2022年組策略介紹

1、第15章 組策略 本章的任務(wù)了解什么是組策略，有多個(gè)組策略時(shí)，組策略的應(yīng)用順序了解組策略的創(chuàng)建方法根據(jù)企業(yè)需要，創(chuàng)建或修改不同級(jí)別的組策略使用組策略為企業(yè)用戶或者計(jì)算機(jī)制定統(tǒng)一的環(huán)境使用組策略統(tǒng)一發(fā)布、升級(jí)、修改軟件 15.1 組策略介紹 15.1.1 理解組策略 Windows組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。安裝了活動(dòng)目錄后，使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置等，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。組策略仍然允許用戶在保持標(biāo)準(zhǔn)的系統(tǒng)配置的同時(shí)，也能定制自己的

2、配置。15.1.2各種組策略 本地安全策略與本地策略 :本地安全策略只是本地策略的一部分 。查看本地策略 查看本地策略 查看本地策略 默認(rèn)域策略默認(rèn)域策略 ：域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上 默認(rèn)域控制器策略 默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的 Default Domain Controllers Policy”策略，這個(gè)策略就是默認(rèn)域控制器策略，是安裝Windows Server 2008時(shí)自動(dòng)創(chuàng)建的、僅應(yīng)用到域控制器上的策略。 組織單元上的策略 組策略也常常在組織單元上實(shí)施，如果我們?cè)谶@個(gè)組織單元上實(shí)施組策略，那么這個(gè)策略將對(duì)這個(gè)組織單元中的計(jì)算機(jī)和用戶起作用。 Acti

3、ve Directory環(huán)境中的各組策略的作用范圍 默認(rèn)或創(chuàng)建的域策略：作用于整個(gè)域中的計(jì)算機(jī)和用戶默認(rèn)或創(chuàng)建的域控制器策略：作用于整個(gè)域中的全部域控制器組織單元上的策略：作用于整個(gè)組織單元的計(jì)算機(jī)和用戶本地策略：所有的計(jì)算機(jī)和用戶15.1.3 策略的應(yīng)用順序 首先是本地策略，然后是域策略，最后是組織單元或者域控制器上的策略，如果組織單元下還有組織單元?jiǎng)t從上級(jí)到下級(jí)應(yīng)用各個(gè)組織單元上的策略。組策略是可以繼承的，組織單元或域控制器會(huì)繼承域的組策略，下一級(jí)組織單元會(huì)繼承上一級(jí)組織單元上的策略。15.1.4 組策略規(guī)劃 如果是針對(duì)所有計(jì)算機(jī)或者用戶的策略，應(yīng)該在域這一級(jí)的策略上設(shè)置。如果是針對(duì)各部門

4、的策略，應(yīng)該在組織單元這一級(jí)的策略上設(shè)置。 15.2 組策略的管理 15.2.1 創(chuàng)建新的組策略 每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略；而域上或組織單元級(jí)別上可以有多個(gè)組策略，我們可以在一個(gè)域上或組織單元上同時(shí)應(yīng)用多個(gè)組策略。選擇域或者要?jiǎng)?chuàng)建組策略的組織單元，右擊鼠標(biāo)，選擇菜單中的“在這個(gè)域中創(chuàng)建GPO并在此處鏈接” 15.2.1 創(chuàng)建新的組策略一個(gè)是新創(chuàng)建的組策略，該策略優(yōu)先級(jí)為1，優(yōu)先級(jí)最高；另一個(gè)組策略是從域繼承下來(lái)的，優(yōu)先級(jí)為2，優(yōu)先級(jí)較低。 15.2.1 創(chuàng)建新的組策略15.2.2 編輯組策略 組策略的屬性 計(jì)算機(jī)配置”是針對(duì)計(jì)算機(jī)做的配置，而

5、不管是哪個(gè)用戶在該計(jì)算機(jī)上登錄都會(huì)生效的；“用戶配置”是針對(duì)用戶做的配置，而不管用戶是在哪臺(tái)計(jì)算機(jī)上登錄都會(huì)生效的。 組策略的屬性 單擊“立即查找”按鈕可以查找該策略被應(yīng)用在域中的何處，這對(duì)于維護(hù)組策略來(lái)說(shuō)是非常重要的。 組策略的屬性 可以控制哪些用戶對(duì)該組策略的控制權(quán)限，例如創(chuàng)建子對(duì)象，單擊“高級(jí)”按鈕可以控制對(duì)組策略的審核 設(shè)置策略項(xiàng) 設(shè)置策略項(xiàng)策略項(xiàng)的三種選擇 刷新策略 在域控制器上配置了組策略后，普通的計(jì)算機(jī)90 分鐘刷新組策略，新的組策略才生效；對(duì)于域控制器，5 分鐘刷新?？梢允止みM(jìn)行刷新，語(yǔ)法為：gpupdate /Target:Computer | User /Force 策略的

