WINDOWS SERVER 2003从入门到精通之组策略应用
2024-06-07 05:10:54
目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作.
但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则!
那么我们开始学习组策略吧:
1.理解组策略作用:
1.理解组策略作用:
组策略又称Group Policy
组策略可以管理计算机和用户
组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等
使用组策略可以:
a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境
b)降低布置用户和计算机环境的总费用
因为只须设置一次,相应的用户或计算机即可全部使用规定的设置
减少用户不正确配置环境的可能性
c)推行公司使用计算机规范
桌面环境规范
安全策略
组策略可以管理计算机和用户
组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等
使用组策略可以:
a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境
b)降低布置用户和计算机环境的总费用
因为只须设置一次,相应的用户或计算机即可全部使用规定的设置
减少用户不正确配置环境的可能性
c)推行公司使用计算机规范
桌面环境规范
安全策略
总结:
a)集中化管理
b)管理用户环境
c)降低管理用户的开销
d)强制执行企业策略
b)管理用户环境
c)降低管理用户的开销
d)强制执行企业策略
总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构
组策略的具体设置数据保存在GPO中
创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略
GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地"
GPO控制的对象:SDOU中的计算机和用户
创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略
GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地"
GPO控制的对象:SDOU中的计算机和用户
GPO的组件存储在2个位置:
GPC(组策略容器)与GPT(组策略模板)
GPC:GPC是包含GPO属性和版本信息的活动目录对象
GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
GPC(组策略容器)与GPT(组策略模板)
GPC:GPC是包含GPO属性和版本信息的活动目录对象
GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
而且组策略更改后不是立即生效,需要经过一个刷新时间:
我们刚才说了组策略应用的对象是计算机帐号和用户帐号,那么打开组策略编辑器可以看到:
在此我们就来讲解组策略的应用规则,也就是使用方法:
3.理解组策略应用顺序:站点-域-OU-子OU,当然在同一级容器也可以创建多个GPO,如下图所示:
4.掌握组策略继承
在不同层次的容器上设置GPO或在同一层次的容器上设置了多个GPO,只要策略之间无冲突,那么所有策略都会做累加.
还有上层容器做了GPO,那么下层容器会继承上层容器的策略.
5.阻止继承操作
刚才说到下层容器会继承上层容器的策略,那么下层容器也可以阻止上层容器的策略,那么上层容器的策略就不会继承到下层了.方法是只需要在下层容器设置"阻止继承"即可:
6.掌握组策略强制生效
下层容器也可以阻止上层容器的策略,那么反过来上级容器也可以把策略强制给下级容器,那么不管下层容器有没有选择"阻止继承",都不生效,上层容器的策略都会继承下来,所以总结就是上层容器选择了"强制",而下层容器同时选择了"阻止',两个都存在,那么"强制"优先级高,方法只需要在上层容器设置"强制"即可:
7.刚才我们知识谈了策略没有冲突的时候,如果有冲突了听谁的呢?那么就请大家切记以下几点:
1.如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!
2.不同层次的策略产生冲突时,子容器上的GPO优先级高!
3.同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高!
总体原则:默认情况下后执行的优先级高。如果上层做强制,下层做阻止,并且上下有冲突,那么强制优先级最高!
2.不同层次的策略产生冲突时,子容器上的GPO优先级高!
3.同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高!
总体原则:默认情况下后执行的优先级高。如果上层做强制,下层做阻止,并且上下有冲突,那么强制优先级最高!
