組策略介紹課件

第15章組策略第15章組策略1本章的任務(wù)了解什么是組策略，有多個(gè)組策略時(shí)，組策略的應(yīng)用順序了解組策略的創(chuàng)建方法根據(jù)企業(yè)需要，創(chuàng)建或修改不同級(jí)別的組策略使用組策略為企業(yè)用戶或者計(jì)算機(jī)制定統(tǒng)一的環(huán)境使用組策略統(tǒng)一發(fā)布、升級(jí)、修改軟件本章的任務(wù)了解什么是組策略，有多個(gè)組策略時(shí)，組策略的應(yīng)用順序215.1組策略介紹15.1組策略介紹315.1.1理解組策略Windows組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。安裝了活動(dòng)目錄后，使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置等，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。組策略仍然允許用戶在保持標(biāo)準(zhǔn)的系統(tǒng)配置的同時(shí)，也能定制自己的配置。15.1.1理解組策略Windows組策略是一種在用戶或415.1.2各種組策略本地安全策略與本地策略

:本地安全策略只是本地策略的一部分。15.1.2各種組策略本地安全策略與本地策略:本地安全策5查看本地策略查看本地策略6查看本地策略查看本地策略7查看本地策略查看本地策略8默認(rèn)域策略默認(rèn)域策略：域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上默認(rèn)域策略默認(rèn)域策略：域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域9默認(rèn)域控制器策略

默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的DefaultDomainControllersPolicy”策略，這個(gè)策略就是默認(rèn)域控制器策略，是安裝WindowsServer2008時(shí)自動(dòng)創(chuàng)建的、僅應(yīng)用到域控制器上的策略。默認(rèn)域控制器策略默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的10組織單元上的策略

組策略也常常在組織單元上實(shí)施，如果我們?cè)谶@個(gè)組織單元上實(shí)施組策略，那么這個(gè)策略將對(duì)這個(gè)組織單元中的計(jì)算機(jī)和用戶起作用。

組織單元上的策略組策略也常常在組織單元上實(shí)施，如果我們?cè)谶@11ActiveDirectory環(huán)境中的各組策略的作用范圍

默認(rèn)或創(chuàng)建的域策略：作用于整個(gè)域中的計(jì)算機(jī)和用戶默認(rèn)或創(chuàng)建的域控制器策略：作用于整個(gè)域中的全部域控制器組織單元上的策略：作用于整個(gè)組織單元的計(jì)算機(jī)和用戶本地策略：所有的計(jì)算機(jī)和用戶ActiveDirectory環(huán)境中的各組策略的作用范圍1215.1.3策略的應(yīng)用順序首先是本地策略，然后是域策略，最后是組織單元或者域控制器上的策略，如果組織單元下還有組織單元?jiǎng)t從上級(jí)到下級(jí)應(yīng)用各個(gè)組織單元上的策略。組策略是可以繼承的，組織單元或域控制器會(huì)繼承域的組策略，下一級(jí)組織單元會(huì)繼承上一級(jí)組織單元上的策略。15.1.3策略的應(yīng)用順序首先是本地策略，然后是域策略，1315.1.4組策略規(guī)劃如果是針對(duì)所有計(jì)算機(jī)或者用戶的策略，應(yīng)該在域這一級(jí)的策略上設(shè)置。如果是針對(duì)各部門的策略，應(yīng)該在組織單元這一級(jí)的策略上設(shè)置。15.1.4組策略規(guī)劃如果是針對(duì)所有計(jì)算機(jī)或者用戶的策略1415.2組策略的管理15.2組策略的管理1515.2.1創(chuàng)建新的組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略；而域上或組織單元級(jí)別上可以有多個(gè)組策略，我們可以在一個(gè)域上或組織單元上同時(shí)應(yīng)用多個(gè)組策略。選擇域或者要?jiǎng)?chuàng)建組策略的組織單元，右擊鼠標(biāo)，選擇菜單中的“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”15.2.1創(chuàng)建新的組策略每一計(jì)算機(jī)上的本地策略都是只能1615.2.1創(chuàng)建新的組策略一個(gè)是新創(chuàng)建的組策略，該策略優(yōu)先級(jí)為1，優(yōu)先級(jí)最高；另一個(gè)組策略是從域繼承下來的，優(yōu)先級(jí)為2，優(yōu)先級(jí)較低。15.2.1創(chuàng)建新的組策略一個(gè)是新創(chuàng)建的組策略，該策略優(yōu)先1715.2.1創(chuàng)建新的組策略15.2.1創(chuàng)建新的組策略1815.2.2編輯組策略組策略的屬性