6、結(jié)果集 組策略是如此復(fù)雜，以至于我們?cè)谠O(shè)置組策略時(shí)可能無(wú)法準(zhǔn)確知道最后的結(jié)果會(huì)是怎樣，好在微軟提供查看組策略結(jié)果集的工具 策略的結(jié)果集 策略的結(jié)果集 策略的結(jié)果集 策略的結(jié)果集 15.2.3 管理組策略 在Active Directory環(huán)境中，我們介紹過(guò)組策略的應(yīng)用順序是：本地策略、域策略、組織單元策略、子組織單元策略；在同一級(jí)的組織單元上也可以有多個(gè)組策略存在。我們可以管理這些組策略之間的關(guān)系。改變組策略的排列順序 改變組策略的排列順序 :排在列表上面的組策略具有較高的優(yōu)先級(jí)，也就是說(shuō)上面的組策略會(huì)替代下面的組策略。選中相應(yīng)的策略，單擊“”和“”可以改變這些組策略的排列順序，從而改變組策略

7、的優(yōu)先級(jí)。 改變策略的繼承關(guān)系 默認(rèn)時(shí)，組織單元會(huì)繼承域上的組策略，子組織單元會(huì)繼承父組織單元的組策略，然而我們可以改變這一行為。在圖選中“阻止繼承”菜單，則該組織單元就不會(huì)繼承域上的組策略 。強(qiáng)制策略的繼承關(guān)系 可以強(qiáng)制策略的繼承 ，則組織單元上采取阻止措施也不能阻止該組策略被繼承了 。組策略的設(shè)置舉例 組策略名稱禁止替代“文件”菜單：禁止“另存為”“文件”菜單：禁止“新建”“文件”菜單：禁止“打開(kāi)”隱藏“收藏”菜單Default Domain Policy啟用啟用未設(shè)置未設(shè)置行政部組策略停用未設(shè)置啟用啟用行政部組策略2未設(shè)置停用停用未設(shè)置結(jié)果啟用啟用停用啟用15.3 使用組策略定制用戶環(huán)境

8、、安全設(shè)置 15.3.1 設(shè)置IE瀏覽器的主頁(yè) 15.3.2 設(shè)置密碼策略 15.3.3 帳戶鎖定策略 15.3.4 Windows防火墻設(shè)置 15.3.5 時(shí)間提供程序 15.3.6 禁止安裝可移動(dòng)設(shè)備 15.4 使用組策略發(fā)布軟件 15.4.1 軟件部署簡(jiǎn)介 將軟件分配給用戶 ：當(dāng)將一個(gè)軟件通過(guò)組策略分配給域內(nèi)的用戶后，則用戶在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，這個(gè)軟件都會(huì)被“通告”給該用戶，但這個(gè)軟件并沒(méi)有真正的被安裝，而只是安裝了與這個(gè)軟件有關(guān)的部分信息。只有在以下兩種情況下，這個(gè)軟件才會(huì)被自動(dòng)安裝：開(kāi)始運(yùn)行此軟件： 例如用戶登錄后執(zhí)行操作：“開(kāi)始”“所有程序”單擊該軟件的快捷方式，或是雙擊

9、桌面上的快捷方式后，就會(huì)自動(dòng)安裝此軟件。利用“文件啟動(dòng)”功能： 例如假設(shè)這個(gè)被“通告”的程序?yàn)镸icrosoft Excel，當(dāng)用戶登錄后，他的計(jì)算機(jī)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一起，此時(shí)用戶只要雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會(huì)自動(dòng)安裝Microsoft Excel。將軟件分配給計(jì)算機(jī) 當(dāng)將一個(gè)軟件通過(guò)組策略分配給域內(nèi)的計(jì)算機(jī)后，在這些計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)軟件就會(huì)自動(dòng)安裝在這些計(jì)算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到Documents and SettingsAll Users文件夾內(nèi)。任何用戶登錄后，都可以使用此軟件。將軟件發(fā)布給用戶 當(dāng)將一

