入门篇

一、组策略概览

one to many

1.1 组策略执行顺序

本地策略→站点策略→域策略→父OU策略→子OU策略

后执行的优先级高

计算机策略优于用户策略

不同层次的策略产生冲突时，子容器上的GPO级别高

同一容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。

先处理2再1，1会覆盖2的设置,链接顺序对应优先级，执行先后顺序跟着箭头走

1为父ou策略，但因为强制优先级最高。

影响执行顺序：强制、阻止继承

1.2 安全筛选

组策略安全过滤

l 安全过滤

? 默认GPO权限-Authenticated Users

? 读取及应用组策略

? 删除Authenticated Users组

? 按照GPO设定创建安全组

? 为安全组分配权限

l 安全过滤vs.OUs

? 都是控制有效范围的方法

? 建议同时只使用一个方法

? 排错不便

1.3 03及xp家族组策略新特性

l 超多200个新增特性

l 新的组策略对象编辑器

l 新的工具

l 软件限制策略

l WMI过滤器

l Group Policy Modelling

l 组策略管理控制台

l GP scripting

结果检测

命令行下gpresult /v等

强制刷新

Gpresult /v

或者在mmc中添加策略结果集，如图

例：禁止用户运行记事本

新建组策略-用户策略-windows设置-软件限制策略-其他规则，新建路径规则，找到记事本程序notepad.exe，确定，路径可以这样写，%systemroot%\system32\notepad.exe 如果是其他程序，比如qq，不确定路径可以这样*QQ*。

修复默认的GPO

Dcgpofix

二、创建、编辑和应用组策略

组策略的存储位置

GPO

l 包含策略设置

l 存储于两个位置

GPC（组策略容器）

l 存储于AD中

l 提供版本信息

GPT（组策略模板）

l 存储于SYSVOL中

l 提供策略设置

三、软件部署

三种格式

MSI（windows installer package）

MST(windows installer Transform)

MSP(windows installer patch)

3.1部署MSI

? 软件部署进程

1、创建软件分发点（SDP）2、使用GPO部署软件3、改变软件部署的属性

? 指派软件

2 指派给计算机

计算机启动时安装

2 指派给用户

用户不需要拥有本地管理员权限。

不会自动安装，只会安装部分信息（如快捷方式）

2 何时自动安装

开始运行此软件

利用文件启动功能

? 发布软件

2 发布给用户，不能发布给计算机

不会自动安装

2 何时自动安装

控制面板

利用文件启动功能

? 自动修复软件

? 删除软件

通过组策略部署的软件可以删除

立即从用户及计算机

实例:

Note:可以先填写默认程序包位置，注意位置必须用计算机名表示

在计算机指派时只能部署MSI格式的

用户下可以部署ZAP和MSI两种格式

用户下分发与指派软件不需要客户端管理员权限

PS：测试发现一般微软的软件可以如office，有许多软件是不可以的

建立扩展名为.zap文件

? 只能发布给用户，不能指派给用户或计算机

? 不具备自动修复等windows installer package 才能拥有的特性

? 安装过程需要用户介入

? 用户需要在客户端具备安装软件的权限，例如系统管理员

自定义zap文件

新建记事本文件,里面填写

[application]

Friendlyname=”symentec norton client”

Setupcommand=\\win20003\soft$\setup.exe

Displayversion=”9.0”

Publisher=”symentec”

该扩展名为zap

3.2 部署非MSI文件

打包为MSI文件

? 第三方软件

Wininstall le AdminStudio Wise package studio Orca

3.3软件升级

? 强制升级（mandatory update）

旧版本软件被自动升级

安装新版本软件的快捷方式

? 选择升级

旧版本软件不会自动升级

控制面板添加

3.4重新部署

目的：为软件安装service pack 或补丁

如果补丁是

MSI:直接覆盖旧文件

Windows install patch MSP：使用以下命名更新windows installer package文件夹内的文件：

Msiexec /p .msp文件的路径与文件名 /a .msi文件的路径与文件名

修改文件

通过创建.mst文件来修改用户在安装windows installer package(.msi)时的设置

是否能搭配.mst文件安装msi,取决于该软件是否支持自定义安装以及是否提供建立.mst的工具而定。

3.5安装office 2003

新建组策略soft

用户配置-软件设置-软件安装-新建程序包-选择\\win2003\soft$\PRO11.MSI

高级-配置相关选项，自定义安装文件（如序列号），可以使用office 2003 resource kit

Mst文件在修改里可以添加

注意开始要选高级，不能选择发布或指派，这个添加按钮才可用。

打补丁

将MSP文件集成到msi中

Cmd下，msiexex /a e:\software\office2003\PRO11.msi /p gdiplus-Fullfile-GLB.msp

达到打office 2003的补丁

3.6分发office 2007

注意不支持用户指派和发布

Msi文件为里面的proplus.ww\Proplusww.msi

Mst文件在office.zh-cn\ShellUi.MST

密钥等其他选项可以在ProPlus.WW\config.xml中修改

将<!-- <PIDKEY Value="BCDFGHJKMPQRTVWXY2346789B" /> -->

替换为<PIDKEY Value="DBXYDTF47746YM4W74MH6YDQ8" />

3.7分发flash player

首先下载msi格式的flash player，可以到这里下载

http://www.adobe.com/products/flashplayer/distribution3.html

注意，用户发布或指派，需要有本地管理员权限才能安装，建议计算机指派

四、用户配置

用户配置文件类型

Default user profile

Local user profile

Roaming user profile漫游

Mandatory user profile 强制

Demo

4.1我的文档重定向

新建组策略-用户配置-windows设置-文件夹重定向-我的文档

第一项---基本-将每个人的文件夹重定向到同一位置，不推荐使用，会比较乱，所有文件在同一个文件夹  
推荐第二项&mdash;高级-为不同的用户组指定位置

客户端刷新后，在服务端可以看到，客户端的属性中也能看到路径