組策略是Active Directory中非常重要的一項技術

1、組策略是Active Directory中非常重要的一項技術，很多朋友都聽說過組策略對于管理的重要意義，也明白有些疑難問題可以用傳說中的“策略”來解決。但并不清楚組策略該如何理解，如何部署，如何管理。今天起我們將組織一系列的博文為大家介紹組策略的來龍去脈，力爭讓大家可以更好地利用組策略來完善管理工作。我們首先從組策略的概念談起，什么是組策略呢？組策略是一個允許執(zhí)行針對用戶或計算機進行配置的基礎架構。這個概念聽起來有些晦澀，不太容易理解。其實通俗地說，組策略和注冊表類似，是一項可以修改用戶或計算機設置的技術。那組策略和注冊表的區(qū)別在哪兒呢？注冊表只能針對一個用戶或一臺計算機進行設置，但組策略卻可

2、以針對多個用戶和多臺計算機進行設置。這個你明白組策略的優(yōu)點了吧，在一個擁有1000用戶的企業(yè)中，如果我們用注冊表來進行配置，我們可能需要在1000臺計算機上分別修改注冊表。但如果改用組策略，那只要創(chuàng)建好組策略，然后通過一個合適的級別部署到1000臺計算機上就可以了。組策略和和Acttivee Diirecctorry結合合使用，可以部部署在OOU，站站點和域域的級別別上，當當然也可可以部署署在本地地計算機機上，但但部署在在本地計計算機并并不能使使用組策策略中的的全部功功能，只只有和AActiive Dirrecttoryy配合，組策略略才可以以發(fā)揮出出全部潛潛力。組組策略部部署在不不同級別別的

3、優(yōu)先先級是不不同的，本地計計算機站點域OOU。我我們可以以根據管管理任務務，為組組策略選選擇合適適的部署署級別。組策略對對象存儲儲在兩個個位置，鏈接GGPO的的Acttivee Diirecctorry容器器和域控控制器上上的Syysvool文件件夾。GGPO是是組策略略對象的的縮寫，GPOO是組策策略設置置的集合合，是 存儲在在Acttivee Diirecctorry中的的一個虛虛擬對象象。GPPO由組組策略容容器(GGPC) 和組組策略模模板(GGPT)組成，GPCC包含GGPO的的屬性信信息，存存儲在域域中每臺臺域控制制器活動動目錄中中；GPPT 包包含GPPO 的的數據，存儲在在Sy

4、ssvoll 的 /Poolicciess 子目目錄下。組策略管管理可以以通過組組策略編編輯器和和組策略略管理控控制臺（GPMMC），組策略略編輯器器是Wiindoows操操作系統(tǒng)統(tǒng)中自帶帶的組策策略管理理工具，可以修修改GPPO中的的設置。GPMMC則是是功能更更強大的的組策略略編輯工工具，GGPMCC可以創(chuàng)創(chuàng)建，管管理，部部署GPPO，最最新的GGPMCC可以從從微軟網網站下載載。至此，我我們對組組策略的的功能，結構和和管理工工具都有有了一定定的了解解，下篇篇博文中中我們將將通過實實例為大大家介紹紹如何對對組策略略進行部部署及管管理。在IT工工程師的的運維工工作中，有很多多沒有技技術含量量

5、的事務務性操作作是很令令人頭疼疼的，例例如為客客戶機安安裝軟件件。有些些朋友看看到這里里估計會會很不以以為然，想我等等IT專業(yè)業(yè)人士，縱橫江江湖多年年，無論論國內國國外，正正版盜版版，安裝裝個小小小軟件還還不是手手到擒來來！其實實不然，在一臺臺機器上上安裝軟軟件當然然不難，要是讓讓你在一一千臺機機器上安安裝Offficce呢？想想看看，要是是用傳統(tǒng)統(tǒng)的方式式一臺一一臺地安安裝，操操作者是是很需要要有一番番直面慘慘淡人生生的勇氣氣的。 因因此，為為客戶機機選擇一一種快速速部署軟軟件的解解決方案案就成了了工程師師們面臨臨的一個個問題。解決這這個問題題有多種種備選方方案，例例如微軟軟的SCCCM，它

6、在功功能上非非常令人人滿意，但是價價格嘛.本文文將為大大家介紹紹一種性性價比較較高的軟軟件部署署解決方方案利利用ADD的組策策略完成成客戶機機軟件部部署。 組組策略部部署軟件件的思路路是把要要部署的的軟件存存儲在文文件服務務器的共共享文件件夾中，然后通通過組策策略告知知用戶用用戶或計計算機，某某服服務器的的某某文文件夾有有要安裝裝的軟件件，趕緊緊去下載載安裝。這樣一一來，我我們只要要設置好好組策略略，就可可以等待待客戶機機自動進進行軟件件安裝了了，完全全不用在在客戶機機上一一一進行部部署了。 組組策略進進行軟件件安裝有有自己的的特點，那就是是組策略略支持安安裝的軟軟件不能能是EXXE格式式。E

7、XXE是我我們平時時使用最最多的可可執(zhí)行程程序格式式，組策策略不支支持EXXE是個個很大的的遺憾，話又說說回來了了，要是是組策略略什么格格式都支支持，那那SCCCM的銷銷售就要要受影響響了，呵呵呵。組組策略支支持的軟軟件格式式最好是是MSII格式，ZAPP或MSTT也是可可以的。 今今天我們們將通過過一個實實例為大大家介紹紹如何通通過組策策略進行行軟件部部署，拓拓撲如下下圖所示示，Flloreencee是域控控制器，Isttanbbul是是文件服服務器，Perrth是是測試用用的客戶戶機。 首首先，我我們要準準備測試試用的軟軟件。我我們準備備的軟件件是微軟軟的LiiveWWritter，這個軟

8、軟件想必必各位博博友是非非常熟悉悉的，非非常著名名的離線線博客工工具。如如圖1所示，我們把把LivveWrriteer存儲儲在isstannbull的一個個共享文文件夾中中，大家家可以看看到程序序的擴展展名是MMSI。圖1準備好了了軟件，我們就就可以來來設置組組策略了了。在FFlorrencce上打打開Acctivve DDireectoory用用戶和計計算機，如圖22所示，右鍵點點擊人事事部OUU，準備備為此OOU創(chuàng)建建一個組組策略。人事部部OU內有有一個張張建國用用戶，張張建國用用戶使用用的客戶戶機就是是Perrth。圖2如圖3所所示，我我們在人人事部OOU的屬屬性中切切換到“組策略略”標

9、簽，創(chuàng)建一一個名為為LivveWrriteer的組組策略。圖3如圖4所所示，編編輯新創(chuàng)創(chuàng)建的LLiveeWriiterr組策略略屬性，準備在在組策略略中設置置軟件安安裝。組組策略可可以針對對用戶或或計算機機進行軟軟件安裝裝設置，本例中中我們將將針對用用戶。在在組策略略中定位位到用戶戶配置軟件設設置軟軟件安裝裝，選擇擇新建一一個程序序包。圖4如圖5所所示，我我們?yōu)樾滦聞?chuàng)建的的程序包包選擇路路徑， HYPERLINK l file:/instanbullivewriterwriter.msi innstaanbuullliveewriiterrwrriteer.mmsi是是我們要要用組策策略進行行

10、部署的的軟件。圖5接下來要要選擇部部署方式式，可以以選擇發(fā)發(fā)布或指指派。發(fā)發(fā)布和指指派的區(qū)區(qū)別在于于，發(fā)布布只能針針對用戶戶，而指指派則既既能針對對用戶也也能針對對計算機機；而且且指派有有一定的的強制性性，但發(fā)發(fā)布則不不具有強強制性。本文中中我們選選擇的部部署方式式是發(fā)布布，下篇篇博文中中將為大大家舉一一個指派派的例子子。圖6組策略部部署完畢畢，如圖圖7所示，組策略略已經從從MSII文件中中識別出出了軟件件的版本本。圖7組策略設設置完畢畢后，我我們在客客戶機PPertth上測測試一下下。由于于此次組組策略軟軟件安裝裝針對的的是用戶戶，因此此我們需需要讓張張建國用用戶注銷銷后重新新登錄，這樣策策