計(jì)算機(jī)配置”是針對(duì)計(jì)算機(jī)做的配置，而不管是哪個(gè)用戶在該計(jì)算機(jī)上登錄都會(huì)生效的；“用戶配置”是針對(duì)用戶做的配置，而不管用戶是在哪臺(tái)計(jì)算機(jī)上登錄都會(huì)生效的。15.2.2編輯組策略組策略的屬性計(jì)算機(jī)配置”是針對(duì)計(jì)19組策略的屬性

單擊“立即查找”按鈕可以查找該策略被應(yīng)用在域中的何處，這對(duì)于維護(hù)組策略來說是非常重要的。

組策略的屬性單擊“立即查找”按鈕可以查找該策略被應(yīng)用在域中20組策略的屬性

可以控制哪些用戶對(duì)該組策略的控制權(quán)限，例如創(chuàng)建子對(duì)象，單擊“高級(jí)”按鈕可以控制對(duì)組策略的審核組策略的屬性可以控制哪些用戶對(duì)該組策略的控制權(quán)限，例如創(chuàng)建21設(shè)置策略項(xiàng)

設(shè)置策略項(xiàng)22設(shè)置策略項(xiàng)設(shè)置策略項(xiàng)23策略項(xiàng)的三種選擇策略項(xiàng)的三種選擇24刷新策略

在域控制器上配置了組策略后，普通的計(jì)算機(jī)90分鐘刷新組策略，新的組策略才生效；對(duì)于域控制器，5分鐘刷新。可以手工進(jìn)行刷新，語法為：gpupdate[/Target:{Computer|User}][/Force]

刷新策略在域控制器上配置了組策略后，普通的計(jì)算機(jī)90分鐘25策略的結(jié)果集

組策略是如此復(fù)雜，以至于我們?cè)谠O(shè)置組策略時(shí)可能無法準(zhǔn)確知道最后的結(jié)果會(huì)是怎樣，好在微軟提供查看組策略結(jié)果集的工具策略的結(jié)果集組策略是如此復(fù)雜，以至于我們?cè)谠O(shè)置組策略時(shí)可能26策略的結(jié)果集

策略的結(jié)果集27策略的結(jié)果集

策略的結(jié)果集28策略的結(jié)果集

策略的結(jié)果集29策略的結(jié)果集

策略的結(jié)果集3015.2.3管理組策略在ActiveDirectory環(huán)境中，我們介紹過組策略的應(yīng)用順序是：本地策略、域策略、組織單元策略、子組織單元策略；在同一級(jí)的組織單元上也可以有多個(gè)組策略存在。我們可以管理這些組策略之間的關(guān)系。15.2.3管理組策略在ActiveDirectory31改變組策略的排列順序

改變組策略的排列順序

:排在列表上面的組策略具有較高的優(yōu)先級(jí)，也就是說上面的組策略會(huì)替代下面的組策略。選中相應(yīng)的策略，單擊“▲”和“▼”可以改變這些組策略的排列順序，從而改變組策略的優(yōu)先級(jí)。改變組策略的排列順序改變組策略的排列順序:排在列表上面的32改變策略的繼承關(guān)系

默認(rèn)時(shí)，組織單元會(huì)繼承域上的組策略，子組織單元會(huì)繼承父組織單元的組策略，然而我們可以改變這一行為。在圖選中“阻止繼承”菜單，則該組織單元就不會(huì)繼承域上的組策略。改變策略的繼承關(guān)系默認(rèn)時(shí)，組織單元會(huì)繼承域上的組策略，子組33強(qiáng)制策略的繼承關(guān)系

