意： 1、如果用戶使用漫游配置文件，在用戶注銷時，用戶本地配置文件既保存在本地計算機(jī)上，又保存在用戶配置文件路徑中。設(shè)置漫游配置文件 2、使用了漫游用戶配置文件，無論用戶在何處登錄，只要服務(wù)器可用，就可以使用這個配置文件。 3、如果服務(wù)器不可用，系統(tǒng)將使用漫游用戶配置文件在本地計算機(jī)上的緩存副本。如果用戶以前沒有在這臺計算機(jī)上登錄過，系統(tǒng)將創(chuàng)建新的本地用戶配置文件。 到用戶的工作站上利用administrator登錄建立一個預(yù)先設(shè)置好的漫游配置文件用liping帳號登錄 注銷后以zhanghua 帳戶登錄，其工作環(huán)境與以liping 帳戶登錄的工作環(huán)境相同。設(shè)置漫游配置文件創(chuàng)建強(qiáng)制用戶配置文件

9、 如果用戶是使用服務(wù)器上的強(qiáng)制配置文件登錄，在登錄后仍然可以修改其工作環(huán)境，不過，這些修改不會被保存到服務(wù)器上去，而只能保存在本地計算機(jī)上的本地配置文件中。 即:下次再使用服務(wù)器上的強(qiáng)制配置文件登錄時使用的仍然是原來未修改的強(qiáng)制配置文件的設(shè)置，只有使用本地機(jī)上的本地配置文件登錄，才能使用新的設(shè)置。 設(shè)置漫游配置文件 創(chuàng)建強(qiáng)制配置文件方法： 將用戶配置文件復(fù)制到服務(wù)器上，然后將這個用戶配置文件中的NtUser的后綴.dat改為.man，這個用戶配置文件就變成了強(qiáng)制配置文件。定制默認(rèn)用戶配置文件自定義單一計算機(jī)的默認(rèn)用戶配置文件登錄腳本 登錄腳本(Logon Script)就是當(dāng)用戶登錄時計算機(jī)自

10、動執(zhí)行的程序，它可以是擴(kuò)展文件名為.BAT或.CMD的批處理文件，或是.EXE的可執(zhí)行文件。登錄腳本可以被看作網(wǎng)絡(luò)上的AUTOEXEC.BAT文件。 登錄腳本的作用 使用登錄腳本可以設(shè)置單個用戶的環(huán)境，也可以對多個用戶的環(huán)境進(jìn)行統(tǒng)一化?？梢詫蝹€登錄腳本賦給所有用戶，或者給每個用戶配置不同的登錄腳本，也可以混合使用這兩種策略。登錄腳本使用登錄腳本可以完成以下任務(wù)：(1) 用戶登錄到工作站時使用登錄腳本可以自動運(yùn)行MS-DOS的批處理文件、內(nèi)部命令和可執(zhí)行文件。(2) 實現(xiàn)主目錄（用戶保存私有文件的目錄）。(3) 將在服務(wù)器上的用戶賬號中定義的參數(shù)拷貝到用戶計算機(jī)的MS-DOS環(huán)境變量中，這些變

11、量可以由登錄腳本和可以使用這些變量的應(yīng)用程序所使用。登錄腳本登錄腳本的執(zhí)行 用戶登錄時，系統(tǒng)從驗證用戶登錄請求的計算機(jī)的保存登錄腳本的目錄中下載該腳本并執(zhí)行之。 驗證用戶登錄請求的計算機(jī)通常是響應(yīng)用戶登錄請求的第一個域控制器，要確保域內(nèi)所有用戶賬號的登錄腳本都能正常工作，系統(tǒng)管理員必須保證所有登錄腳本與域內(nèi)的每一個服務(wù)器保持同步。登錄腳本的設(shè)置 用戶登錄時，如果用戶賬號中存在登錄腳本路徑，且存在此腳本文件，則系統(tǒng)運(yùn)行該腳本，如果在“登錄腳本”文本框中只輸入文件名而無路徑，則默認(rèn)的路徑為“%SystemRoot%SCRIPTS”登錄腳本主目錄 主目錄是用戶的私人目錄，用于保存用戶私人的文件，這是