11、略才能能生效。如圖88所示，張建國國登錄后后打開控控制面板板中的添添加或刪刪除程序序，點擊擊“添加新新程序”，就可可以看到到有一個個Winndowws LLivee Wrriteer程序序可供選選擇，點點擊“添加”就可以以開始安安裝了。圖8軟件安裝裝過程基基本上沒沒有什么么提示，很快軟軟件安裝裝完畢，如圖99所示，我們在在Perrth的的程序組組中看到到了利用用組策略略部署的的LivveWrriteer。圖9組策略不不僅能快快速安裝裝軟件，也可以以用于卸卸載軟件件。如圖圖10所示示，我們們在組策策略中找找到新創(chuàng)創(chuàng)建的程程序包，在任務務中選擇擇“刪除”。圖10如圖111所示，我們選選擇立即即刪除

12、軟軟件，但但實際上上必須等等到用戶戶注銷重重新登錄錄后，軟軟件的卸卸載策略略才可以以生效。圖11我們在PPertth上讓讓用戶張張建國注注銷系統(tǒng)統(tǒng)后重新新登錄，如圖112所示示，我們們可以看看到系統(tǒng)統(tǒng)正在自自動刪除除軟件。圖12如圖133所示，LivveWrriteer已經經被組策策略成功功卸載。從這個個例子中中，我們們可以看看到，組組策略這這種集中中管理的的思想用用于實現現軟件安安裝還是是相當的的方便，下篇博博文中我我們將再再為大家家舉一個個軟件指指派的例例子。圖13上篇篇博文中中我們介介紹了如如何利用用組策略略在客戶戶機上安安裝 HYPERLINK / 軟件件，我們們用分發(fā)發(fā)的部署署方式為

13、為大家舉舉了一個個軟件安安裝的實實例，本本文中我我們將為為大家介介紹如何何用組策策略通過過指派的的方法實實現軟件件安裝。指派可可以針對對用戶，也可以以針對計計算機，相比較較分發(fā)的的部署方方式更為為靈活。實驗拓拓撲如下下圖所示示，我們們這次準準備部署署的軟件件是Offficce20003。 HYPERLINK /2010_02_02/1265125720_ddvip_2720.jpeg 查看看原圖（大圖）如圖圖1所示示，在文文件 HYPERLINK /server/index.html 服務務器Isstannbull的 HYPERLINK /office/index.html Offficce共

14、享享文件夾夾中，我我們看到到了Offficce20003的的安裝文文件。由由于組策策略不能能支持EEXE文文件，因因此我們們需要使使用PRRO111.MSSI文件件進行組組策略指指派。 HYPERLINK /2010_02_02/1265125720_ddvip_4846.jpeg 查看看原圖（大圖）圖11和上上文類似似，我們們在域控控制器上上打開AActiive Dirrecttoryy用戶和和計算機機，如圖圖2所示示，在人人事部OOU上創(chuàng)創(chuàng)建一個個名為OOffiice220033的組策策略。圖22如圖圖3所示示，我們們在Offficce20003組組策略內內選擇新新建一個個程序包包，這個個

15、程序包包仍然針針對的是是人事部部OU內內的用戶戶。 HYPERLINK /2010_02_02/1265125720_ddvip_3532.jpeg 查看看原圖（大圖）圖33我們們指定IIstaanbuul服務務器上OOffiice共共享文件件夾內的的PROO11.MSII是要進進行安裝裝的程序序包。 HYPERLINK /2010_02_02/1265125720_ddvip_9415.jpeg 查看看原圖（大圖）圖44本次次部署方方式我們們選擇指指派，和和發(fā)布相相比，指指派具有有一定的的強制性性。圖55如圖圖6所示示，Offficce20003的的程序包包已經準準備完畢畢。當啟動作作為域成

16、成員的基基于 WWinddowss 20000 的計算算機時，系統(tǒng)將將處理鏈鏈接的組組策略對對象 (GPOO) 的的“計算算機設置置”部分分的組策策略設置置，并應應用于該該計算機機。此外外，當您您登錄到到域時，系統(tǒng)將將處理和和應用每每個鏈接接的 GGPO 的“用用戶配置置”部分分的所有有組策略略設置。由于 Winndowws 花花費時間間應用每每個策略略設置，因此策策略設置置可能減減緩登錄錄過程，這導致致啟動計計算機到到能夠使使用計算算機之間間出現時時間間隔隔。您可可以使用用本文介介紹的方方法將這這一間隔隔減至最最小。 如何減少少已處理理的 GGPO 的數目目Winddowss 20000 的

17、啟動動和登錄錄時間直直接與需需要處理理的 GGPO 數量成成比例。鏈接到到站點、域或組組織單元元的 GGPO 由這些些站點、域或組組織單元元的所有有計算機機和用戶戶進行處處理。要要減少這這些組策策略設置置的處理理時間，請使用用下列任任意一種種方法： 使用組織織單元。 合并組策策略設置置。 基于安全全組成員員身份篩篩選組策策略。 禁用部分分組策略略設置。 如何使用用組織單單元使用組織織單元以以更加詳詳細的形形式分配配組策略略設置。將 GGPO 鏈接到到組織單單元時，您可以以將對不不必要的的 GPPO 的的處理減減少到最最小。要要為組織織單元創(chuàng)創(chuàng)建一個個 GPPO，請請按照下下列步驟驟操作： 單擊

18、開始始，指向向程序，指指向管理理工具，然后單單擊“AActiive Dirrecttoryy 用戶戶和計算算機”。 單擊以擴擴展該域域，右鍵鍵單擊要要配置的的組織單單元，然然后單擊擊屬性。 單擊組策策略選項項卡，然然后單擊擊新建。 在新建組組策略對對象框中中鍵入 GPOO 的描描述性名名稱，然然后按 ENTTER 鍵。 單擊屬性性，然后后單擊安安全選項項卡。 對于您不不希望應應用此策策略設置置的安全全組，單單擊清除除允許列中中的應用用組策略略復選框框；對于于您希望望應用此此策略設設置的安安全組，則單擊擊選中允允許列中中的應用用組策略略復選框框；然后后單擊確確定。 單擊編輯輯，然后后配置您您想要

19、使使用的策策略設置置。 當您配置置完策略略設置后后，請退退出“組組策略”管理單單元，然然后單擊擊關閉。 退出“AActiive Dirrecttoryy 用戶戶和計算算機”管管理單元元。 如何合并并組策略略設置Winddowss 處理理大量小小 GPPO 比比處理少少量大 GPOO 要花花費更長長的時間間。要減減少登錄錄到域所所花的時時間，請請合并若若干個 GPOO 的設設置以創(chuàng)創(chuàng)建一個個大的策策略設置置。 如如何基于于安全組組成員身身份篩選選組策略略Winddowss 處理理所有鏈鏈接的組組策略設設置，來來確定要要應用于于登錄到到域的計計算機或或用戶帳帳戶的有有效策略略設置。如果某某個 GG

20、PO 與特定定的用戶戶或組無無關，您您可以編編輯安全全權限，這樣將將不處理理您選擇擇的 GGPO： 單擊開始始，指向向程序，指指向管理理工具，然后單單擊“AActiive Dirrecttoryy 用戶戶和計算算機”。 執(zhí)行下列列步驟之之一： 如果您想想要編輯輯鏈接到到域的 GPOO 的安安全設置置，則右右鍵單擊擊該域，然后單單擊屬性性。 如果您想想要編輯輯鏈接到到一個組組織單元元的 GGPO 的安全全設置，則單擊擊展開該該域，右右鍵單擊擊該組織織單元，然后單單擊屬性性。 單擊組策策略選項項卡，單單擊要配配置的 GPOO，然后后單擊屬屬性。 單擊安全全選項卡卡。 對于您不不希望應應用此策策略設