可以強(qiáng)制策略的繼承，則組織單元上采取阻止措施也不能阻止該組策略被繼承了。強(qiáng)制策略的繼承關(guān)系可以強(qiáng)制策略的繼承，則組織單元上采取阻34組策略的設(shè)置舉例組策略名稱禁止替代“文件”菜單：禁止“另存為”“文件”菜單：禁止“新建”“文件”菜單：禁止“打開”隱藏“收藏”菜單DefaultDomainPolicy√啟用啟用未設(shè)置未設(shè)置行政部組策略╳停用未設(shè)置啟用啟用行政部組策略2╳未設(shè)置停用停用未設(shè)置結(jié)果啟用啟用停用啟用組策略的設(shè)置舉例組策略名稱禁止替代“文件”菜單：禁止“另存3515.3使用組策略定制用戶環(huán)境、安全設(shè)置15.3使用組策略定制用戶環(huán)境、安全設(shè)置3615.3.1設(shè)置IE瀏覽器的主頁15.3.1設(shè)置IE瀏覽器的主頁3715.3.2設(shè)置密碼策略15.3.2設(shè)置密碼策略3815.3.3帳戶鎖定策略15.3.3帳戶鎖定策略3915.3.4Windows防火墻設(shè)置15.3.4Windows防火墻設(shè)置4015.3.5時(shí)間提供程序15.3.5時(shí)間提供程序4115.3.6禁止安裝可移動(dòng)設(shè)備15.3.6禁止安裝可移動(dòng)設(shè)備4215.4使用組策略發(fā)布軟件15.4使用組策略發(fā)布軟件4315.4.1軟件部署簡介將軟件分配給用戶：當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的用戶后，則用戶在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，這個(gè)軟件都會(huì)被“通告”給該用戶，但這個(gè)軟件并沒有真正的被安裝，而只是安裝了與這個(gè)軟件有關(guān)的部分信息。只有在以下兩種情況下，這個(gè)軟件才會(huì)被自動(dòng)安裝：開始運(yùn)行此軟件：例如用戶登錄后執(zhí)行操作：“開始”“所有程序”單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式后，就會(huì)自動(dòng)安裝此軟件。利用“文件啟動(dòng)”功能：例如假設(shè)這個(gè)被“通告”的程序?yàn)镸icrosoftExcel，當(dāng)用戶登錄后，他的計(jì)算機(jī)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，此時(shí)用戶只要雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會(huì)自動(dòng)安裝MicrosoftExcel。15.4.1軟件部署簡介將軟件分配給用戶：44將軟件分配給計(jì)算機(jī)

當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的計(jì)算機(jī)后，在這些計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)軟件就會(huì)自動(dòng)安裝在這些計(jì)算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到DocumentsandSettings\AllUsers文件夾內(nèi)。任何用戶登錄后，都可以使用此軟件。將軟件分配給計(jì)算機(jī)當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的計(jì)算機(jī)45將軟件發(fā)布給用戶

當(dāng)將一個(gè)軟件通過組策略發(fā)布給域內(nèi)的用戶后，該軟件不會(huì)自動(dòng)安裝到用戶的計(jì)算機(jī)內(nèi)，用戶需要通過以下兩種方式來安裝這個(gè)軟件：執(zhí)行操作：“開始”“控制面板”“添加或刪除程序”“添加程序”。利用“文件啟動(dòng)”功能：舉例說，假設(shè)這個(gè)被發(fā)布的軟件為,MicrosoftExcel，雖然在ActiveDirectory內(nèi)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，可是用戶登錄時(shí)，他的計(jì)算機(jī)不會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，也就是對(duì)此計(jì)算機(jī)來說，擴(kuò)展名為.xls的文件是一個(gè)“未知文件”，不過只要用戶雙擊擴(kuò)展名為.xls的文件，他的計(jì)算機(jī)就會(huì)通過ActiveDirectory得知擴(kuò)展名為.xls的文件是與MicrosoftExcel關(guān)聯(lián)在一起，因此會(huì)自動(dòng)安裝MicrosoftExcel。將軟件發(fā)布給用戶當(dāng)將一個(gè)軟件通過組策略發(fā)布給域內(nèi)的用戶后，46自動(dòng)修復(fù)軟件

