[转] 组策略 ABC(看了一下,感觉挺好的,推荐 AD 管理者)

   Updated: 2013-11-13 21:43       [转] 组策略 ABC(看了一下,感觉挺好的,推荐 AD 管理者)无评论

网上发现的一篇说明组策略的文章,自己整理了下,如下:

一、组策略概述

在 WIN2000 中,除了用户工作环境与计算机环境的设置外,组策略还提供了很强大的功能:如 a、帐户策略的设置;b、本地策略的设置;c、脚本设置;d、用户工作环境的设置;e、软件的安装与删除;f、文件夹的重定向。

组策略可以针对站点、域和组织单位设置组策略。这些组策略存储在 x:\WINNT\SYSVOL\sysvol\abc.com\Policies 目录下。本地组策略存储在 X:\WINNT\system32\GroupPolicy 目录内。

组策略分"计算机配置"与"用户配置"两部分:

  • 计算机配置:当计算机启动时,就会根据"计算机配置"的内容来设置计算机的环境。
  • 用户配置:当用户登录时,就会根据"用户配置"的内容来设置用户的工作环境。

A、不同组策略的应用顺序与规则:

  1. 本地组策略
  2. 站点组策略
  3. 域组策略
  4. 组织单位的组策略

默认情况,后应用的策略将覆盖以前的应用的策略,具体说明如下:

  1. 如果在高层容器内建立了一个组策略,但是并未在低层容器建立组策略,则低层容器会继承在高层容器内所建立的组策略。
  2. 如果另外在低层容器内建立了组策略,则低的组策略则要取代高层的组策略。
  3. 如果父容器未被设置组策略,则低层组策略则不会继承父层组策略。
  4. 如果父容器设置组策略,但是子容器内的组策略并未为设置,则会继承父组策略。

B、阻止策略的继承:可以在子容器组策略内,通过"阻止策略继承"复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容顺的组策略为其设置。

C、强迫继承策略:可以在父容器的组策略内,通过"禁止替代"复选框来强迫子容器必须继承由父容器传送的组策略设置。

二、组策略的对象

A、设置组策略的途径:
根据不同的计算机,可以在以下几个位置:"域安全策略"或"活动目录用户和计算机"、"域控制安全策略"、"本地安全策略"(均在"管理工具"内)。

B、更改组策略:

让 DOMAIN USERS 组内的所有成员都具备"本地登录"的权限,设置步骤:

  1. 开始--程序--管理工具--活动目录用户和计算机--选中"DOMAIN     CONTROLLERS"单击鼠标右键--属性--组策略。
  2. 请选定"default domain controllers policy",然后单击"编辑"。
  3. 出现"组策略"窗口--计算机配置--WIN 设置--安全设置--本地策略--用户权利指派--双击右则的"在本地登录"。
  4. 出现"安全策略设置"对话框--单击增加--将 DOMAIN USERS 增加到组内。

由于刚建立的组策略不能马上生效,必须利用以下三种之一来达到目的:

  1. 在"在命令提示符"下,输入 secedit refreshpolicy machine_policy,让计算机配置生效,如果是用户配置文件:则将 machine_policy 改为 user_policy 即可。
  2. 将此计算机重启。
  3. 等待此策略应用到计算机内。

三、管理模板策略的设置

通过以下范例来设置管理模策略:

  1. 隐藏用户桌面的"网上邻居"图标。
  2. 将"开始"菜单中的"运行""帮助"等命令删除。
  3. 在"开始"菜单中添加"注销"的功能。

A、建立练习时所需的组织单位与用户帐户:建立一个组织单位 TAIWAN;在 TAIWAN 组织单位内新建一用户帐户 TONY;在 TAIWAN 组织单位内新建一个组织单位 SALES;在 SALES 组织单位内新建一个用户帐户 SCOTT。

B、设置与测试组策略的功能:

  1. 在 TAIWAN 组织单位内建立一 GPO,然后利用 TAIWAN 组织单位的用户 TONY 登录,测试 GPO 是否有效,然后再利用下一层的 SALES 组织单位内的用户 SCOTT 测试,是否继承 TAIWAN 的 GPO 设置。
    在 TAIWAN 组织单位内建立一个 GPO,名称为 taiwan policy:利用 ADMINISTRATOR 帐户登录;开始-程序-管理工具-活动目录用户和计算机-双击域名-TAIWAN 组织单位-属性-组策略-新建 GP0,命名 taiwan policy。
  2. 更改 TAIWAN POLICY 设置:选中"TAIWAN POLICY"-单选"编辑";用户配置-管理模板-任务栏和'开始'菜单;双击右则"从'开始'菜单删除'帮助'命令";出现属性对话框-启用;确定,完成设置。
  3. 测试 TONY 帐户,以及 SCOTT 帐户是否继承了 TAIWAN POLICY 组策略。

C、测试组策略的替代功能:

在 TAIWAN 组织单位的下一层组织单位建立一个 GPO,然后将"从'开始'菜单删除'帮助'命令"命令禁用,步骤:

