目前大部分的公司都去購買MS的OS產品,剛推出不久的VISTA,以及即將面視的WINDOWS SERVER 2008,大家都已習慣了WINS的操作界面,不過在企業當中看中的是MS的AD的應用,而在AD中,能起到關鍵作用的就是"組策略",利用組策略管理域中的計算機和用戶工作環境,實現軟件分發等一系列功能,快速便捷的幫助管理員完成煩瑣的工作.
但要了解組策略的使用,不是瞭解它的具體有哪些選項,而是要掌握它的應用規則!
那麼我們開始學習組策略吧:
1.理解組策略作用:
組策略又稱Group Policy
組策略可以管理計算機和用戶
組策略可以管理用戶的工作環境、登錄註銷時執行的腳本、文件夾重定向、軟件安裝等
使用組策略可以:
a)對域設置組策略影響整個域的工作環境,對OU設置組策略影響本OU下的工作環境
b)降低佈置用戶和計算機環境的總費用
因爲只須設置一次,相應的用戶或計算機即可全部使用規定的設置
減少用戶不正確配置環境的可能性
c)推行公司使用計算機規範
桌面環境規範
安全策略
總結:
a)集中化管理
b)管理用戶環境
c)降低管理用戶的開銷
d)強制執行企業策略
總之組策略給企業和管理員帶了高效率,地成本.原來做同樣的工作需要10個管理員要忙10天都不能完成的事情,如果使用組策略1個管理員在一天的工作日就把事情全搞定,而且還有時間做下來喝咖啡.聽起來好像不太可能,而事實得到了證明,但那你需要掌握組策略的應用規則.
2.組策略的結構
組策略的具體設置數據保存在GPO中
創建完AD後系統默認的2個GPO:默認域策略和默認域控制器策略
GPO所鏈接的對象:S(站點)D(域)OU(組織單位),當然也可以應用在"本地"
GPO控制的對象:SDOU中的計算機和用戶
GPO的組件存儲在2個位置:
GPC(組策略容器)與GPT(組策略模板)
GPC:GPC是包含GPO屬性和版本信息的活動目錄對象
GPT:GPT在域控制器的共享系統卷(SYSVOL)中,是一種文件夾層次結構
而且組策略更改後不是立即生效,需要經過一個刷新時間:
我們剛纔說了組策略應用的對象是計算機帳號和用戶帳號,那麼打開組策略編輯器可以看到:
在此我們就來講解組策略的應用規則,也就是使用方法:
3.理解組策略應用順序:站點-域-OU-子OU,當然在同一級容器也可以創建多個GPO,如下圖所示:
4.掌握組策略繼承
在不同層次的容器上設置GPO或在同一層次的容器上設置了多個GPO,只要策略之間無衝突,那麼所有策略都會做累加.
還有上層容器做了GPO,那麼下層容器會繼承上層容器的策略.
5.阻止繼承操作
剛纔說到下層容器會繼承上層容器的策略,那麼下層容器也可以阻止上層容器的策略,那麼上層容器的策略就不會繼承到下層了.方法是只需要在下層容器設置"阻止繼承"即可:
6.掌握組策略強制生效
下層容器也可以阻止上層容器的策略,那麼反過來上級容器也可以把策略強制給下級容器,那麼不管下層容器有沒有選擇"阻止繼承",都不生效,上層容器的策略都會繼承下來,所以總結就是上層容器選擇了"強制",而下層容器同時選擇了"阻止',兩個都存在,那麼"強制"優先級高,方法只需要在上層容器設置"強制"即可:
7.剛纔我們知識談了策略沒有衝突的時候,如果有衝突了聽誰的呢?那麼就請大家切記以下幾點:
1.如果同一個容器的計算機策略和用戶策略都設置了,但這2個的策略之間相互衝突,並且這個容器下的用戶帳戶恰好登錄了這臺計算機,那麼計算機策略和用戶策略同時都要生效,這時計算機策略覆蓋用戶策略!
2.不同層次的策略產生衝突時,子容器上的GPO優先級高!
3.同一個容器上多個GPO產生衝突時,處於GPO列表最高位置的GPO優先級最高!
總體原則:默認情況下後執行的優先級高。如果上層做強制,下層做阻止,並且上下有衝突,那麼強制優先級最高!