一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會(huì)自動(dòng)探測到此不正?，F(xiàn)象，并且會(huì)自動(dòng)修復(fù)、重新安裝此軟件。自動(dòng)修復(fù)軟件一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟47刪除軟件

一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，如果不想再讓用戶使用此軟件，只要將該程序從組策略內(nèi)發(fā)布或分配的軟件清單刪除，并設(shè)置下次用戶登錄或計(jì)算機(jī)啟動(dòng)時(shí)刪除，系統(tǒng)會(huì)自動(dòng)刪除這個(gè)軟件。刪除軟件一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，如果4815.4.2發(fā)布或分配軟件發(fā)布或分配軟件前的準(zhǔn)備工作：步驟1：在服務(wù)器上創(chuàng)建共享文件夾把文件夾共享出來，確保組策略會(huì)影響到的各用戶對(duì)目錄至少具有讀的權(quán)限。步驟2：在一客戶端測試是否可以正常訪問共享文件夾。步驟3：準(zhǔn)備合適的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需要建立子文件夾。組策略對(duì)被部署的軟件有一定的要求，通常是MSI文件，如果是EXE文件，請(qǐng)按照后面小節(jié)介紹的方法打包。15.4.2發(fā)布或分配軟件發(fā)布或分配軟件前的準(zhǔn)備工作：49發(fā)布或分配軟件

發(fā)布或分配軟件50發(fā)布或分配軟件發(fā)布或分配軟件51發(fā)布或分配軟件發(fā)布或分配軟件52發(fā)布或分配軟件在客戶端，以“研發(fā)部”組織單元下的用戶登錄到域，從“開始”“程序”菜單中，應(yīng)該可以看到“MicrosoftActiveSync”菜單，如圖。該軟件并未實(shí)際安裝，單擊該菜單項(xiàng)可以開始安裝。應(yīng)該把域用戶加入到本地的管理員組中，否則安裝軟件會(huì)失敗。

發(fā)布或分配軟件在客戶端，以“研發(fā)部”組織單元下的用戶登錄到域53部署EXE軟件

有兩種方法部署EXE文件，第一種是使用ZAP文件來包裝EXE文件第二種是使用MSI文件包裝EXE文件。前者容易實(shí)現(xiàn)，但是只能發(fā)布軟件，而不能分配軟件，不提供升級(jí)軟件功能。該方法實(shí)現(xiàn)起來困難，需要使用第三方軟件。部署EXE軟件有兩種方法部署EXE文件，第一種是使用ZAP54使用ZAP文件來包裝EXE文件步驟1：把被發(fā)布的文件“IE8-WindowsXP-x86-CHS.exe”拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP”為后綴的文件，內(nèi)容為：[Application]Friendlyname="TEST"Setupcommand=\\192.168.0.1\SoftWare-R&D\IE8.0-XP\IE8-WindowsXP-x86-CHS.exe步驟3：發(fā)布ZAP文件。在組策略的編輯窗口中，依次展開“用戶配置”“策略”“軟件設(shè)置”“軟件安裝”，右擊“軟件安裝”新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本應(yīng)用程序數(shù)據(jù)包（*.ZAP）”，把ZAP文件進(jìn)行發(fā)布。步驟4：在客戶端上，從“控制面板”“添加或刪除程序”“添加新程序”窗口，可以看到新發(fā)布的程序，雙擊它就可以進(jìn)行安裝了。

