域组策略应用详解
Win2003域之组策略应用
目前大部分的公司都去购买MS 的OS 产品, 刚推出不久的VISTA, 以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS 的操作界面, 不过在企业当中看中的是MS 的AD 的应用, 而在AD 中, 能起到关键作用的就是" 组策略", 利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能, 快速便捷的帮助管理员完成烦琐的工作.
但要了解组策略的使用, 不是了解它的具体有哪些选项, 而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1. 理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户
组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以:
a) 对域设置组策略影响整个域的工作环境,对OU 设置组策略影响本OU 下的工作环境 b) 降低布置用户和计算机环境的总费用
因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c) 推行公司使用计算机规范 桌面环境规范 安全策略 总结: a) 集中化管理 b) 管理用户环境 c) 降低管理用户的开销 d) 强制执行企业策略
总之组策略给企业和管理员带了高效率, 地成本. 原来做同样的工作需要10个管理员要忙10天都不能完成的事情, 如果使用组策略1个管理员在一天的工作日就把事情全搞定, 而且还有时间做下来喝咖啡. 听起来好像不太可能, 而事实得到了证明, 但那你需要掌握组策略的应用规则.
2. 组策略的结构
组策略的具体设置数据保存在GPO 中
创建完AD 后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO 所链接的对象:S(站点)D(域)OU(组织单位), 当然也可以应用在" 本地" GPO 控制的对象:SDOU中的计算机和用户
GPO 的组件存储在2个位置:
GPC (组策略容器)与GPT (组策略模板)
GPC :GPC 是包含GPO 属性和版本信息的活动目录对象
GPT :GPT 在域控制器的共享系统卷(SYSVOL )中,是一种文件夹层次结构
而且组策略更改后不是立即生效, 需要经过一个刷新时间:
我们刚才说了组策略应用的对象是计算机帐号和用户帐号, 那么打开组策略编辑器可以看到
:
在此我们就来讲解组策略的应用规则, 也就是使用方法:
3. 理解组策略应用顺序:站点-域-OU-子OU, 当然在同一级容器也可以创建多个GPO, 如下图所示:
4. 掌握组策略继承
在不同层次的容器上设置GPO 或在同一层次的容器上设置了多个GPO, 只要策略之间无冲突, 那么所有策略都会做累加.
还有上层容器做了GPO, 那么下层容器会继承上层容器的策略.
5. 阻止继承操作
刚才说到下层容器会继承上层容器的策略, 那么下层容器也可以阻止上层容器的策略, 那么上层容器的策略就不会继承到下层了. 方法是只需要在下层容器设置" 阻止继承" 即可:
6. 掌握组策略强制生效
下层容器也可以阻止上层容器的策略, 那么反过来上级容器也可以把策略强制给下级容器, 那么不管下层容器有没有选择" 阻止继承", 都不生效, 上层容器的策略都会继承下来, 所以总结就是上层容器选择了" 强制", 而下层容器同时选择了" 阻止', 两个都存在, 那么" 强制" 优先级高, 方法只需要在上层容器设置" 强制" 即可:
7. 刚才我们知识谈了策略没有冲突的时候, 如果有冲突了听谁的呢? 那么就请大家切记以下几点:
1. 如果同一个容器的计算机策略和用户策略都设置了, 但这2个的策略之间相互冲突, 并且这个容器下的用户帐户恰好登录了这台计算机, 那么计算机策略和用户策略同时都要生效, 这时计算机策略覆盖用户策略!
2. 不同层次的策略产生冲突时,子容器上的GPO 优先级高!
3. 同一个容器上多个GPO 产生冲突时,处于GPO 列表最高位置的GPO 优先级最高!
总体原则:默认情况下后执行的优先级高。如果上层做强制, 下层做阻止, 并且上下有冲突, 那么强制优先级最高!
8. 筛选组策略设置
a)GPO 都是应用于容器下的所有的计算机和用户, 但在实际中会有这样的需求, 例如学术部的所有普通用户都要受GPO 的约束, 而经理不受此约束, 这个功能靠筛选来实现, 筛选可以实现阻止一个GPO 应用于容器内部的特定计算机和用户。
b) 容器中计算机和用户之所以受到GPO 的影响,是因为他们对GPO 拥有读取和应用组策略的权限。如果用户或计算机帐户没有读取和应用组策略的权限,组策略将拒绝执行。
筛选可以阻止一个GPO 应用于容器内的特定计算机和用户, 设置读取和应用组策略的权限
9. 掌握软件分发方式:指派与发布 分发软件的步骤:
a) 提供一个.msi 的程序放在一个共享文件夹 b) 利用组策略的软件安装找路径(网络路径) c) 选择发布/指派软件 指派与发布的区别
a) 指派, 程序在【开始】菜单中
b) 发布, 程序显示在【控制面板】|【添加/删除程序】中 指派软件:
a) 将软件指派计算机
计算机启动时软件将自动安装在计算机里 安装在Documents and Settings\All Users b) 将软件指派用户 不会自动安装软件本身
只安装软件相关的部分信息,如快捷方式 何时自动安装 开始运行此软件 发布软件:
a) 不能将软件发布到计算机 b) 将软件发布到用户 不会自动安装软件本身 何时自动安装
“控制面板”-“添加或删除程序”-“添加新程序”
那么最后我们来做一个指派给用户安装OFFICE 软件的实验:
1. 首先把要分发的软件包放在共享文件夹中, 并给之相应的权限:
2.DC 中打开"AD 用户与计算机" 工具, 为指定的OU 设置组策略, 该OU 下有个用户为
USERB:
3. 在软件设置的软件安装, 选择新建程序包
:
4. 找到指定的共享文件夹(一定是要网络路径):
5. 选择" 指派":
6. 由于组策略生成后需要有个刷新时间, 可以使用命令"gpupdate /force"进行立即生效:
7. 使用USERB 用户登录系统后可以看到程序中已经有了OFFICE 工具
:
8. 不过不要高兴, 因为我们选择的是" 指派给用户", 那么当用户登录系统时看到的OFFICE 程序其实没有真正安装, 但第一次点击时才开始真正的安装过程, 如下图. 不过如果选择是" 指派给计算机" 的话, 那么这台指定的计算机开机时会很慢很慢, 但当计算机进入系统后就会发现OFFICE 已经安装成功了.
值得一提的是, 如果刚才指派的这个用户没有相应的权限, 那么当他执行软件安装时也会弹出" 无法安装", 因为没权限, 这点需要注意, 要事先给用户相应的权限
!
9. 修复软件
a) 一个被发布或者指派的软件,在安装完成后,如果软件程序内有关键性的文件损坏、遗失或者被用户不小心删除,系统会探测到此不正常的现象,并且会自动修复、重新安装此软件。
b) 如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件
重新部署一次
10. 删除软件
【立即从用户和计算机卸载软件】:下一次用户登录或计算机启动时,软件会被强制删除
【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装
11. 升级软件
举例:
Office2000升级到Office2003
Visio2000升级到visio2002
a) 强制升级
会强制用户将当前软件升级到新的版本
b) 可选升级
允许用户同时使用一个应用程序的两个版本
12. 组策略中的脚本应用
计算机设置(开机和关机) 和用户设置(登录和注销) 共有四种不同应用环境 下面我们来做一个用户登录脚本实验:
a) 打开组策略的用户-脚本-登录
:
b) 打开登录脚本
:
c) 在桌面上创建一个*.vbs的脚本文件
:
d) 添加脚本
:
e) 找到脚本指定要放到的LOGON 文件夹内(网络路径, 必须要放在这里才能生效
):
f) 立即刷新
:
g) 登录界面
: