第15章组策略

第15章组策略本章的任务了解什么是组策略，有多个组策略时，组策略的应用顺序了解组策略的创建方法根据企业需要，创建或修改不同级别的组策略使用组策略为企业用户或者计算机制定统一的环境使用组策略统一发布、升级、修改软件15.1组策略介绍15.1.1理解组策略Windows组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。安装了活动目录后，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置等，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。组策略仍然允许用户在保持标准的系统配置的同时，也能定制自己的配置。15.1.2各种组策略本地安全策略与本地策略:本地安全策略只是本地策略的一部分。查看本地策略查看本地策略查看本地策略默认域策略默认域策略：域策略会应用到整个域，域策略存储在域控制器上默认域控制器策略默认域控制器策略是应用到域中的域控制器的DefaultDomainControllersPolicy”策略，这个策略就是默认域控制器策略，是安装WindowsServer2008时自动创建的、仅应用到域控制器上的策略。组织单元上的策略组策略也常常在组织单元上实施，如果我们在这个组织单元上实施组策略，那么这个策略将对这个组织单元中的计算机和用户起作用。ActiveDirectory环境中的各组策略的作用范围1.默认或创建的域策略：作用于整个域中的计算机和用户2.默认或创建的域控制器策略：作用于整个域中的全部域控制器3.组织单元上的策略：作用于整个组织单元的计算机和用户4.本地策略：所有的计算机和用户15.1.3策略的应用顺序首先是本地策略，然后是域策略，最后是组织单元或者域控制器上的策略，如果组织单元下还有组织单元则从上级到下级应用各个组织单元上的策略。组策略是可以继承的，组织单元或域控制器会继承域的组策略，下一级组织单元会继承上一级组织单元上的策略。15.1.4组策略规划如果是针对所有计算机或者用户的策略，应该在域这一级的策略上设置。如果是针对各部门的策略，应该在组织单元这一级的策略上设置。15.2组策略的管理15.2.1创建新的组策略每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略；而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略。选择域或者要创建组策略的组织单元，右击鼠标，选择菜单中的“在这个域中创建GPO并在此处链接”15.2.1创建新的组策略一个是新创建的组策略，该策略优先级为1，优先级最高；另一个组策略是从域继承下来的，优先级为2，优先级较低。15.2.1创建新的组策略15.2.2编辑组策略组策略的属性计算机配置”是针对计算机做的配置，而不管是哪个用户在该计算机上登录都会生效的；“用户配置”是针对用户做的配置，而不管用户是在哪台计算机上登录都会生效的。组策略的属性单击“立即查找”按钮可以查找该策略被应用在域中的何处，这对于维护组策略来说是非常重要的。组策略的属性可以控制哪些用户对该组策略的控制权限，例如创建子对象，单击“高级”按钮可以控制对组策略的审核设置策略项设置策略项策略项的三种选择刷新策略在域控制器上配置了组策略后，普通的计算机90分钟刷新组策略，新的组策略才生效；对于域控制器，5分钟刷新。可以手工进行刷新，语法为：gpupdate[/Target:{Computer|User}][/Force]策略的结果集组策略是如此复杂，以至于我们在设置组策略时可能无法准确知道最后的结果会是怎样，好在微软提供查看组策略结果集的工具策略的结果集策略的结果集策略的结果集策略的结果集15.2.3管理组策略在ActiveDirectory环境中，我们介绍过组策略的应用顺序是：本地策略、域策略、组织单元策略、子组织单元策略；在同一级的组织单元上也可以有多个组策略存在。我们可以管理这些组策略之间的关系。改变组策略的排列顺序改变组策略的排列顺序:排在列表上面的组策略具有较高的优先级，也就是说上面的组策略会替代下面的组策略。选中相应的策略，单击“▲”和“▼”可以改变这些组策略的排列顺序，从而改变组策略的优先级。改变策略的继承关系默认时，组织单元会继承域上的组策略，子组织单元会继承父组织单元的组策略，然而我们可以改变这一行为。在图选中“阻止继承”菜单，则该组织单元就不会继承域上的组策略。强制策略的继承关系可以强制策略的继承，则组织单元上采取阻止措施也不能阻止该组策略被继承了。组策略的设置举例组策略名称禁止替代“文件”菜单：禁止“另存为”“文件”菜单：禁止“新建”“文件”菜单：禁止“打开”隐藏“收藏”菜单DefaultDomainPolicy√启用启用未设置未设置行政部组策略╳停用未设置启用启用行政部组策略2╳未设置停用停用未设置结果启用启用停用启用15.3使用组策略定制用户环境、安全设置15.3.1设置IE浏览器的主页15.3.2设置密码策略15.3.3帐户锁定策略15.3.4Windows防火墙设置15.3.5时间提供程序15.3.6禁止安装可移动设备15.4使用组策略发布软件15.4.1软件部署简介将软件分配给用户：当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装：开始运行此软件：例如用户登录后执行操作：“开始”“所有程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。