10、個(gè)軟件通過(guò)組策略發(fā)布給域內(nèi)的用戶后，該軟件不會(huì)自動(dòng)安裝到用戶的計(jì)算機(jī)內(nèi)，用戶需要通過(guò)以下兩種方式來(lái)安裝這個(gè)軟件：執(zhí)行操作：“開(kāi)始” “控制面板” “添加或刪除程序”“添加程序”。利用“文件啟動(dòng)”功能：舉例說(shuō)，假設(shè)這個(gè)被發(fā)布的軟件為,Microsoft Excel，雖然在Active Directory內(nèi)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一起，可是用戶登錄時(shí)，他的計(jì)算機(jī)不會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一起，也就是對(duì)此計(jì)算機(jī)來(lái)說(shuō)，擴(kuò)展名為.xls的文件是一個(gè)“未知文件”，不過(guò)只要用戶雙擊擴(kuò)展名為.xls的文件，他的計(jì)算機(jī)就會(huì)通

11、過(guò)Active Directory得知擴(kuò)展名為.xls的文件是與Microsoft Excel關(guān)聯(lián)在一起，因此會(huì)自動(dòng)安裝Microsoft Excel。 自動(dòng)修復(fù)軟件 一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會(huì)自動(dòng)探測(cè)到此不正?，F(xiàn)象，并且會(huì)自動(dòng)修復(fù)、重新安裝此軟件。刪除軟件 一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，如果不想再讓用戶使用此軟件，只要將該程序從組策略內(nèi)發(fā)布或分配的軟件清單刪除，并設(shè)置下次用戶登錄或計(jì)算機(jī)啟動(dòng)時(shí)刪除，系統(tǒng)會(huì)自動(dòng)刪除這個(gè)軟件。 15.4.2 發(fā)布或分配軟件 發(fā)布或分配軟件前的準(zhǔn)備工作 ：步驟1：在服務(wù)器上

12、創(chuàng)建共享文件夾把文件夾共享出來(lái)，確保組策略會(huì)影響到的各用戶對(duì)目錄至少具有讀的權(quán)限。步驟2：在一客戶端測(cè)試是否可以正常訪問(wèn)共享文件夾。步驟3：準(zhǔn)備合適的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需要建立子文件夾。組策略對(duì)被部署的軟件有一定的要求，通常是MSI文件，如果是EXE文件，請(qǐng)按照后面小節(jié)介紹的方法打包。發(fā)布或分配軟件 發(fā)布或分配軟件發(fā)布或分配軟件發(fā)布或分配軟件在客戶端，以“研發(fā)部”組織單元下的用戶登錄到域，從“開(kāi)始”“程序”菜單中，應(yīng)該可以看到“Microsoft ActiveSync”菜單，如圖。該軟件并未實(shí)際安裝，單擊該菜單項(xiàng)可以開(kāi)始安裝。應(yīng)該把域用戶加入到本地的管理員組中，否則

13、安裝軟件會(huì)失敗。 部署EXE軟件 有兩種方法部署EXE文件，第一種是使用ZAP文件來(lái)包裝EXE文件第二種是使用MSI文件包裝EXE文件。前者容易實(shí)現(xiàn)，但是只能發(fā)布軟件，而不能分配軟件，不提供升級(jí)軟件功能。該方法實(shí)現(xiàn)起來(lái)困難，需要使用第三方軟件 。使用ZAP文件來(lái)包裝EXE文件步驟1：把被發(fā)布的文件“IE8-WindowsXP-x86-CHS.exe”拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP”為后綴的文件，內(nèi)容為：ApplicationFriendlyname=TESTSetupcommand=192.168.0.1SoftWare-R&DIE8.0-XPIE8-Win

14、dowsXP-x86-CHS.exe步驟3：發(fā)布ZAP文件。在組策略的編輯窗口中，依次展開(kāi)“用戶配置”“策略”“軟件設(shè)置”“軟件安裝”，右擊“軟件安裝”新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本應(yīng)用程序數(shù)據(jù)包（*.ZAP）”，把ZAP文件進(jìn)行發(fā)布。步驟4：在客戶端上，從“控制面板”“添加或刪除程序”“添加新程序”窗口，可以看到新發(fā)布的程序，雙擊它就可以進(jìn)行安裝了。 15.4.3 升級(jí)軟件 使用組策略對(duì)軟件進(jìn)行升級(jí)有兩種方法：一種是軟件本身能夠識(shí)別版本，例如Microsoft Office 2007能夠檢測(cè)計(jì)算機(jī)上安裝的Microsoft Office 2003，對(duì)于這種軟件只需把新版的軟件部署即可