8.篩選組策略設置
a)GPO都是應用於容器下的所有的計算機和用戶,但在實際中會有這樣的需求,例如學術部的所有普通用戶都要受GPO的約束,而經理不受此約束,這個功能靠篩選來實現,篩選可以實現阻止一個GPO應用於容器內部的特定計算機和用戶。
b)容器中計算機和用戶之所以受到GPO的影響,是因爲他們對GPO擁有讀取和應用組策略的權限。如果用戶或計算機帳戶沒有讀取和應用組策略的權限,組策略將拒絕執行。
篩選可以阻止一個GPO應用於容器內的特定計算機和用戶,設置讀取和應用組策略的權限
9.掌握軟件分發方式:指派與發佈
分發軟件的步驟:
a)提供一個.msi的程序放在一個共享文件夾
b)利用組策略的軟件安裝找路徑(網絡路徑)
c)選擇發佈/指派軟件
指派與發佈的區別
a)指派, 程序在【開始】菜單中
b)發佈, 程序顯示在【控制面板】|【添加/刪除程序】中
指派軟件:
a)將軟件指派計算機
計算機啓動時軟件將自動安裝在計算機裏
安裝在Documents and Settings\All Users
b)將軟件指派用戶
不會自動安裝軟件本身
只安裝軟件相關的部分信息,如快捷方式
何時自動安裝
開始運行此軟件
發佈軟件:
a)不能將軟件發佈到計算機
b)將軟件發佈到用戶
不會自動安裝軟件本身
何時自動安裝
“控制面板”-“添加或刪除程序”-“添加新程序”
那麼最後我們來做一個指派給用戶安裝OFFICE軟件的實驗:
1.首先把要分發的軟件包放在共享文件夾中,並給之相應的權限:
2.DC中打開"AD用戶與計算機"工具,爲指定的OU設置組策略,該OU下有個用戶爲USERB:
3.在軟件設置的軟件安裝,選擇新建程序包:
4.找到指定的共享文件夾(一定是要網絡路徑):
5.選擇"指派":
6.由於組策略生成後需要有個刷新時間,可以使用命令"gpupdate /force"進行立即生效:
7.使用USERB用戶登錄系統後可以看到程序中已經有了OFFICE工具:
8.不過不要高興,因爲我們選擇的是"指派給用戶",那麼當用戶登錄系統時看到的OFFICE程序其實沒有真正安裝,但第一次點擊時纔開始真正的安裝過程,如下圖.不過如果選擇是"指派給計算機"的話,那麼這臺指定的計算機開機時會很慢很慢,但當計算機進入系統後就會發現OFFICE已經安裝成功了.
值得一提的是,如果剛纔指派的這個用戶沒有相應的權限,那麼當他執行軟件安裝時也會彈出"無法安裝",因爲沒權限,這點需要注意,要事先給用戶相應的權限!
9.修復軟件
a)一個被髮布或者指派的軟件,在安裝完成後,如果軟件程序內有關鍵性的文件損壞、遺失或者被用戶不小心刪除,系統會探測到此不正常的現象,並且會自動修復、重新安裝此軟件。
b)如果原來軟件分發點上的安裝文件發生丟失或損壞
在服務器上修復該軟件的源文件
重新部署一次
10.刪除軟件
【立即從用戶和計算機卸載軟件】:下一次用戶登錄或計算機啓動時,軟件會被強制刪除
【允許用戶繼續使用軟件,但禁止新的安裝】:用戶和計算機仍可繼續執行使用軟件,但不允許重新安裝
11.升級軟件
舉例:
Office2000升級到Office2003
Visio2000升級到visio2002
a)強制升級
會強制用戶將當前軟件升級到新的版本
b)可選升級
允許用戶同時使用一個應用程序的兩個版本
12.組策略中的腳本應用
計算機設置(開機和關機)和用戶設置(登錄和註銷)共有四種不同應用環境
下面我們來做一個用戶登錄腳本實驗:
a)打開組策略的用戶-腳本-登錄:
b)打開登錄腳本:
c)在桌面上創建一個*.vbs的腳本文件:
d)添加腳本:
e)找到腳本指定要放到的LOGON文件夾內(網絡路徑,必須要放在這裏才能生效):
f)立即刷新:
g)登錄界面:
