WINDOWS SERVER 2003從入門到精通之組策略應用
阿新 • • 發佈:2020-10-09
目前大部分的公司都去購買MS的OS產品,剛推出不久的VISTA,以及即將面視的WINDOWS SERVER 2008,大家都已習慣了WINS的操作介面,不過在企業當中看中的是MS的AD的應用,而在AD中,能起到關鍵作用的就是"組策略",利用組策略管理域中的計算機和使用者工作環境,實現軟體分發等一系列功能,快速便捷的幫助管理員完成煩瑣的工作.
但要了解組策略的使用,不是瞭解它的具體有哪些選項,而是要掌握它的應用規則!
那麼我們開始學習組策略吧:
1.理解組策略作用: 組策略又稱Group Policy
組策略可以管理計算機和使用者
組策略可以管理使用者的工作環境、登入登出時執行的指令碼、資料夾重定向、軟體安裝等
使用組策略可以:
a)對域設定組策略影響整個域的工作環境,對OU設定組策略影響本OU下的工作環境
b)降低佈置使用者和計算機環境的總費用
因為只須設定一次,相應的使用者或計算機即可全部使用規定的設定
減少使用者不正確配置環境的可能性
c)推行公司使用計算機規範
桌面環境規範
安全策略 總結: a)集中化管理
b)管理使用者環境
c)降低管理使用者的開銷
d)強制執行企業策略 總之組策略給企業和管理員帶了高效率,地成本.原來做同樣的工作需要10個管理員要忙10天都不能完成的事情,如果使用組策略1個管理員在一天的工作日就把事情全搞定,而且還有時間做下來喝咖啡.聽起來好像不太可能,而事實得到了證明,但那你需要掌握組策略的應用規則.
建立完AD後系統預設的2個GPO:預設域策略和預設域控制器策略
GPO所連結的物件:S(站點)D(域)OU(組織單位),當然也可以應用在"本地"
GPO控制的物件:SDOU中的計算機和使用者 GPO的元件儲存在2個位置:
GPC(組策略容器)與GPT(組策略模板)
GPC:GPC是包含GPO屬性和版本資訊的活動目錄物件
GPT:GPT在域控制器的共享系統卷(SYSVOL)中,是一種資料夾層次結構
而且組策略更改後不是立即生效,需要經過一個重新整理時間:
我們剛才說了組策略應用的物件是計算機帳號和使用者帳號,那麼開啟組策略編輯器可以看到:
4.掌握組策略繼承
在不同層次的容器上設定GPO或在同一層次的容器上設定了多個GPO,只要策略之間無衝突,那麼所有策略都會做累加.
還有上層容器做了GPO,那麼下層容器會繼承上層容器的策略.
5.阻止繼承操作
剛才說到下層容器會繼承上層容器的策略,那麼下層容器也可以阻止上層容器的策略,那麼上層容器的策略就不會繼承到下層了.方法是隻需要在下層容器設定"阻止繼承"即可:
6.掌握組策略強制生效
下層容器也可以阻止上層容器的策略,那麼反過來上級容器也可以把策略強制給下級容器,那麼不管下層容器有沒有選擇"阻止繼承",都不生效,上層容器的策略都會繼承下來,所以總結就是上層容器選擇了"強制",而下層容器同時選擇了"阻止',兩個都存在,那麼"強制"優先順序高,方法只需要在上層容器設定"強制"即可:
7.剛才我們知識談了策略沒有衝突的時候,如果有衝突了聽誰的呢?那麼就請大家切記以下幾點:
1.如果同一個容器的計算機策略和使用者策略都設定了,但這2個的策略之間相互衝突,並且這個容器下的使用者帳戶恰好登入了這臺計算機,那麼計算機策略和使用者策略同時都要生效,這時計算機策略覆蓋使用者策略!
2.不同層次的策略產生衝突時,子容器上的GPO優先順序高!
3.同一個容器上多個GPO產生衝突時,處於GPO列表最高位置的GPO優先順序最高!
總體原則:預設情況下後執行的優先順序高。如果上層做強制,下層做阻止,並且上下有衝突,那麼強制優先順序最高! 8.篩選組策略設定 a)GPO都是應用於容器下的所有的計算機和使用者,但在實際中會有這樣的需求,例如學術部的所有普通使用者都要受GPO的約束,而經理不受此約束,這個功能靠篩選來實現,篩選可以實現阻止一個GPO應用於容器內部的特定計算機和使用者。
b)容器中計算機和使用者之所以受到GPO的影響,是因為他們對GPO擁有讀取和應用組策略的許可權。如果使用者或計算機帳戶沒有讀取和應用組策略的許可權,組策略將拒絕執行。 篩選可以阻止一個GPO應用於容器內的特定計算機和使用者,設定讀取和應用組策略的許可權
9.掌握軟體分發方式:指派與釋出 分發軟體的步驟:
a)提供一個.msi的程式放在一個共享資料夾
b)利用組策略的軟體安裝找路徑(網路路徑)
c)選擇釋出/指派軟體
指派與釋出的區別
a)指派, 程式在【開始】選單中
b)釋出, 程式顯示在【控制面板】|【新增/刪除程式】中 指派軟體: a)將軟體指派計算機
計算機啟動時軟體將自動安裝在計算機裡
安裝在Documents and Settings\All Users
b)將軟體指派使用者
不會自動安裝軟體本身
只安裝軟體相關的部分資訊,如快捷方式
何時自動安裝
開始執行此軟體 釋出軟體: a)不能將軟體釋出到計算機
b)將軟體釋出到使用者
不會自動安裝軟體本身
何時自動安裝
“控制面板”-“新增或刪除程式”-“新增新程式” 那麼最後我們來做一個指派給使用者安裝OFFICE軟體的實驗: 1.首先把要分發的軟體包放在共享資料夾中,並給之相應的許可權:
2.DC中開啟"AD使用者與計算機"工具,為指定的OU設定組策略,該OU下有個使用者為USERB:
3.在軟體設定的軟體安裝,選擇新建程式包:
4.找到指定的共享資料夾(一定是要網路路徑):
5.選擇"指派":
6.由於組策略生成後需要有個重新整理時間,可以使用命令GPUPDATE進行立即生效:
7.使用USERB使用者登入系統後可以看到程式中已經有了OFFICE工具:
8.不過不要高興,因為我們選擇的是"指派給使用者",那麼當用戶登入系統時看到的OFFICE程式其實沒有真正安裝,但第一次點選時才開始真正的安裝過程,如下圖.不過如果選擇是"指派給計算機"的話,那麼這臺指定的計算機開機時會很慢很慢,但當計算機進入系統後就會發現OFFICE已經安裝成功了.
值得一提的是,如果剛才指派的這個使用者沒有相應的許可權,那麼當他執行軟體安裝時也會彈出"無法安裝",因為沒許可權,這點需要注意,要事先給使用者相應的許可權!
9.修復軟體
a)一個被髮布或者指派的軟體,在安裝完成後,如果軟體程式內有關鍵性的檔案損壞、遺失或者被使用者不小心刪除,系統會探測到此不正常的現象,並且會自動修復、重新安裝此軟體。
b)如果原來軟體分發點上的安裝檔案發生丟失或損壞
在伺服器上修復該軟體的原始檔
重新部署一次
10.刪除軟體
【立即從使用者和計算機解除安裝軟體】:下一次使用者登入或計算機啟動時,軟體會被強制刪除
【允許使用者繼續使用軟體,但禁止新的安裝】:使用者和計算機仍可繼續執行使用軟體,但不允許重新安裝 11.升級軟體 舉例:
Office2000升級到Office2003
Visio2000升級到visio2002
a)強制升級
會強制使用者將當前軟體升級到新的版本
b)可選升級
允許使用者同時使用一個應用程式的兩個版本
12.組策略中的指令碼應用
計算機設定(開機和關機)和使用者設定(登入和登出)共有四種不同應用環境
下面我們來做一個使用者登入指令碼實驗:
a)開啟組策略的使用者-指令碼-登入:
b)開啟登入指令碼:
c)在桌面上建立一個*.vbs的指令碼檔案:
d)新增指令碼:
e)找到指令碼指定要放到的LOGON資料夾內(網路路徑,必須要放在這裡才能生效):
f)立即重新整理:
g)登入介面:
最後我給大家共享一個WORD文件,是關於組策略的應用規則實驗.剛開始接觸組策略的可以做以參考.在我上傳的文件中!
