从零开始搭建公司域环境（四）：组策略的设置与应用及软件分发

注：以下实验均在Oracle VM VirtualBox的虚拟机中完成，实际搭建时需要考虑的问题肯定更多更复杂，写此系列文章仅作为记录和分享，请各位在实地搭建时参考更多的相关资料或咨询相关有经验的人员。

组策略是微软Windows NT家族操作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。

默认情况下，Microsoft Windows每90分钟刷新一次组策略，随机偏移30分钟。在域控制器上，Microsoft Windows每隔5分钟刷新一次。在刷新时，它会发现、获取和应用所有适用这台计算机和已登录用户的组策略对象。某些设置，例如自动化软件安装、驱动器映射、启动脚本或登录脚本，只在启动或用户登录时应用。从Windows XP开始，用户可以从命令行提示符使用gpupdate命令手动启动组策略刷新。

组策略对象会按照以下顺序（从上向下）处理：

本地- 任何在本地计算机的设置。在Windows Vista之前，每台计算机只能有一份本地组策略。在Windows
Vista和之后的Windows版本中，允许每个用户帐户分别拥有组策略。
站点-
任何与计算机所在的活动目录站点关联的组策略。（活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组）。如果多个策略已链接到一个站点，将按照管理员设置的顺序处理。
域- 任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域，将按照管理员设置的顺序处理。
组织单元-
任何与计算机或用户所在的活动目录组织单元（OU）关联的组策略。（OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元）。如果多个策略已链接到一个OU，将按照管理员设置的顺序处理。

注：以上信息来自百度百科

下面我介绍一下组策略的设置应用方法：

1.组策略管理方法

打开运行窗口，输入mmc

添加管理但单元
组策略对象编辑器是用于编辑这台服务器上的本地组策略的，组策略管理用于管理林中的站点、域和OU的组策略，组策略管理编辑器是用于编辑要发布的组策略的。

这里我们尝试设置默认的域策略，它的覆盖范围的是整个域

尝试把密码过期时间调整到90天

让用户登陆之后自动映射共享盘

2.客户端验证

客户端打开CMD运行gpupdate /force强制刷新组策略，然后重启，可以看到组策略已生效

3.尝试使用组策略分发软件

新建一条GPO

添加Domain Computers组为域中所有电脑都安装

把放在共享盘的msi安装包放上去，要确保所有要安装的电脑都能正常访问

已发布是需要用户到控制面板去手动添加的，已分配是会自动安装

这里要等一会儿才会出现这条数据，等多久根据安装包的大小和网速决定

4.客户端验证软件分发

客户端打开CMD运行gpupdate /force强制刷新组策略，然后重启，重启时电脑会停在这个请等待的界面比较久，这是因为此时电脑正在获取并安装Chrome

进入系统后可以看到Chrome已经自动安装好了