12、在My Documents之外建立的另一個存儲個人文檔的目錄。 主目錄的存儲位置 主目錄的存儲位置可以是在客戶計算機(jī)的硬盤中，也可以是在Windows2000 Server的硬盤中，還可以是在主域控制器的硬盤中。但是，這個目錄最好創(chuàng)建在服務(wù)器上，使得用戶的文件能夠在服務(wù)器上方便地進(jìn)行備份。主目錄可以把所有的主目錄存儲在一個文件服務(wù)器上。這樣做的好處：1） 可以讓在網(wǎng)絡(luò)的任何客戶機(jī)上使用同一主目錄。2） 文檔的備份和管理工作集中化。3） 運(yùn)行任何Microsoft操作系統(tǒng)的客戶計算機(jī)上都可以使用主目錄。主目錄創(chuàng)建主目錄在服務(wù)器上創(chuàng)建一個目錄，并設(shè)置為共享。設(shè)置共享目錄的許可權(quán)限，使用戶可以訪問此

13、目錄。單擊“開始”“程序”“管理工具”“Active directory用戶和計算機(jī)”，出現(xiàn)管理窗口。雙擊要為之設(shè)置主目錄的用戶名，系統(tǒng)顯示出此用戶屬性的對話框。5、單擊“確定”按鈕，設(shè)置完畢。6、單擊“配置文件”卡，在主目錄的編輯框中選中“連接(C)”單選按鈕，并輸入服務(wù)器及主目錄路徑。主目錄主目錄 在 “我的文檔”中，每一個用戶都有一個專用的文件夾，這是在創(chuàng)建用戶時建立的。 用戶可以改變它的位置。使用組策略管理用戶環(huán)境什么是組策略？ 組策略是一種在用戶或計算機(jī)集合上強(qiáng)制使用一些配置的設(shè)置方法。 組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件。 例如: 用戶登錄后使用的程序，用戶

14、桌面上出現(xiàn)的程序快捷方式，以及“開始”菜單中的內(nèi)容等。使用組策略單元，可以為特定的用戶創(chuàng)建特定的桌面配置。使用組策略管理用戶環(huán)境組策略的內(nèi)容用戶配置：包含有影響用戶環(huán)境的相關(guān)設(shè)置。計算機(jī)配置：包含有網(wǎng)絡(luò)中計算機(jī)的相關(guān)設(shè)定參數(shù)。使用組策略管理用戶環(huán)境注意： 組策略和用戶配置文件的區(qū)別： 用戶配置文件：用來進(jìn)行用戶環(huán)境設(shè)置的，它允許用戶自己進(jìn)行更改，如桌面設(shè)置、我的文檔和收藏夾等。 組策略：由系統(tǒng)管理員管理和維護(hù)的，系統(tǒng)管理員按照組策略管理工具來對用戶和計算機(jī)設(shè)置策略。使用組策略管理用戶環(huán)境Windows NT 4.0 與Windows 2000的策略比較 在Windows NT 4.0 中，微軟

15、公司引入了系統(tǒng)策略編輯器工具。該工具允許網(wǎng)絡(luò)管理員設(shè)定存儲在Windows NT 注冊表中的用戶和計算機(jī)設(shè)置。 系統(tǒng)策略設(shè)置 其實就是注冊表的設(shè)置，用來定義桌面環(huán)境中不同組件的功能。在Windows 2000中，可以通過使用組策略管理工具為特定的用戶和計算機(jī)創(chuàng)建特定的桌面配置。使用組策略管理用戶環(huán)境Windows NT 4.0系統(tǒng)策略的局限性策略文件為二進(jìn)制文件，篇幅大，限制了可使用策略的范圍。當(dāng)策略已在服務(wù)器上刪除后，仍然會有一些信息殘留在系統(tǒng)策略中，想要除去這些信息通常很困難。系統(tǒng)策略僅可更新注冊表。系統(tǒng)策略僅可在一個文件內(nèi)發(fā)布，使得管理員不能為特殊的用戶群體建立專用策略。組策略概述 組策

