windows_XXXX_组策略管理

Windows2008组策略管理目录Windows2008组策略管理.......................................................1一、导读........................................................1二、组策略概述...................................................2三、组策略基础架构...............................................21计算机配置部分...............................................32用户配置部分.................................................5四、本地组策略和域组策略.........................................61.本地组策略...................................................62.域组策略.....................................................7五、组策略的管理和维护...........................................81.创建组策略...................................................82.链接组策略..................................................103组策略应用顺序..............................................114组策略的阻止和强制继承......................................125组策略备份..................................................13六、组策略应用场景举例..........................................151.应用组策略设置用户工作环境..................................152.应用组策略配置高级安全Windows防火墙........................223.应用组策略实现软件部署......................................264.应用组策略实现QoS带宽管理..................................30七、组策略管理控制台使用进阶....................................361.使用策略结果分析策略应用情况................................362.使用组策略建模模拟策略应用结果..............................39八、参考资料....................................................43一、导读组策略的构成组策略的生效规则及顺序组策略在实际管理环境中的应用举例检查策略结果二、组策略概述在WindowsServer2008和WindowsVista的环境中,组策略在功能特性都有了不少的扩大与加强。目前已有了超过5000个设置，拥有更多的管理能力。使组策略来简化IT环境管理，已成为用户必须了解的技术。实际上组策略是一种让管理员集中计算机和用户的手段或方法。组策略适用于众多方面的配置，如软件、安全性、IE、注册表等等。在活动目录中利用组策略可以在站点、域、OU等对象上进行配置，以管理其中的计算机和用户对象，可以说组策略是活动目录的一个非常大的功能体现。通过此章的学习，将让您更擅长、高效的管理组策略的设计、实施、应用和排错。三、组策略基础架构如图所示组策略分为两大部分：计算机配置和用户配置。每一个部分都有自己的独立性，因为他们配置的对象类型不同。计算机帐户部分控制计算机帐户，同样用户配置部分控制用户帐户。其中有部分配置在计算机部分拥有在用户部分也有同样的配置，他们是不会跨越执行的。假设某个配置选项你希望计算机帐户启用、用户帐户也启用，那么就必须在计算机配置和用户配置部分都进行设置。总之计算机配置下的设置仅对计算机对象生效，用户配置下的设置仅对用户对象生效。1计算机配置部分展开计算机配置部分你会看到如图有三个主要的部分:软件设置这一部分相对简单,它可以让你实现MSI、ZAP等软件部署分发。Windows设置这一部分更复杂一些，包含很多子项，如图子项都提供很多选择，账户策略能够对用户账户密码等进行管理控制；本地策略则提供了更多的控制如审核、用户权利、以及安全设置。特别是安全设置包括了超过75个的策略配置项。还有其它的地一些设置，如防火墙设置、无线网络设置、PKI设置、软件限制等等。管理模板这一部分使设置项最多的，包含各式各样的对计算机的配置。如图这里有五个主要的配置管理方向，Windows组件、打印机、控制面板、网络、系统。其中包含了超过1250个设置选项，涵盖了一台计算的非常多的配置管理信息。2用户配置部分用户配置部分类似于计算机配置，主要不同在于这一部分配置的目标是用户账户的，而相对于用户账户而言会有更多对用户使用上的控制。如图所示这一部分同样也包含三大部分软件设置我们可以通过在这里配置实现针对用户进行软件部署分发。Windows设置这一部分就与计算机配置里的Windows设置有了很多的不同，如图可以看到其中多了“远程安装服务”“”、“文件夹重定向”、“IE维护”等，而在安全设置中只有“公钥策略”和“软件限制”“。