8.筛选组策略设置
a)GPO都是应用于容器下的所有的计算机和用户,但在实际中会有这样的需求,例如学术部的所有普通用户都要受GPO的约束,而经理不受此约束,这个功能靠筛选来实现,筛选可以实现阻止一个GPO应用于容器内部的特定计算机和用户。
b)容器中计算机和用户之所以受到GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机帐户没有读取和应用组策略的权限,组策略将拒绝执行。
b)容器中计算机和用户之所以受到GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机帐户没有读取和应用组策略的权限,组策略将拒绝执行。
筛选可以阻止一个GPO应用于容器内的特定计算机和用户,设置读取和应用组策略的权限
9.掌握软件分发方式:指派与发布
分发软件的步骤:
a)提供一个.msi的程序放在一个共享文件夹
b)利用组策略的软件安装找路径(网络路径)
c)选择发布/指派软件
指派与发布的区别
a)指派, 程序在【开始】菜单中
b)发布, 程序显示在【控制面板】|【添加/删除程序】中
a)提供一个.msi的程序放在一个共享文件夹
b)利用组策略的软件安装找路径(网络路径)
c)选择发布/指派软件
指派与发布的区别
a)指派, 程序在【开始】菜单中
b)发布, 程序显示在【控制面板】|【添加/删除程序】中
指派软件:
a)将软件指派计算机
计算机启动时软件将自动安装在计算机里
安装在Documents and Settings\All Users
b)将软件指派用户
不会自动安装软件本身
只安装软件相关的部分信息,如快捷方式
何时自动安装
开始运行此软件
计算机启动时软件将自动安装在计算机里
安装在Documents and Settings\All Users
b)将软件指派用户
不会自动安装软件本身
只安装软件相关的部分信息,如快捷方式
何时自动安装
开始运行此软件
发布软件:
a)不能将软件发布到计算机
b)将软件发布到用户
不会自动安装软件本身
何时自动安装
“控制面板”-“添加或删除程序”-“添加新程序”
b)将软件发布到用户
不会自动安装软件本身
何时自动安装
“控制面板”-“添加或删除程序”-“添加新程序”
那么最后我们来做一个指派给用户安装OFFICE软件的实验:
1.首先把要分发的软件包放在共享文件夹中,并给之相应的权限:
2.DC中打开"AD用户与计算机"工具,为指定的OU设置组策略,该OU下有个用户为USERB:
3.在软件设置的软件安装,选择新建程序包:
4.找到指定的共享文件夹(一定是要网络路径):
5.选择"指派":
6.由于组策略生成后需要有个刷新时间,可以使用命令GPUPDATE进行立即生效:
7.使用USERB用户登录系统后可以看到程序中已经有了OFFICE工具:
8.不过不要高兴,因为我们选择的是"指派给用户",那么当用户登录系统时看到的OFFICE程序其实没有真正安装,但第一次点击时才开始真正的安装过程,如下图.不过如果选择是"指派给计算机"的话,那么这台指定的计算机开机时会很慢很慢,但当计算机进入系统后就会发现OFFICE已经安装成功了.
值得一提的是,如果刚才指派的这个用户没有相应的权限,那么当他执行软件安装时也会弹出"无法安装",因为没权限,这点需要注意,要事先给用户相应的权限!
9.修复软件
a)一个被发布或者指派的软件,在安装完成后,如果软件程序内有关键性的文件损坏、遗失或者被用户不小心删除,系统会探测到此不正常的现象,并且会自动修复、重新安装此软件。
b)如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件
重新部署一次
b)如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件
重新部署一次
10.删除软件
【立即从用户和计算机卸载软件】:下一次用户登录或计算机启动时,软件会被强制删除
【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装
【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装
11.升级软件
举例:
Office2000升级到Office2003
Visio2000升级到visio2002
a)强制升级
会强制用户将当前软件升级到新的版本
b)可选升级
允许用户同时使用一个应用程序的两个版本
Office2000升级到Office2003
Visio2000升级到visio2002
a)强制升级
会强制用户将当前软件升级到新的版本
b)可选升级
允许用户同时使用一个应用程序的两个版本
12.组策略中的脚本应用
计算机设置(开机和关机)和用户设置(登录和注销)共有四种不同应用环境
下面我们来做一个用户登录脚本实验:
a)打开组策略的用户-脚本-登录:
b)打开登录脚本:
c)在桌面上创建一个*.vbs的脚本文件:
d)添加脚本:
e)找到脚本指定要放到的LOGON文件夹内(网络路径,必须要放在这里才能生效):
f)立即刷新:
g)登录界面:
最后我给大家共享一个WORD文档,是关于组策略的应用规则实验.刚开始接触组策略的可以做以参考.在我上传的文档中!