利用“文件启动”功能：例如假设这个被“通告”的程序为MicrosoftExcel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与MicrosoftExcel关联在一起，此时用户只要双击扩展名为.xls的文件，系统就会自动安装MicrosoftExcel。将软件分配给计算机当将一个软件通过组策略分配给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到DocumentsandSettings\AllUsers文件夹内。任何用户登录后，都可以使用此软件。将软件发布给用户当将一个软件通过组策略发布给域内的用户后，该软件不会自动安装到用户的计算机内，用户需要通过以下两种方式来安装这个软件：执行操作：“开始”“控制面板”“添加或删除程序”“添加程序”。利用“文件启动”功能：举例说，假设这个被发布的软件为,MicrosoftExcel，虽然在ActiveDirectory内会自动将扩展名为.xls的文件与MicrosoftExcel关联在一起，可是用户登录时，他的计算机不会自动将扩展名为.xls的文件与MicrosoftExcel关联在一起，也就是对此计算机来说，扩展名为.xls的文件是一个“未知文件”，不过只要用户双击扩展名为.xls的文件，他的计算机就会通过ActiveDirectory得知扩展名为.xls的文件是与MicrosoftExcel关联在一起，因此会自动安装MicrosoftExcel。自动修复软件一个被发布或分配的软件，在安装完成后，如果此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常现象，并且会自动修复、重新安装此软件。删除软件一个被发布或分配的软件，在用户将其安装完成后，如果不想再让用户使用此软件，只要将该程序从组策略内发布或分配的软件清单删除，并设置下次用户登录或计算机启动时删除，系统会自动删除这个软件。15.4.2发布或分配软件发布或分配软件前的准备工作：步骤1：在服务器上创建共享文件夹把文件夹共享出来，确保组策略会影响到的各用户对目录至少具有读的权限。步骤2：在一客户端测试是否可以正常访问共享文件夹。步骤3：准备合适的被部署软件，把软件拷贝到共享文件夹下，可以根据需要建立子文件夹。组策略对被部署的软件有一定的要求，通常是MSI文件，如果是EXE文件，请按照后面小节介绍的方法打包。发布或分配软件发布或分配软件发布或分配软件发布或分配软件在客户端，以“研发部”组织单元下的用户登录到域，从“开始”“程序”菜单中，应该可以看到“MicrosoftActiveSync”菜单，如图。该软件并未实际安装，单击该菜单项可以开始安装。应该把域用户加入到本地的管理员组中，否则安装软件会失败。部署EXE软件有两种方法部署EXE文件，第一种是使用ZAP文件来包装EXE文件第二种是使用MSI文件包装EXE文件。前者容易实现，但是只能发布软件，而不能分配软件，不提供升级软件功能。该方法实现起来困难，需要使用第三方软件。使用ZAP文件来包装EXE文件步骤1：把被发布的文件“IE8-WindowsXP-x86-CHS.exe”拷贝到共享文件夹下。步骤2：在和EXE同一目录下，创建以“.ZAP”为后缀的文件，内容为：[Application]Friendlyname=TESTSetupcommand=\\192.168.0.1\SoftWare-R&D\IE8.0-XP\IE8-WindowsXP-x86-CHS.exe步骤3：发布ZAP文件。在组策略的编辑窗口中，依次展开“用户配置”“策略”“软件设置”“软件安装”，右击“软件安装”新建数据包。在如图15-34窗口的右下角的列表框中选择“ZAW与早期版本应用程序数据包（*.ZAP）”，把ZAP文件进行发布。步骤4：在客户端上，从“控制面板”“添加或删除程序”“添加新程序”窗口，可以看到新发布的程序，双击它就可以进行安装了。15.4.3升级软件使用组策略对软件进行升级有两种方法：一种是软件本身能够识别版本，例如MicrosoftOffice2007能够检测计算机上安装的MicrosoftOffice2003，对于这种软件只需把新版的软件部署即可，用户在安装新版软件时就能升级旧版的软件；另一种是软件本身不能识别版本，我们可以通过组策略把旧版软件删除，再安装新版的软件。升级软件升级软件升级软件选中被升级的数据包15.4.4删除软件可以通过组策略统一删除软件立即从用户和计算机中卸载软件：则用户重新登录或者计算机重启时，数据包将被删除。允许用户继续使用软件，但阻止新的安装：则已经安装该数据包的用户可以继续使用软件，然而未安装数据包的用户将不能再安装此数据包。ThankYou.