使用ZAP文件來包裝EXE文件步驟1：把被發(fā)布的文件“IE85515.4.3升級(jí)軟件使用組策略對(duì)軟件進(jìn)行升級(jí)有兩種方法：一種是軟件本身能夠識(shí)別版本，例如MicrosoftOffice2007能夠檢測計(jì)算機(jī)上安裝的MicrosoftOffice2003，對(duì)于這種軟件只需把新版的軟件部署即可，用戶在安裝新版軟件時(shí)就能升級(jí)舊版的軟件；另一種是軟件本身不能識(shí)別版本，我們可以通過組策略把舊版軟件刪除，再安裝新版的軟件。15.4.3升級(jí)軟件使用組策略對(duì)軟件進(jìn)行升級(jí)有兩種方法：56升級(jí)軟件升級(jí)軟件57升級(jí)軟件升級(jí)軟件58升級(jí)軟件選中被升級(jí)的數(shù)據(jù)包升級(jí)軟件選中被升級(jí)的數(shù)據(jù)包5915.4.4刪除軟件

可以通過組策略統(tǒng)一刪除軟件立即從用戶和計(jì)算機(jī)中卸載軟件：則用戶重新登錄或者計(jì)算機(jī)重啟時(shí)，數(shù)據(jù)包將被刪除。允許用戶繼續(xù)使用軟件，但阻止新的安裝：則已經(jīng)安裝該數(shù)據(jù)包的用戶可以繼續(xù)使用軟件，然而未安裝數(shù)據(jù)包的用戶將不能再安裝此數(shù)據(jù)包。15.4.4刪除軟件

可以通過組策略統(tǒng)一刪除軟件立即從60ThankYou.ThankYou.61第15章組策略第15章組策略62本章的任務(wù)了解什么是組策略，有多個(gè)組策略時(shí)，組策略的應(yīng)用順序了解組策略的創(chuàng)建方法根據(jù)企業(yè)需要，創(chuàng)建或修改不同級(jí)別的組策略使用組策略為企業(yè)用戶或者計(jì)算機(jī)制定統(tǒng)一的環(huán)境使用組策略統(tǒng)一發(fā)布、升級(jí)、修改軟件本章的任務(wù)了解什么是組策略，有多個(gè)組策略時(shí)，組策略的應(yīng)用順序6315.1組策略介紹15.1組策略介紹6415.1.1理解組策略Windows組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。安裝了活動(dòng)目錄后，使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置等，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。組策略仍然允許用戶在保持標(biāo)準(zhǔn)的系統(tǒng)配置的同時(shí)，也能定制自己的配置。15.1.1理解組策略Windows組策略是一種在用戶或6515.1.2各種組策略本地安全策略與本地策略

:本地安全策略只是本地策略的一部分。15.1.2各種組策略本地安全策略與本地策略:本地安全策66查看本地策略查看本地策略67查看本地策略查看本地策略68查看本地策略查看本地策略69默認(rèn)域策略默認(rèn)域策略：域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域控制器上默認(rèn)域策略默認(rèn)域策略：域策略會(huì)應(yīng)用到整個(gè)域，域策略存儲(chǔ)在域70默認(rèn)域控制器策略

默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的DefaultDomainControllersPolicy”策略，這個(gè)策略就是默認(rèn)域控制器策略，是安裝WindowsServer2008時(shí)自動(dòng)創(chuàng)建的、僅應(yīng)用到域控制器上的策略。默認(rèn)域控制器策略默認(rèn)域控制器策略是應(yīng)用到域中的域控制器的71組織單元上的策略

組策略也常常在組織單元上實(shí)施，如果我們?cè)谶@個(gè)組織單元上實(shí)施組策略，那么這個(gè)策略將對(duì)這個(gè)組織單元中的計(jì)算機(jī)和用戶起作用。

組織單元上的策略組策略也常常在組織單元上實(shí)施，如果我們?cè)谶@72ActiveDirectory環(huán)境中的各組策略的作用范圍

默認(rèn)或創(chuàng)建的域策略：作用于整個(gè)域中的計(jì)算機(jī)和用戶默認(rèn)或創(chuàng)建的域控制器策略：作用于整個(gè)域中的全部域控制器組織單元上的策略：作用于整個(gè)組織單元的計(jì)算機(jī)和用戶本地策略：所有的計(jì)算機(jī)和用戶ActiveDirectory環(huán)境中的各組策略的作用范圍7315.1.3策略的應(yīng)用順序首先是本地策略，然后是域策略，最后是組織單元或者域控制器上的策略，如果組織單元下還有組織單元?jiǎng)t從上級(jí)到下級(jí)應(yīng)用各個(gè)組織單元上的策略。組策略是可以繼承的，組織單元或域控制器會(huì)繼承域的組策略，下一級(jí)組織單元會(huì)繼承上一級(jí)組織單元上的策略。15.1.3策略的應(yīng)用順序首先是本地策略，然后是域策略，7415.1.4組策略規(guī)劃如果是針對(duì)所有計(jì)算機(jī)或者用戶的策略，應(yīng)該在域這一級(jí)的策略上設(shè)置。如果是針對(duì)各部門的策略，應(yīng)該在組織單元這一級(jí)的策略上設(shè)置。15.1.4組策略規(guī)劃如果是針對(duì)所有計(jì)算機(jī)或者用戶的策略7515.2組策略的管理15.2組策略的管理7615.2.1創(chuàng)建新的組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略；而域上或組織單元級(jí)別上可以有多個(gè)組策略，我們可以在一個(gè)域上或組織單元上同時(shí)應(yīng)用多個(gè)組策略。選擇域或者要?jiǎng)?chuàng)建組策略的組織單元，右擊鼠標(biāo)，選擇菜單中的“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”15.2.1創(chuàng)建新的組策略每一計(jì)算機(jī)上的本地策略都是只能7715.2.1創(chuàng)建新的組策略一個(gè)是新創(chuàng)建的組策略，該策略優(yōu)先級(jí)為1，優(yōu)先級(jí)最高；另一個(gè)組策略是從域繼承下來的，優(yōu)先級(jí)為2，優(yōu)先級(jí)較低。15.2.1創(chuàng)建新的組策略一個(gè)是新創(chuàng)建的組策略，該策略優(yōu)先7815.2.1創(chuàng)建新的組策略15.2.1創(chuàng)建新的組策略7915.2.2編輯組策略組策略的屬性

計(jì)算機(jī)配置”是針對(duì)計(jì)算機(jī)做的配置，而不管是哪個(gè)用戶在該計(jì)算機(jī)上登錄都會(huì)生效的；“用戶配置”是針對(duì)用戶做的配置，而不管用戶是在哪臺(tái)計(jì)算機(jī)上登錄都會(huì)生效的。15.2.2編輯組策略組策略的屬性計(jì)算機(jī)配置”是針對(duì)計(jì)80組策略的屬性

單擊“立即查找”按鈕可以查找該策略被應(yīng)用在域中的何處，這對(duì)于維護(hù)組策略來說是非常重要的。

組策略的屬性單擊“立即查找”按鈕可以查找該策略被應(yīng)用在域中81組策略的屬性

可以控制哪些用戶對(duì)該組策略的控制權(quán)限，例如創(chuàng)建子對(duì)象，單擊“高級(jí)”按鈕可以控制對(duì)組策略的審核組策略的屬性可以控制哪些用戶對(duì)該組策略的控制權(quán)限，例如創(chuàng)建82設(shè)置策略項(xiàng)

設(shè)置策略項(xiàng)83設(shè)置策略項(xiàng)設(shè)置策略項(xiàng)84策略項(xiàng)的三種選擇策略項(xiàng)的三種選擇85刷新策略

在域控制器上配置了組策略后，普通的計(jì)算機(jī)90分鐘刷新組策略，新的組策略才生效；對(duì)于域控制器，5分鐘刷新?？梢允止みM(jìn)行刷新，語法為：gpupdate[/Target:{Computer|User}][/Force]

刷新策略在域控制器上配置了組策略后，普通的計(jì)算機(jī)90分鐘86策略的結(jié)果集

組策略是如此復(fù)雜，以至于我們?cè)谠O(shè)置組策略時(shí)可能無法準(zhǔn)確知道最后的結(jié)果會(huì)是怎樣，好在微軟提供查看組策略結(jié)果集的工具策略的結(jié)果集組策略是如此復(fù)雜，以至于我們?cè)谠O(shè)置組策略時(shí)可能87策略的結(jié)果集

策略的結(jié)果集88策略的結(jié)果集

策略的結(jié)果集89策略的結(jié)果集

策略的結(jié)果集90策略的結(jié)果集

策略的結(jié)果集9115.2.3管理組策略在ActiveDirectory環(huán)境中，我們介紹過組策略的應(yīng)用順序是：本地策略、域策略、組織單元策略、子組織單元策略；在同一級(jí)的組織單元上也可以有多個(gè)組策略存在。我們可以管理這些組策略之間的關(guān)系。15.2.3管理組策略在ActiveDirectory92改變組策略的排列順序

改變組策略的排列順序

:排在列表上面的組策略具有較高的優(yōu)先級(jí)，也就是說上面的組策略會(huì)替代下面的組策略。選中相應(yīng)的策略，單擊“▲”和“▼”可以改變這些組策略的排列順序，從而改變組策略的優(yōu)先級(jí)。改變組策略的排列順序改變組策略的排列順序:排在列表上面的93改變策略的繼承關(guān)系

默認(rèn)時(shí)，組織單元會(huì)繼承域上的組策略，子組織單元會(huì)繼承父組織單元的組策略，然而我們可以改變這一行為。在圖選中“阻止繼承”菜單，則該組織單元就不會(huì)繼承域上的組策略。改變策略的繼承關(guān)系默認(rèn)時(shí)，組織單元會(huì)繼承域上的組策略，子組94強(qiáng)制策略的繼承關(guān)系

可以強(qiáng)制策略的繼承，則組織單元上采取阻止措施也不能阻止該組策略被繼承了。強(qiáng)制策略的繼承關(guān)系可以強(qiáng)制策略的繼承，則組織單元上采取阻95組策略的設(shè)置舉例組策略名稱禁止替代“文件”菜單：禁止“另存為”“文件”菜單：禁止“新建”“文件”菜單：禁止“打開”隱藏“收藏”菜單DefaultDomainPolicy√啟用啟用未設(shè)置未設(shè)置行政部組策略╳停用未設(shè)置啟用啟用行政部組策略2╳未設(shè)置停用停用未設(shè)置結(jié)果啟用啟用停用啟用組策略的設(shè)置舉例組策略名稱禁止替代“文件”菜單：禁止“另存9615.3使用組策略定制用戶環(huán)境、安全設(shè)置15.3使用組策略定制用戶環(huán)境、安全設(shè)置9715.3.1設(shè)置IE瀏覽器的主頁15.3.1設(shè)置IE瀏覽器的主頁9815.3.2設(shè)置密碼策略15.3.2設(shè)置密碼策略9915.3.3帳戶鎖定策略15.3.3帳戶鎖定策略10015.3.4Windows防火墻設(shè)置15.3.4Windows防火墻設(shè)置10115.3.5時(shí)間提供程序15.3.5時(shí)間提供程序10215.3.6禁止安裝可移動(dòng)設(shè)備15.3.6禁止安裝可移動(dòng)設(shè)備10315.4使用組策略發(fā)布軟件15.4使用組策略發(fā)布軟件10415.4.1軟件部署簡介將軟件分配給用戶：當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的用戶后，則用戶在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，這個(gè)軟件都會(huì)被“通告”給該用戶，但這個(gè)軟件并沒有真正的被安裝，而只是安裝了與這個(gè)軟件有關(guān)的部分信息。只有在以下兩種情況下，這個(gè)軟件才會(huì)被自動(dòng)安裝：開始運(yùn)行此軟件：例如用戶登錄后執(zhí)行操作：“開始”“所有程序”單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式后，就會(huì)自動(dòng)安裝此軟件。利用“文件啟動(dòng)”功能：例如假設(shè)這個(gè)被“通告”的程序?yàn)镸icrosoftExcel，當(dāng)用戶登錄后，他的計(jì)算機(jī)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，此時(shí)用戶只要雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會(huì)自動(dòng)安裝MicrosoftExcel。15.4.1軟件部署簡介將軟件分配給用戶：105將軟件分配給計(jì)算機(jī)