21、置置的安全全組，單單擊以清清除允許許列中的的應用組組策略復復選框，對于您您希望應應用此策策略設置置的安全全組，則則單擊選選中允許許列中的的應用組組策略復復選框。備注：要要基于安安全組成成員身份份限制 GPOO 的應應用程序序，您必必須從“名稱”列表中中刪除 Autthennticcateed UUserrs 組組和 EEverryonne 組組（如果果它們存存在）。如果啟啟用了環(huán)環(huán)回處理理，請單單擊下面面的文章章編號，查看 Miccrossoftt 知識識庫中相相應的文文章，并并閱讀其其他說明明。查找找以“TThe macchinne aaccoountt off thhe ttermmina

22、al sservver”開頭的的句子。 HYPERLINK /kb/260370/EN-US/ 2603370 (hhttpp:/m/kbb/26603770/EEN-UUS/ ) HHow to Appply Grooup Pollicyy Obbjeccts to Terrminnal Serrvicces Serrverrs 單擊確定定，然后后單擊確確定。 退出“AActiive Dirrecttoryy 用戶戶和計算算機”管管理單元元。 如何禁用用組策略略設置的的未使用用部分GPO 包含“計算機機配置”部分和和“用戶戶配置”部分。如果您您希望應應用的策策略設置置僅包含含對該 GPOO

23、的一一個部分分的配置置更改，您可以以配置該該 GPPO 以以使系統(tǒng)統(tǒng)不處理理未使用用的部分分。此時時，您可可以減少少 Wiindoows 處理 GPOO 所花花的時間間。 單擊開始始，指向向程序，指指向管理理工具，然后單單擊“AActiive Dirrecttoryy 用戶戶和計算算機”。 執(zhí)行下列列步驟之之一： 如果您想想要編輯輯鏈接到到域的 GPOO 的安安全設置置，則右右鍵單擊擊該域，然后單單擊屬性性。 如果您想想要編輯輯鏈接到到一個組組織單元元的 GGPO 的安全全設置，則單擊擊展開該該域，右右鍵單擊擊該組織織單元，然后單單擊屬性性。 單擊組策策略選項項卡，單單擊要配配置的 GPOO，

24、然后后單擊屬屬性。 執(zhí)行下列列步驟之之一或都都執(zhí)行： 單擊以選選中“禁禁用計算算機配置置設置”復選框框，然后后，當收收到“確確認禁用用”消息息時單擊擊是。 單擊以選選中“禁禁用用戶戶配置設設置”復復選框，然后，當收到到“確認認禁用”消息時時單擊是是。 單擊確定定，單擊擊應用，然然后單擊擊確定。 退出“AActiive Dirrecttoryy 用戶戶和計算算機”管管理單元元。 如何將組組策略設設置配置置為異步步運行啟動 WWinddowss 時，系統(tǒng)將將按以下下順序同同步處理理每個 GPOO 的計計算機配配置部分分的策略略設置： 本地策略略設置 站點策略略設置 域策略設設置 組織單元元策略設設

25、置 處理計算算機配置置策略設設置后，系統(tǒng)將將提示您您登錄到到域。登登錄到域域時，系系統(tǒng)將按按以下順順序同步步處理每每個 GGPO 的用戶戶配置部部分的策策略設置置： 本地策略略設置 站點策略略設置 域策略設設置 組織單元元策略設設置 要減少登登錄所花花的時間間，請配配置組策策略設置置的異步步處理。此時，系統(tǒng)將將下載策策略設置置并且不不按順序序處理，并且您您就可以以在應用用所有策策略設置置之前登登錄到域域。要配配置組策策略設置置的異步步處理，請執(zhí)行行下列步步驟： 創(chuàng)建一個個您可以以用來在在域中實實現異步步組策略略處理的的 GPPO。 配置異步步 GPPO 處處理。 下面各部部分介紹紹如何完完成這一一過程。如何為異異步處理理創(chuàng)建 GPOO要創(chuàng)建一一個您可可以用來來在域中中實現異異