搜索
组策略是ActiveDirectory中非常重要的一项技术,很多朋友都听说过组策略对于管理的重要意义,也明白有些疑难问题可以用传说中的“策略”来解决。但并不清楚组策略该如何理解,如何部署,如何管理。今天起我们将组织一系列的博文为大家介绍组策略的来龙去脉,力争让大家可以更好地利用组策略来完善管理工作。我们首先从组策略的概念谈起,什么是组策略呢?组策略是一个允许执行针对用户或计算机进行配置的基础架构。这个概念听起来有些晦涩,不太容易理解。其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢?注册表只能针对一个用户或一台计算机进行设置,但组策略却可以针对多个用户和多台计算机进行设置。这个你明白组策略的优点了吧,在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。组策略和ActiveDirectory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和ActiveDirectory配合,组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的,本地计算机站点域OU。我们可以根据管理任务,为组策略选择合适的部署级别。组策略对象存储在两个位置,链接GPO的ActiveDirectory容器和域控制器上的Sysvol文件夹。GPO是组策略对象的缩写,GPO是组策略设置的集合,是存储在ActiveDirectory中的一个虚拟对象。GPO由组策略容器(GPC)和组策略模板(GPT)组成,GPC包含GPO的属性信息,存储在域中每台域控制器活动目录中;GPT包含GPO的数据,存储在Sysvol的/Policies子目录下。组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。至此,我们对组策略的功能,结构和管理工具都有了一定的了解,下篇博文中我们将通过实例为大家介绍如何对组策略进行部署及管理。在IT工程师的运维工作中,有很多没有技术含量的事务性操作是很令人头疼的,例如为客户机安装软件。有些朋友看到这里估计会很不以为然,想我等IT专业人士,纵横江湖多年,无论国内国外,正版盗版,安装个小小软件还不是手到擒来!其实不然,在一台机器上安装软件当然不难,要是让你在一千台机器上安装Office呢?想想看,要是用传统的方式一台一台地安装,操作者是很需要有一番直面惨淡人生的勇气的。因此,为客户机选择一种快速部署软件的解决方案就成了工程师们面临的一个问题。解决这个问题有多种备选方案,例如微软的SCCM,它在功能上非常令人满意,但是价格嘛….本文将为大家介绍一种性价比较高的软件部署解决方案-利用AD的组策略完成客户机软件部署。组策略部署软件的思路是把要部署的软件存储在文件服务器的共享文件夹中,然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。这样一来,我们只要设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。组策略进行软件安装有自己的特点,那就是组策略支持安装的软件不能是EXE格式。EXE是我们平时使用最多的可执行程序格式,组策略不支持EXE是个很大的遗憾,话又说回来了,要是组策略什么格式都支持,那SCCM的销售就要受影响了,呵呵。组策略支持的软件格式最好是MSI格式,ZAP或MST也是可以的。今天我们将通过一个实例为大家介绍如何通过组策略进行软件部署,拓扑如下图所示,Florence是域控制器,Istanbul是文件服务器,Perth是测试用的客户机。首先,我们要准备测试用的软件。我们准备的软件是微软的LiveWriter,这个软件想必各位博友是非常熟悉的,非常著名的离线博客工具。如图1所示,我们把LiveWriter存储在istanbul的一个共享文件夹中,大家可以看到程序的扩展名是MSI。图1准备好了软件,我们就可以来设置组策略了。在Florence上打开ActiveDirectory用户和计算机,如图2所示,右键点击人事部OU,准备为此OU创建一个组策略。人事部OU内有一个张建国用户,张建国用户使用的客户机就是Perth。图2如图3所示,我们在人事部OU的属性中切换到“组策略”标签,创建一个名为LiveWriter的组策略。图3如图4所示,编辑新创建的LiveWriter组策略属性,准备在组策略中设置软件安装。组策略可以针对用户或计算机进行软件安装设置,本例中我们将针对用户。在组策略中定位到用户配置-软件设置-软件安装,选择新建一个程序包。图4如图5所示,我们为新创建的程序包选择路径,\\instanbul\livewriter\writer.msi是我们要用组策略进行部署的软件。图5接下来要选择部署方式,可以选择发布或指派。发布和指派的区别在于,发布只能针对用户,而指派则既能针对用户也能针对计算机;而且指派有一定的强制性,但发布则不具有强制性。本文中我们选择的部署方式是发布,下篇博文中将为大家举一个指派的例子。图6组策略部署完毕,如图7所示,组策略已经从MSI文件中识别出了软件的版本。图7组策略设置完毕后,我们在客户机Perth上测试一下。由于此次组策略软件安装针对的是用户,因此我们需要让张建国用户注销后重新登录,这样策略才能生效。如图8所示,张建国登录后打开控制面板中的添加或删除程序,点击“添加新程序”,就可以看到有一个WindowsLiveWriter程序可供选择,点击“添加”就可以开始安装了。图8软件安装过程基本上没有什么提示,很快软件安装完毕,如图9所示,我们在Perth的程序组中看到了利用组策略部署的LiveWriter。