转载于:https://blog.51cto.com/854852312/541918
WINDOWS SERVER 2003从入门到精通之组策略应用相关推荐
- WINDOWS SERVER 2003从入门到精通之林之间的信任关系
大家应该知道,使用WIN2003创建的AD(林)中的各个域之间的信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是 ...
- WINDOWS SERVER 2003从入门到精通之“域控制器安全策略”打开错误的解决方法
最近因为许多学员在机房安装完域控制器之后本地安全策略将被域安全策略和域控制器安全策略所取而代之,但是有时候可能当我们对域控制器安全策略或域安全策略进行配置的时候会出现如下的界面,提示如下的错识&quo ...
- WINDOWS SERVER 2003从入门到精通之配置DHCP服务器(下)
DHCP的类级别应用: 1.希望在所有的作用域中的操作系统是WINXP的客户端和WIN98的客户端从DHCP得到的配置不一样,如何去实现? a)在所有WINXP客户端去创建类别 b)然后在DHCP服务 ...
- WINDOWS SERVER 2003从入门到精通之活动目录数据库的维护
在一个域中有多个DC时,这些DC的AD数据库必须是一模一样的,这就需要DC之间的自动更新同步来完成(只是要考虑这几台DC的系统时间间隔问题而已).这些DC之间要维护相同的活动目录数据库,可以实现一定的 ...
- WINDOWS SERVER 2003从入门到精通之配置DHCP服务器(上)
DHCP(Dynamic Hoat Configure Protocol)动态主机配置协议简称,首先我们先了解DHCP服务器的作用所在. 当企业计算机数量较多时,例如BENET公司中有300台计算机, ...
- WINDOWS SERVER 2003从入门到精通之使用证书在WEB服务器上设置SSL(下)
7.提交证书申请: 使用IE浏览器打开本地WEB站点进入证书申请页面,如下: 选择申请证书 选择"高级证书申请": 在提交一个证书申请中选择后者"BASE64编码的证书申 ...
- WINDOWS SERVER 2003从入门到精通之DHCP中继代理
DHCP租约过程是靠广播发送信息的,就会产生问题,如果给多个网段动态分配IP地址如何规划DHCP服务呢? 是每个网段都配置一台DHCP服务器(由于网段之间的路由器是隔离广播的)呢,还是有别的方法解决? ...
- WINDOWS SERVER 2003 DHCP服务器全攻略
DHCP服务器全攻略 WINDOWS SERVER 2003从入门到精通之配置DHCP服务器 DHCP(Dynamic Hoat Configure Protocol)动态主机配置协议简称,首先我们先 ...
- 微软官方Windows Server 2003相关教程免费下载
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户 ...
最新文章
- python格式化字符串语法_详解Python3 中的字符串格式化语法
- python把英语句子成分字母_英语句子成分-谓语讲解 什么是谓语?(
- vivado环境下实现比较器
- 报错Submitted credentials for token did not match the expected credentials
- 打破系统边界,云端协同创新——专访华为云视频架构师 黄挺
- 数据分析中的两种偏差
- Linux Qt打包发布应用程序
- python setup.py install 出错_python setup.py install 失败
- python二维数组读取数报错TypeError: list indices must be integers or slices, not tuple
- 概率论信息论基础(随机变量、常用概率分布、贝叶斯规则、信息论基础、结构化概率模型)
- 如果避免反射导致的性能问题?
- 有关二叉树的相关实现:建树,遍历(递归与非递归实现)
- Luogu1939 【模板】矩阵加速(数列)
- linux 远程连接工具
- 方正飞腾4.0视频教程
- php开发工具 知乎,一个微信小程序版知乎实例分享
- 计算机重新启动操作处于挂起状态,PHOTOSHOPCS5安装程序检测到计算机重新启动操作可能处于挂起状态...
- UAT测试和FVT测试的初步了解
- 【树 图 科 技 头 条】2022年7月26日 星期二 @伍鸣 博士 受邀参加2022年7月29日举办的“2022开放原子开源峰会-区块链分论坛”并发表主题演讲
- windows10 系统家庭版转专业版小结