管理模板在这一部分展开后，你会发现比起计算机配置里的管理模板这里有更多的配置，如图：用户部分的管理模板可以用来管理控制用户配置文件，而用户配置文件是可以影响用户对计算机使用体验，所以这里面出现了““开始菜单”“、”桌面“、”“任务栏”、“共享文件夹”等配置。四、本地组策略和域组策略1.本地组策略Windows2000、windowsxp、windowsvista、windows2003、windows2008等等计算机都有且只有一份本地组策略。本地组策略的设置都存储在各个计算机内部，不论该计算机是否属于某个域。本地组策略包含的设置要少于非本地组策略的设置，像在“安全设置”上就没有域组策略那么多的配置，也不支持“文件夹重定向”和“软件安装”这些功能。在任意一台非域控制器的计算机上编辑管理本地组策略步骤如下：1）在开始菜单中运行，输入MMC2）在MMC控制台点击“文件”“，再点击“添加删除管理单元”3）在列表中选择“组策略对象编辑器”，并点击添加4）在向导界面上默认出现“本地计算机策略“，点击完成，点击确定5）展开“本地计算机策略“，展开”计算机配置“、”用户配置“如图：2.域组策略与本地组策略的一机一策略不同,在域环境内可以有成百上千个组策略能够创建和存在于活动目录中。并且能够通过活动目录这个集中控制技术实现整个计算机、用户网络的基于组策略的控制管理。在活动目录中我们可以为站点、域、OU创建不同管理要求的组策略，而且允许每一个站点、域、OU能同时设施多套组策略。我们可以使用windowsserver2008自带组策略管理工具来查看管理组策略，步骤如下：1）开始菜单中点运行，输入gpmc.msc2）在GPMC管理界面展开森林和域节点3）在域节点展开组策略对象节点这样就能看到如下图所示的组策略列表。从上图的列表中，我们可以去创建更多的组策略，并且能够根据需求将组策略应用到相应的站点、域、OU去，实现对整个站点、整个域、或某个特定OU的计算机和用户的管理控制。五、组策略的管理和维护1.创建组策略在域环境中已经有了一套默认的域组策略,我们可以通过对默认域策略进行配置,实现我们对全域里的计算机和用户管理配置。但这不是一种好的做法。通常我们需要进行配置管理时都将新建一套组策略来进行配置实现管理。要新建立一个组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台在组策略管理控制台,右键点选”组策略对象”，点“新建”在新建GPO对话框输入要新建的组策略名称，一般推荐命名时体现该组策略将要实现的管理功能以及应用的范围，如下图“财务部门软件部署策略”，这样有利于将来对大量的组策略进行管理，甚至排错。输入完成后点击确定，这样就创建好了，接下来就可以点选创建好的组策略进行编辑配置。2.链接组策略在我们建立好了一些新的组策略后，还需要将组策略与容器对象链接起来，以实现管理目的。我们可以链接的容器有站点、域和OU，通过对不同的容器进行链接，可以达到对管理范围的控制。比如我们只需要对Sales部门的计算机或用户进行一些基于组策略的管理配置，那么我们就可以将某个新建立的组策略与Sales部门的OU进行链接。链接组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台，在控制台上选择好需要链接策略站点、域或者OU，右键后选择“链接现有GPO”，下图以财务部OU链接“财务部门软件部署策略”组策略为例。3组策略应用顺序组策略由于应用范围划分可以分为站点级别组策略、域级别组策略、OU级别组策略以及本地计算机策略。对于一台客户端一定是属于某一个站点、某一个域、某一个OU的，那么各个级别的组策略客户端都将应用，它们的应用生效的顺序是最接近目标计算机的组策略优先于组织结构中更远一点的组策略。如下图：该顺序意味着首先会处理本地组策略，最后处理链接到计算机或用户直接所属的组织单位的组策略，后处理的组策略会覆盖先处理的组策略中有冲突的设置。（如果不存在冲突，则只是将之前的设置和之后的设置进行结合。）4组策略的阻止和强制继承从上一节我们了解到的组策略应用顺序，其实就是一个默认继承的规则。在域内次一级的容器会默认继承使用上一级的容器链接的组策略。假设在域策略中我们设置了用户不允许更改桌面的策略配置，那么该域内的财务部门OU中的用户默认情况下都会应用该策略配置。但是我们可以根据实际应用需求去人为的干预默认的继承规则，可以阻止或强制继承。阻止继承：在“组策略管理”控制台中，右键选择要不继承上一级容器组策略的容器，选择阻止。如图：强制继承：在实际应用中有时我们需要上一级容器的组策略配置被应用到子容器中去，并且要求在冲突时不被子容器的策略覆盖，我们这时就可以使用强制继承。同样在“组策略管理控制台”上，右键点选上一级的组策略对象，然后选择“强制”，如图：5组策略备份打开组策略管理控制台,在控制台树中，展开“组策略对象”。要备份单个GPO，右键单击该GPO，然后单击“备份”。要备份域中的所有GPO，右键单击“组策略对象”，然后单击“全部备份”。在“备份组策略对象”对话框中，输入您想保存备份的路径到“位置”框，或单击“浏览”定位到您想保存备份的文件夹，然后单击“确定”。在“描述”框中，输入您要备份的的描述，然后单击“备份”。操作完成后，单击“确定”。六、组策略应用场景举例1.应用组策略设置用户工作环境在这类场景中我们假定要对整个域内的用户工作环境做一些统一的设定，因此新建了一套组策略“全域用户工作环境策略”并链接到了域级别容器上，而后开逐项配置（好的做法是在逐项配置完成后再链接到相应容器），如图：应用组策略来设定工作环境的配置项非常之多，在本节我们以四个场景为例：场景1实现“我的文档”文件夹重定向，确保用户在网络中任意节点登陆，都可访问各自的数据，且确保不因为客户端故障导致“我的文档”中文件丢失。步骤1：在域内文件服务器上新建一个共享文件夹，并赋予此文件所有用户都有通过网络访问的读写权限。这里假定共享文件夹的访问路径