图9组策略不仅能快速安装软件,也可以用于卸载软件。如图10所示,我们在组策略中找到新创建的程序包,在任务中选择“删除”。图10如图11所示,我们选择立即删除软件,但实际上必须等到用户注销重新登录后,软件的卸载策略才可以生效。图11我们在Perth上让用户张建国注销系统后重新登录,如图12所示,我们可以看到系统正在自动删除软件。图12如图13所示,LiveWriter已经被组策略成功卸载。从这个例子中,我们可以看到,组策略这种集中管理的思想用于实现软件安装还是相当的方便,下篇博文中我们将再为大家举一个软件指派的例子。图13上篇博文中我们介绍了如何利用组策略在客户机上安装软件,我们用分发的部署方式为大家举了一个软件安装的实例,本文中我们将为大家介绍如何用组策略通过指派的方法实现软件安装。指派可以针对用户,也可以针对计算机,相比较分发的部署方式更为灵活。实验拓扑如下图所示,我们这次准备部署的软件是Office2003。查看原图(大图)如图1所示,在文件服务器Istanbul的Office共享文件夹中,我们看到了Office2003的安装文件。由于组策略不能支持EXE文件,因此我们需要使用PRO11.MSI文件进行组策略指派。查看原图(大图)图1和上文类似,我们在域控制器上打开ActiveDirectory用户和计算机,如图2所示,在人事部OU上创建一个名为Office2003的组策略。图2如图3所示,我们在Office2003组策略内选择新建一个程序包,这个程序包仍然针对的是人事部OU内的用户。查看原图(大图)图3我们指定Istanbul服务器上Office共享文件夹内的PRO11.MSI是要进行安装的程序包。查看原图(大图)图4本次部署方式我们选择指派,和发布相比,指派具有一定的强制性。图5如图6所示,Office2003的程序包已经准备完毕。当启动作为域成员的基于Windows2000的计算机时,系统将处理链接的组策略对象(GPO)的“计算机设置”部分的组策略设置,并应用于该计算机。此外,当您登录到域时,系统将处理和应用每个链接的GPO的“用户配置”部分的所有组策略设置。由于Windows花费时间应用每个策略设置,因此策略设置可能减缓登录过程,这导致启动计算机到能够使用计算机之间出现时间间隔。您可以使用本文介绍的方法将这一间隔减至最小。如何减少已处理的GPO的数目Windows2000的启动和登录时间直接与需要处理的GPO数量成比例。链接到站点、域或组织单元的GPO由这些站点、域或组织单元的所有计算机和用户进行处理。要减少这些组策略设置的处理时间,请使用下列任意一种方法:使用组织单元。合并组策略设置。基于安全组成员身份筛选组策略。禁用部分组策略设置。如何使用组织单元使用组织单元以更加详细的形式分配组策略设置。将GPO链接到组织单元时,您可以将对不必要的GPO的处理减少到最小。要为组织单元创建一个GPO,请按照下列步骤操作:1.单击开始,指向程序,指向管理工具,然后单击“ActiveDirectory用户和计算机”。2.单击以扩展该域,右键单击要配置的组织单元,然后单击属性。3.单击组策略选项卡,然后单击新建。4.在新建组策略对象框中键入GPO的描述性名称,然后按ENTER键。5.单击属性,然后单击安全选项卡。6.对于您不希望应用此策略设置的安全组,单击清除允许列中的应用组策略复选框;对于您希望应用此策略设置的安全组,则单击选中允许列中的应用组策略复选框;然后单击确定。7.单击编辑,然后配置您想要使用的策略设置。8.当您配置完策略设置后,请退出“组策略”管理单元,然后单击关闭。9.退出“ActiveDirectory用户和计算机”管理单元。如何合并组策略设置Windows处理大量小GPO比处理少量大GPO要花费更长的时间。要减少登录到域所花的时间,请合并若干个GPO的设置以创建一个大的策略设置。如何基于安全组成员身份筛选组策略Windows处理所有链接的组策略设置,来确定要应用于登录到域的计算机或用户帐户的有效策略设置。如果某个GPO与特定的用户或组无关,您可以编辑安全权限,这样将不处理您选择的GPO:1.单击开始,指向程序,指向管理工具,然后单击“ActiveDirectory用户和计算机”。2.执行下列步骤之一:o如果您想要编辑链接到域的GPO的安全设置,则右键单击该域,然后单击属性。o如果您想要编辑链接到一个组织单元的GPO的安全设置,则单击展开该域,右键单击该组织单元,然后单击属性。3.单击组策略选项卡,单击要配置的GPO,然后单击属性。4.单击安全选项卡。5.对于您不希望应用此策略设置的安全组,单击以清除允许列中的应用组策略复选框,对于您希望应用此策略设置的安全组,则单击选中允许列中的应用组策略复选框。备注:要基于安全组成员身份限制GPO的应用程序,您必须从“名称”列表中删除AuthenticatedUsers组和Everyone组(如果它们存在)。如果启用了环回处理,请单击下面的文章编号,查看Microsoft知识库中相应的文章,并阅读其他说明。查找以“Themachineaccountoftheterminalserver”开头的句子。260370()HowtoApplyGroupPolicyObjectstoTerminalServicesServers6.单击确定,然后单击确定。7.退出“ActiveDirectory用户和计算机”管理单元。如何禁用组策略设置的未使用部分GPO包含“计算机配置”部分和“用户配置”部分。如果您希望应用的策略设置仅包含对该GPO的一个部分的配置更改,您可以配置该GPO以使系统不处理未使用的部分。此时,您可以减少Windows处理GPO所花的时间。1.单击开始,指向程序,指向管理工具,然后单击“ActiveDirect