當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的計(jì)算機(jī)后，在這些計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)軟件就會(huì)自動(dòng)安裝在這些計(jì)算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到DocumentsandSettings\AllUsers文件夾內(nèi)。任何用戶登錄后，都可以使用此軟件。將軟件分配給計(jì)算機(jī)當(dāng)將一個(gè)軟件通過組策略分配給域內(nèi)的計(jì)算機(jī)106將軟件發(fā)布給用戶

當(dāng)將一個(gè)軟件通過組策略發(fā)布給域內(nèi)的用戶后，該軟件不會(huì)自動(dòng)安裝到用戶的計(jì)算機(jī)內(nèi)，用戶需要通過以下兩種方式來安裝這個(gè)軟件：執(zhí)行操作：“開始”“控制面板”“添加或刪除程序”“添加程序”。利用“文件啟動(dòng)”功能：舉例說，假設(shè)這個(gè)被發(fā)布的軟件為,MicrosoftExcel，雖然在ActiveDirectory內(nèi)會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，可是用戶登錄時(shí)，他的計(jì)算機(jī)不會(huì)自動(dòng)將擴(kuò)展名為.xls的文件與MicrosoftExcel關(guān)聯(lián)在一起，也就是對(duì)此計(jì)算機(jī)來說，擴(kuò)展名為.xls的文件是一個(gè)“未知文件”，不過只要用戶雙擊擴(kuò)展名為.xls的文件，他的計(jì)算機(jī)就會(huì)通過ActiveDirectory得知擴(kuò)展名為.xls的文件是與MicrosoftExcel關(guān)聯(lián)在一起，因此會(huì)自動(dòng)安裝MicrosoftExcel。將軟件發(fā)布給用戶當(dāng)將一個(gè)軟件通過組策略發(fā)布給域內(nèi)的用戶后，107自動(dòng)修復(fù)軟件

一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會(huì)自動(dòng)探測到此不正?，F(xiàn)象，并且會(huì)自動(dòng)修復(fù)、重新安裝此軟件。自動(dòng)修復(fù)軟件一個(gè)被發(fā)布或分配的軟件，在安裝完成后，如果此軟108刪除軟件

一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，如果不想再讓用戶使用此軟件，只要將該程序從組策略內(nèi)發(fā)布或分配的軟件清單刪除，并設(shè)置下次用戶登錄或計(jì)算機(jī)啟動(dòng)時(shí)刪除，系統(tǒng)會(huì)自動(dòng)刪除這個(gè)軟件。刪除軟件一個(gè)被發(fā)布或分配的軟件，在用戶將其安裝完成后，如果10915.4.2發(fā)布或分配軟件發(fā)布或分配軟件前的準(zhǔn)備工作：步驟1：在服務(wù)器上創(chuàng)建共享文件夾把文件夾共享出來，確保組策略會(huì)影響到的各用戶對(duì)目錄至少具有讀的權(quán)限。步驟2：在一客戶端測試是否可以正常訪問共享文件夾。步驟3：準(zhǔn)備合適的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需要建立子文件夾。組策略對(duì)被部署的軟件有一定的要求，通常是MSI文件，如果是EXE文件，請(qǐng)按照后面小節(jié)介紹的方法打包。15.4.2發(fā)布或分配軟件發(fā)布或分配軟件前的準(zhǔn)備工作：110發(fā)布或分配軟件

發(fā)布或分配軟件111發(fā)布或分配軟件發(fā)布或分配軟件112發(fā)布或分配軟件發(fā)布或分配軟件113發(fā)布或分配軟件在客戶端，以“研發(fā)部