16、略是為用戶提供一種本地機(jī)和網(wǎng)絡(luò)的運(yùn)行環(huán)境，是用于定義用戶享有使用各種權(quán)限的一種集合。組策略概述 組策略通常是系統(tǒng)管理員為加強(qiáng)整個域或網(wǎng)絡(luò)共同的策略而設(shè)置的，它會影響到用戶賬戶、組、計算機(jī)和組織單元。 組策略根據(jù)所影響的配置可分為以下幾種策略類別： (1) 磁盤配額策略 (2) 加密文件系統(tǒng)恢復(fù)策略 (3) 安全策略組策略概述 (4) 用戶和計算機(jī)策略(注冊表更新) (5) 文件夾重定向策略 (6) 登錄/注銷腳本 (7) 軟件安裝 此外，組策略設(shè)置還定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件。掌握好組策略對于網(wǎng)絡(luò)管理和維護(hù)意義重大。 下面僅舉兩例來實證一下。 實例一使用組策略禁止客戶機(jī)上

17、的應(yīng)用程序?qū)嵗?和未使用過組策略的客戶機(jī)上進(jìn)行比較。使用組策略禁止客戶機(jī)改變TCP/IP設(shè)置用戶和計算機(jī)組策略的功能描述組策略的存儲 用戶和計算機(jī)組策略由在登錄時發(fā)布至域的客戶端注冊表更新組成。這些更新存儲在名為REGISTRY.POL的文件中。 每個策略包含兩個REGISTRY.POL文件，一個用于存放用戶配置設(shè)置，另一個用于存放計算機(jī)配置設(shè)置。用戶和計算機(jī)組策略的功能描述組策略對象的內(nèi)容 應(yīng)用程序配置組策略： 分配和發(fā)布用戶能夠訪問的應(yīng)用程序。用戶和計算機(jī)組策略的功能描述 文件配置組策略：組策略管理員把文件放置在客戶機(jī)的特殊文件夾中，如“開始”菜單或桌面上。 腳本組策略：在特定時間執(zhí)行腳

18、本或批處理文件的設(shè)置，如桌面外觀、應(yīng)用程序設(shè)置。 安全組策略：設(shè)置用戶對文件夾和文件的使用及控制用戶權(quán)限，即建立本地計算機(jī)、域及網(wǎng)絡(luò)安全設(shè)置。組策略對象 組策略是配置的集合，這些設(shè)置包含在組策略對象(GPO，Group Policy Object)內(nèi)。 組策略對象在兩個位置存儲組策略信息：組策略容器(GPC，Group Policy Container)和組策略模板(GPT，Group Policy Templete)。 其中： 組策略容器存儲AD中，并提供版本信息。 組策略模板存儲在域控制器的SYSVOL文件夾中。組策略對象 組策略對象（GPO）簡介 組策略對象（GPO）是設(shè)置組策略的基礎(chǔ)。

19、 在設(shè)置組策略之前，必須創(chuàng)建一個或多個組策略對象，然后通過組策略編輯器（Group Policy Editor）設(shè)置所創(chuàng)建的組策略對象。 在Windows 2000中，用戶首先創(chuàng)建一個GPO，然后對這個GPO進(jìn)行配置。由于每個GPO包含的都是設(shè)置的集合，用戶可以為每一個GPO指定不同的配置，使此GPO只影響所指定的計算機(jī)和用戶。組策略容器和組策略模板組策略容器（GPC，Group Policy Container） GPC是包含組策略對象屬性和版本信息的活動目錄對象。由于GPC在活動目錄中，所以計算機(jī)能夠訪問它來查找組策略模板，域控制器能夠訪問它來獲取版本信息。 一個域控制器使用版本信息來識別