1.理解組策略作用: 組策略又稱Group Policy
組策略可以管理計算機和使用者
組策略可以管理使用者的工作環境、登入登出時執行的指令碼、資料夾重定向、軟體安裝等
使用組策略可以:
a)對域設定組策略影響整個域的工作環境,對OU設定組策略影響本OU下的工作環境
b)降低佈置使用者和計算機環境的總費用
因為只須設定一次,相應的使用者或計算機即可全部使用規定的設定
減少使用者不正確配置環境的可能性
c)推行公司使用計算機規範
桌面環境規範
安全策略 總結: a)集中化管理
b)管理使用者環境
c)降低管理使用者的開銷
d)強制執行企業策略 總之組策略給企業和管理員帶了高效率,地成本.原來做同樣的工作需要10個管理員要忙10天都不能完成的事情,如果使用組策略1個管理員在一天的工作日就把事情全搞定,而且還有時間做下來喝咖啡.聽起來好像不太可能,而事實得到了證明,但那你需要掌握組策略的應用規則.
建立完AD後系統預設的2個GPO:預設域策略和預設域控制器策略
GPO所連結的物件:S(站點)D(域)OU(組織單位),當然也可以應用在"本地"
GPO控制的物件:SDOU中的計算機和使用者 GPO的元件儲存在2個位置:
GPC(組策略容器)與GPT(組策略模板)
GPC:GPC是包含GPO屬性和版本資訊的活動目錄物件
GPT:GPT在域控制器的共享系統卷(SYSVOL)中,是一種資料夾層次結構
而且組策略更改後不是立即生效,需要經過一個重新整理時間:
我們剛才說了組策略應用的物件是計算機帳號和使用者帳號,那麼開啟組策略編輯器可以看到:
4.掌握組策略繼承
在不同層次的容器上設定GPO或在同一層次的容器上設定了多個GPO,只要策略之間無衝突,那麼所有策略都會做累加.
還有上層容器做了GPO,那麼下層容器會繼承上層容器的策略.
5.阻止繼承操作
剛才說到下層容器會繼承上層容器的策略,那麼下層容器也可以阻止上層容器的策略,那麼上層容器的策略就不會繼承到下層了.方法是隻需要在下層容器設定"阻止繼承"即可:
6.掌握組策略強制生效
下層容器也可以阻止上層容器的策略,那麼反過來上級容器也可以把策略強制給下級容器,那麼不管下層容器有沒有選擇"阻止繼承",都不生效,上層容器的策略都會繼承下來,所以總結就是上層容器選擇了"強制",而下層容器同時選擇了"阻止',兩個都存在,那麼"強制"優先順序高,方法只需要在上層容器設定"強制"即可:
7.剛才我們知識談了策略沒有衝突的時候,如果有衝突了聽誰的呢?那麼就請大家切記以下幾點:
1.如果同一個容器的計算機策略和使用者策略都設定了,但這2個的策略之間相互衝突,並且這個容器下的使用者帳戶恰好登入了這臺計算機,那麼計算機策略和使用者策略同時都要生效,這時計算機策略覆蓋使用者策略!2.不同層次的策略產生衝突時,子容器上的GPO優先順序高!
3.同一個容器上多個GPO產生衝突時,處於GPO列表最高位置的GPO優先順序最高!
總體原則:預設情況下後執行的優先順序高。如果上層做強制,下層做阻止,並且上下有衝突,那麼強制優先順序最高! 8.篩選組策略設定 a)GPO都是應用於容器下的所有的計算機和使用者,但在實際中會有這樣的需求,例如學術部的所有普通使用者都要受GPO的約束,而經理不受此約束,這個功能靠篩選來實現,篩選可以實現阻止一個GPO應用於容器內部的特定計算機和使用者。
b)容器中計算機和使用者之所以受到GPO的影響,是因為他們對GPO擁有讀取和應用組策略的許可權。如果使用者或計算機帳戶沒有讀取和應用組策略的許可權,組策略將拒絕執行。 篩選可以阻止一個GPO應用於容器內的特定計算機和使用者,設定讀取和應用組策略的許可權
9.掌握軟體分發方式:指派與釋出 分發軟體的步驟:
a)提供一個.msi的程式放在一個共享資料夾
b)利用組策略的軟體安裝找路徑(網路路徑)
c)選擇釋出/指派軟體
指派與釋出的區別
a)指派, 程式在【開始】選單中
b)釋出, 程式顯示在【控制面板】|【新增/刪除程式】中 指派軟體: a)將軟體指派計算機
計算機啟動時軟體將自動安裝在計算機裡
安裝在Documents and Settings\All Users
b)將軟體指派使用者
不會自動安裝軟體本身
只安裝軟體相關的部分資訊,如快捷方式
何時自動安裝
開始執行此軟體 釋出軟體: a)不能將軟體釋出到計算機
b)將軟體釋出到使用者
不會自動安裝軟體本身
何時自動安裝
“控制面板”-“新增或刪除程式”-“新增新程式” 那麼最後我們來做一個指派給使用者安裝OFFICE軟體的實驗: 1.首先把要分發的軟體包放在共享資料夾中,並給之相應的許可權:
2.DC中開啟"AD使用者與計算機"工具,為指定的OU設定組策略,該OU下有個使用者為USERB:
3.在軟體設定的軟體安裝,選擇新建程式包:
4.找到指定的共享資料夾(一定是要網路路徑):
5.選擇"指派":
6.由於組策略生成後需要有個重新整理時間,可以使用命令GPUPDATE進行立即生效:
7.使用USERB使用者登入系統後可以看到程式中已經有了OFFICE工具:
8.不過不要高興,因為我們選擇的是"指派給使用者",那麼當用戶登入系統時看到的OFFICE程式其實沒有真正安裝,但第一次點選時才開始真正的安裝過程,如下圖.不過如果選擇是"指派給計算機"的話,那麼這臺指定的計算機開機時會很慢很慢,但當計算機進入系統後就會發現OFFICE已經安裝成功了.
值得一提的是,如果剛才指派的這個使用者沒有相應的許可權,那麼當他執行軟體安裝時也會彈出"無法安裝",因為沒許可權,這點需要注意,要事先給使用者相應的許可權!
9.修復軟體
a)一個被髮布或者指派的軟體,在安裝完成後,如果軟體程式內有關鍵性的檔案損壞、遺失或者被使用者不小心刪除,系統會探測到此不正常的現象,並且會自動修復、重新安裝此軟體。b)如果原來軟體分發點上的安裝檔案發生丟失或損壞
在伺服器上修復該軟體的原始檔
重新部署一次
10.刪除軟體
【立即從使用者和計算機解除安裝軟體】:下一次使用者登入或計算機啟動時,軟體會被強制刪除【允許使用者繼續使用軟體,但禁止新的安裝】:使用者和計算機仍可繼續執行使用軟體,但不允許重新安裝 11.升級軟體 舉例:
Office2000升級到Office2003
Visio2000升級到visio2002
a)強制升級
會強制使用者將當前軟體升級到新的版本
b)可選升級
允許使用者同時使用一個應用程式的兩個版本
12.組策略中的指令碼應用
計算機設定(開機和關機)和使用者設定(登入和登出)共有四種不同應用環境
下面我們來做一個使用者登入指令碼實驗:
a)開啟組策略的使用者-指令碼-登入:
b)開啟登入指令碼:
c)在桌面上建立一個*.vbs的指令碼檔案:
d)新增指令碼:
e)找到指令碼指定要放到的LOGON資料夾內(網路路徑,必須要放在這裡才能生效):
f)立即重新整理:
g)登入介面:
最後我給大家共享一個WORD文件,是關於組策略的應用規則實驗.剛開始接觸組策略的可以做以參考.在我上傳的文件中!