20、它是否有最新版本的組策略對象。如果域控制器沒有最新版本，就會從擁有最新版本組策略的域控制器上進(jìn)行復(fù)制。組策略容器和組策略模板 每一個GPC都是由一個復(fù)雜的字符串命名的，它使用與其他的GPC不同的全局唯一標(biāo)記（GUID）。組策略容器和組策略模板組策略模板（GPT） GPT存在于域控制器的共享系統(tǒng)卷標(biāo)文件夾里，是一個文件夾的層次結(jié)構(gòu)。 當(dāng)創(chuàng)建一個GPO的時候，Windows 2000相應(yīng)地創(chuàng)建GPT文件夾的層次結(jié)構(gòu)。GPT包含有所有的組策略信息。 GPT文件夾的名稱是創(chuàng)建的GPO的GUID，它和GPC中用來標(biāo)識GPO的GUID是一樣的。組策略容器和組策略模板組策略容器和組策略模板策略的層次 策略能

21、被連接到影響同一客戶端的各種容器當(dāng)中。當(dāng)一個客戶端從不同的容器來源下載策略設(shè)置時，它將把每個策略類型（用戶和計算機(jī)）的設(shè)置合并。 當(dāng)用戶或計算機(jī)從一個以上的來源下載策略時，系統(tǒng)將按照層次來排序，并有序地加以應(yīng)用。組策略容器和組策略模板下面是基于策略的注冊表更新的來源和它們的層次：傳統(tǒng)NT系統(tǒng)策略 在Windows 2000網(wǎng)絡(luò)中，允許存在Windows NT的域控制器。為了向下兼容，Windows 2000客戶端會檢查域控制器的NETLOGON共享中是否存在NTCONFIG.POL文件。這些系統(tǒng)策略會對本地注冊表造成持久的影響。因此，必要時可以僅用這個檢查操作。組策略容器和組策略模板本地 本地

22、Windows 2000計算機(jī)擁有一組本地的用戶和計算機(jī)策略。站點 站點是根據(jù)WAN結(jié)構(gòu)和網(wǎng)絡(luò)分布的地理位置而設(shè)置的，與網(wǎng)絡(luò)的邏輯結(jié)構(gòu)無關(guān)，因此組策略與站點的關(guān)聯(lián)可能會比較復(fù)雜，因為他有超越邊界的潛在可能。站點策略最好是用來發(fā)布只有本地網(wǎng)絡(luò)才擁有的網(wǎng)絡(luò)配置。組策略容器和組策略模板 域 域策略被應(yīng)用于域中的每一個用戶和計算機(jī)，而不考慮站點位置，一個企業(yè)中的各個部門是使用域策略還是使用OU策略要看企業(yè)的管理是采用集中管理還是分散管理。組策略容器和組策略模板OU 與OU相關(guān)聯(lián)的組策略擁有最高的優(yōu)先權(quán)。這給了本地管理者更多的控制本地桌面的權(quán)力。 默認(rèn)情況下，這些策略一致時，后應(yīng)用的策略將覆蓋以前應(yīng)用的

23、策略。但是，如果這些設(shè)置不一致，前后的策略都將作為有效策略。管理模板 組策略管理模板是基于注冊表的用來管理用戶環(huán)境的設(shè)置。 管理模板設(shè)置分成七種類型，都是有關(guān)用戶和計算機(jī)的設(shè)置。 其中，“計算機(jī)配置”主要集中于Windows 2000的管理，而“用戶配置”主要集中于控制用戶如何才能影響桌面環(huán)境。Windows組件：可以應(yīng)用于計算機(jī)和用戶對象。管理模板 包括用戶可以訪問的Windows 2000及其工具和組件、控制用戶對MMC的訪問。系統(tǒng)：可以應(yīng)用于計算機(jī)和用戶對象。包含登錄和注銷過程，利用系統(tǒng)設(shè)置還可以管理組策略、更新時區(qū)和啟用磁盤配額。網(wǎng)絡(luò)：可以應(yīng)用于計算機(jī)和用戶對象。包含網(wǎng)絡(luò)連接和撥號連接

24、的屬性，可以控制網(wǎng)絡(luò)訪問能力。打印機(jī)：可以應(yīng)用于計算機(jī)對象。對打印機(jī)設(shè)置，可以自動公布在活動目錄中。管理模板工具欄和開始菜單：可以應(yīng)用于用戶對象。包含用戶可以從“開始”菜單中訪問的組件。桌面：可以應(yīng)用于用戶對象。通過 隱藏某些桌面圖標(biāo)并控制用戶對“我的文檔”文件夾的使用，可以控制用戶對網(wǎng)絡(luò)的訪問。控制面板：可以應(yīng)用于用戶對象。包含控制面板上的一些應(yīng)用程序。 管理模板管理模板使用組策略活動目錄中的組策略繼承 創(chuàng)建GPO后，用戶要把它與選定的活動目錄容器(站點、域或OU)關(guān)聯(lián)。 GPO中的設(shè)置影響容器及所有子容器中的計算機(jī)和用戶賬號。 用戶可以把多個活動目錄容器與同一個GPO關(guān)聯(lián)，或者把多個GPO

25、與同一個活動目錄容器相關(guān)聯(lián)。使用組策略 繼承順序 組策略默認(rèn)的繼承順序是站點、域，然后才是OU。依照這個順序，OU的GPO是最終的Windows 2000要作用于計算機(jī)或用戶的組策略設(shè)置。 這個默認(rèn)順序允許最靠近底層計算機(jī)或用戶的活動目錄容器中的組策略設(shè)置覆蓋在活動目錄中高層的容器中與之沖突的組策略。使用組策略 通常子OU中的對象會自動繼承父OU的組策略設(shè)置。然而，一個組策略設(shè)置可能同時在父OU和子OU中進(jìn)行了配置。在這種情況下，組策略設(shè)置的相容性決定了最后配置的結(jié)果。 1、父OU和子OU同時配置了組策略設(shè)置，并且設(shè)置相容時，兩個OU的設(shè)置都起作用。 2、父OU和子OU同時配置了組策略設(shè)置，并

26、且設(shè)置不相容時，則子OU就不繼承父OU中的這個設(shè)置，即保留自己的組策略設(shè)置。使用組策略 修改繼承 如果默認(rèn)的繼承順序不能滿足需求，用戶可以修改指定的GPO的繼承規(guī)則。Windows 2000提供了兩種改變默認(rèn)順序的選項： 禁止覆蓋(No Override) 使用此該選項禁止子容器覆蓋（重載）在高層設(shè)置的GPO。當(dāng)多個GPO被設(shè)置為“禁止重載”時，在活動目錄層次上最高等級的有“禁止重載”選項的GPO優(yōu)先。使用組策略 阻止策略繼承(Block Inheritance) 特定OU的本地管理員可以阻止從目錄中站點、域或者父OU中繼承策略，也可以降低其優(yōu)先級。使用這個選項，禁止一個子容器從父容器繼承策略

27、。 當(dāng)一個OU要求唯一的組策略設(shè)置時，此選項是有用的?！白柚共呗岳^承”選項適用于所有父容器的GPO。 在沖突的情況下，“禁止重載”選項要優(yōu)先于“阻止策略繼承”選項。使用組策略 組策略和站點 鏈接到一個站點的GPO影響該站點中的所有計算機(jī)，而不管該計算機(jī)屬于哪個域。 但是，GPO只存儲在一個域中。因為一個站點可能包含多個域，所有該站點中的計算機(jī)必須與包含該GPO的域的域控制器打交道。 因此當(dāng)用戶創(chuàng)建一個站點的GPO時需要考慮網(wǎng)絡(luò)流量問題。使用組策略 組策略的處理順序 用戶必須清楚組策略設(shè)置處理的順序，以便不會錯誤地重載某個設(shè)置。 Windows 2000應(yīng)用組策略中的“計算機(jī)設(shè)置”啟動計算機(jī)、運(yùn)

28、行啟動腳本；應(yīng)用組策略中的“用戶設(shè)置”控制用戶登錄、運(yùn)行登錄腳本。 客戶機(jī)上的組策略每90分鐘、域控制器上的每5分鐘刷新一次。使用組策略組策略設(shè)置按如下順序進(jìn)行處理： 啟動計算機(jī) “計算機(jī)設(shè)置”的各組策略設(shè)置生效。缺省情況下是同步的。 在缺省情況下，各啟動腳本同步運(yùn)行。這意味著每個腳本在下一項開始前必須完成，否則超時。 在顯示用戶登錄的屏幕之前，對影響計算機(jī)賬號的所有GPO進(jìn)行處理。使用組策略 用戶登錄 對“用戶設(shè)置”的組策略設(shè)置進(jìn)行處理。 運(yùn)行登錄腳本。默認(rèn)情況下，登錄腳本異步運(yùn)行。若有與用戶賬號有關(guān)的腳本，則它們最后運(yùn)行。使用組策略創(chuàng)建組策略對象使用組策略管理GPO權(quán)限創(chuàng)建GPO時，設(shè)置了

29、如下的默認(rèn)權(quán)限：Authenticated Users組享有“讀”和“應(yīng)用組策略”的權(quán)限。系統(tǒng)賬號、Domain Admin和Enterprise Admins組享有“讀”、“寫(Write)”、“創(chuàng)建所有子對象”和“刪除所有子對象”的權(quán)限。使用組策略使用組策略 過濾組策略對象的作用域 GPO中的組策略設(shè)置只影響那些擁有“應(yīng)用組策略”和“讀”權(quán)限的計算機(jī)和用戶。使用組策略 委派控制權(quán)限 Domain Admins組成員可以使用權(quán)限來標(biāo)識哪個管理員組可以修改GPO中的策略。為了實現(xiàn)這個目標(biāo)，網(wǎng)絡(luò)管理員創(chuàng)建管理員組，然后對這些組中選定的GPO進(jìn)行“讀”和“寫”授權(quán)。這就允許Domain Admin

30、s組成員委派GPO的控制。具有對一個GPO的 “讀”和“寫”權(quán)限的管理員可以控制該GPO的所有方面的操作。使用組策略 修改繼承選項 設(shè)置“禁止重載”以防止其他GPO重載該GPO所設(shè)置的組策略。使用組策略 改變多個GPO的處理順序。 “組策略”選項卡上列出了鏈接到該站點、域或OU上的所有GPO。 這些GPO的處理按照卡上所列出的從下向上的順序進(jìn)行。 若在同一站點、域或OU的不同GPO中有沖突的組策略設(shè)置，在列表上高處位置的GPO中包含的組策略設(shè)置重載其他低位置處的GPO中包含的組策略設(shè)置。 要改變這個順序，選中列表中的GPO，然后單擊“向上”和“向下”在列表中移動GPO。使用組策略使用組策略 此

31、處以假設(shè)的名為“技術(shù)部”的OU為例，在圖中的“組策略”選項卡上，選中 “阻止策略繼承”，以防止父容器的GPO被應(yīng)用到指定的子容器中。禁用組策略對象使用組策略刪除組策略對象使用組策略編輯器組策略編輯器概述 用戶可以以兩種方式打開組策略編輯器： 在某個站點、域或OU的“屬性”對話框中的“組策略”選項卡上，在組策略中選擇想要查看的GPO，然后單擊“編輯”按鈕。 添加組策略管理單元和所有需要的擴(kuò)展到MMC控制臺，然后選擇想要進(jìn)行配置的GPO。使用組策略編輯器修改“管理模板”設(shè)置使用組策略編輯器登錄腳本的管理和修改腳本設(shè)置什么是組策略腳本？ 網(wǎng)絡(luò)管理員可以利用組策略中的腳本功能來運(yùn)行批處理文件、可執(zhí)行程

32、序和支持腳本的Windows腳本主機(jī)。如果網(wǎng)絡(luò)管理員需要實現(xiàn)某些管理功能，但是現(xiàn)存的組策略設(shè)置選項不能實現(xiàn)時，那么管理員可以建立一個腳本來完成這些任務(wù)，然后通過組策略自動運(yùn)行腳本。 使用組策略編輯器 組策略腳本設(shè)置可以集中存儲腳本文件，在計算機(jī)啟動、關(guān)閉、用戶登錄和退出的時候自動運(yùn)行?？梢灾付ㄔ赪indows 2000上運(yùn)行任何腳本，包括批處理文件、可執(zhí)行程序和支持腳本的Windows腳本主機(jī)。 例如: 可以用網(wǎng)絡(luò)連接、打印機(jī)連接、應(yīng)用程序的快捷方式和公司文檔組建用戶環(huán)境，還可以用腳本在用戶退出和關(guān)閉計算機(jī)的時候清除桌面等等。使用組策略編輯器Windows 2000按以下順序運(yùn)行腳本： 當(dāng)為一

33、個用戶或計算機(jī)指定多個登錄/注銷或者啟動/關(guān)閉腳本時，腳本按照“屬性”對話框所列的順序從上到下運(yùn)行。 當(dāng)計算機(jī)關(guān)閉時，Windows 2000首先處理注銷腳本，然后處理關(guān)閉腳本。 默認(rèn)情況下，處理腳本的超時取值為10分鐘。使用組策略編輯器設(shè)置腳本的組策略設(shè)置步驟：使用組策略編輯器配置文件夾重定向什么是文件夾重定向？ “重定向”是指把這些文件夾從用戶的硬盤上重定向到服務(wù)器的硬盤中。 重定向文件夾使用戶可以定位并訪問他們的數(shù)據(jù)，不管他們從什么計算機(jī)上登錄。存儲在服務(wù)器中的數(shù)據(jù)看起來好象在用戶本地計算機(jī)上。 可以重定向的文件夾是“我的文檔”、應(yīng)用程序數(shù)據(jù)、“桌面”和“開始”菜單等。使用組策略編輯器使

34、用文件夾重定向的好處。 桌面和“開始”菜單的重定向能夠幫助管理員將整個用戶群體指向同一個位置從而建立一個通用的用戶界面。 減少用戶連接斷開網(wǎng)絡(luò)的時間。 把用戶數(shù)據(jù)保存到網(wǎng)絡(luò)上(而不是本地計算機(jī))，從而數(shù)據(jù)就可由信息技術(shù)部門管理和保護(hù)。使用組策略編輯器操作步驟：使用組策略編輯器修改軟件策略使用組策略管理組策略實施組策略指南 實現(xiàn)組策略的方法依賴于單位與網(wǎng)絡(luò)的結(jié)構(gòu)，以下提供一些關(guān)于實現(xiàn)組策略的原則： 對阻止策略繼承、禁止重載選項以及域間鏈接的GPO的使用進(jìn)行限制。 限制影響用戶或計算機(jī)的GPO的數(shù)目，計算機(jī)啟動和用戶登錄的時間受到需要進(jìn)行處理的GPO的數(shù)目的很大影響。實施組策略指南 禁用無用的GP

35、O的部分。 在單個GPO中作相關(guān)組的設(shè)置。 創(chuàng)建GPO時，要考慮性能及委派。在GPO中，合并設(shè)置從而減少用戶登錄時必須進(jìn)行處理的GPO數(shù)目可以提高性能。使用組策略管理軟件 對于許多組織來說，大多數(shù)計算機(jī)技術(shù)資源都耗費(fèi)在網(wǎng)絡(luò)管理員在辦公室中到處安裝軟件上。AD環(huán)境允許通過組策略從一個中心位置部署軟件。與其他組策略一樣，可以通過組策略對象將軟件配置策略指定到站點、域和OU中。 因此，用戶可以配置組策略交互，以滿足自己的喜好和網(wǎng)絡(luò)的需要。Windows 2000軟件管理技術(shù)簡介 Windows 2000包含一個新的被稱為軟件安裝與維護(hù)的技術(shù)，它利用新的Windows Installer和組策略，使管

36、理員花最小的精力部署和管理軟件。 Windows Installer 的特點為：包文件格式代替Setup.exe、新的自修復(fù)軟件功能。 包文件是一種安裝文件，它是特別為隨Windows Installer特性一起使用而創(chuàng)建的。包文件具有.msi擴(kuò)展名。Windows 2000軟件管理技術(shù)簡介 Windows安裝程序包，包含有安裝或卸載一個應(yīng)用程序的Windows安裝程序所需要的所有信息。 一個軟件包包含一個Windows安裝程序（或msi文件），和安裝或卸載軟件時所需要的任何外部文件。一個msi包文件也可以包含有關(guān)軟件以及本身的概要信息，還包含產(chǎn)品文件或產(chǎn)品文件所在安裝位置的參考信息。Wind

37、ows 2000軟件管理技術(shù)簡介Windows Installer Windows Installer的優(yōu)點包括： 自定義安裝。 應(yīng)用程序快速自修復(fù)。如果一個關(guān)鍵的文件被刪除或遭到破壞，應(yīng)用程序?qū)⒆詣臃祷氐桨惭b源處獲取文件新的拷貝，而不需要用戶干預(yù)。 干凈刪除(Clean Removal)?？梢圆涣羧魏挝募虮苊鉄o意破壞別的應(yīng)用程序而卸載應(yīng)用程序。例如：避免刪除另外一個程序所需要的共享文件夾。 Windows 2000軟件安裝與維護(hù)技術(shù) Windows 2000軟件安裝與維護(hù)技術(shù)允許用戶利用組策略和活動目錄服務(wù)布署和管理軟件。 當(dāng)組織得到一個Windows Installer包文件后，管理員可

38、以創(chuàng)建與該包文件關(guān)聯(lián)的組策略對象(GPO)。 這些GPO可以完成如下工作：Windows 2000軟件管理技術(shù)簡介 在用戶計算機(jī)上安裝應(yīng)用程序。當(dāng)用戶登錄時或計算機(jī)打開時或用戶需要時安裝工作自動完成。 升級應(yīng)用程序以前的版本或者自動地應(yīng)用軟件包或服務(wù)補(bǔ)丁。 刪除應(yīng)用程序。Windows 2000軟件管理技術(shù)簡介Windows 2000軟件管理技術(shù)簡介 使用軟件安裝與維護(hù)技術(shù)的最大好處是用戶可以不用訪問單位里每個用戶的計算機(jī)就可以管理和布署軟件。由于有Windows Installer包文件，管理員可以使用組策略管理和布署大多數(shù)的軟件。 注意： 軟件安裝與維護(hù)技術(shù)是使用組策略進(jìn)行工作的。因此，這

39、些布署和管理特征只對運(yùn)行Windows 2000的客戶計算機(jī)有用。若用戶擁有的客戶計算機(jī)是運(yùn)行其他操作系統(tǒng)，需要進(jìn)行替換或者使用其它布署方案。QeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI

40、6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$

41、qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G

42、4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZ

43、oWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9

44、H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#o

45、XlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI

46、6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$

47、qYnVkSgPdLaI7F3C0z)v&slTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G

48、4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%nVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnV

49、kSgPdMaI7F3C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%r#oWl