  1. 利用 ADMINISTRATOR 帐户登录,在 SALES 组织单位内建立一个新 GPO;
  2. 开始-程序-管理工具-活动目录用户和计算机-双击域名-在 TAIWAN 下的 SALES 组织单位单鼠标右键-属性--组策略-新建(命名:tainwan-sale policy)-编辑;
  3. 出现"组策略"窗口-用户配置-管理模板-任务栏和'开始'菜单;双击右则的"从'开始'菜单删除'帮助'命令"-禁用-确定,设置完成;
  4. 进行测试并与上次的测试结果进行比较。

在子容器的 GPO 内,若些些策略被设置为"未被配置",则子容器内的这些设置将继承父容器内的设置,但是却可以在子容器的 GPO 内,通过"阻止策略继承"复选框将子容器的 GPO 设置为不要继承父容器的设置。

强迫继承组策略:可以在父容器内设置强迫其所有的子容器必须继承父容器的 GPO 设置,那就是父容器的"禁止替代"功能。

四、帐户策略设置

帐户策略设置的注意事项:A、若针对域设置的帐户策略,则这个策略会应用到域内的所有计算机。B、若针对某个组织单位设置帐户策略,是这个策略只会应用到这个组织单位内的计算机而已。

设置帐户策略的步骤:"活动目录用户和计算机"(域或组织单位)上鼠标右键-属性-组策略-选定 GPO-编辑-计算机配置-WIN 设置-安全设置-帐户策略。

以下针对"密码策略"和"帐户锁定策略"常用项进行说明:

A、密码策略常用项的说明:

  • 密码最长存留期:设置用户密码最长的使用期限。
  • 密码最短存留期:设置用户密码最短的使用期限。
  • 密码最长度最小值:设置用户密码时,密码的最少需要几个字符。
  • 强制密码历史:设置是否要记录用户以前所使用过的密码,以便在设置新密码的时,是否可以设置以前使用过的密码。
  • 不保留密码历史:在设置新密码时,可以设置以前使用过的密码。
  • 保留密码历史:在设置新密码时,保留密码是不能做为新密码使用的。

B、帐户锁定策略:

  • 帐户锁定阈值:设置用户登录几次失败后,将该用户锁定。
  • 帐户锁定时间:用户在锁定多久时间后。自动解锁。
  • 复位帐户锁定计数器:锁定计数器开始是 0,用户登录失败则是加 1,用户成功则为 0,若锁定计数器值等于帐户锁定阈值,帐户就会被锁定。

五、本地策略的设置

本地策略设置包括:审核策略、用户权利指派策略、安全选项策略。

A、用户权利指派策略:

设置步骤:活动目录用户和计算机"(域或组织单位)上鼠标右键-属性-组策略-选定 GPO-编辑-计算机配置-WIN 设置-安全设置-本地策略-用户权利指派。

有以下权利:

  • 在本地登录:允许用户在本台计算机上按 CTRL+DEL+ALT 键登录。
  • 域中增加工作:允许用户将 WINNT/WIN2000 计算机加入到域内。
  • 关闭系统:允许用户关闭此计算机。
  • 以网络访问此计算机:
  • 从远端计算机来关闭此台计算机。
  • 备份文件和目录。
  • 还原文件和目录。
  • 管理审核和安全日志。
  • 更改系统的时间。
  • 装载和卸载设备驱动程序。
  • 取得文件或其他对象的所有权。

B、安全选项策略:

  • 登录屏幕上不要显示上次登录的用户名。
  • 允许在未登陆前关机。
  • 在密码到期前提示用户更改用户密码。
  • 禁用 CTRL+ALT+DEL 进行登录的设置
  • 用户试图登录时消息文字与用户试图登录时的消息标题。

六、登录/注销、启动/关闭脚本

登录脚本:是针对一个用户设置的,也就是若某个用户被指派了登录了登录脚本。则当其登录时,此脚本就会自动被执行。

A、登录/注销脚本的设置:

用记事本编写登录和注销脚本:
登录脚本:名称:logon.vbs 文件内容:wscripts echo "welcome to windows 2000 ,this is a logon script test"
注销脚本:名称:logoff.vbs 文件内容:wscrpts echo "Goodbye,this a logoff scripts test"

设置步骤:

  1. "活动目录用户和计算机"鼠标右键-属性-组策略-选定 GPO-编辑-用户配置-WIN 配置-脚本(登录注销)-登录
  2. 出现显示脚本文件对话框。
  3. 请先将你编辑好的 logon.vbs 复制到以下目录内:%systemroot%\SYSVOL\sysvol\域名\policies\{GUID}\USER\SCRIPTS\logon
  4. GUID,不同的 GPO 有不同的 GUID 号,每个 GUID 是唯一的。
  5. 在步骤 2 出的对话框中-单击"添加"将 logon.vbs 添加进入-确定。
  6. 再用相似的方法来添加注销的脚本:logoff.vbs。
  7. 如果说 GPO 是针对域设置的,则对域内的每个用户都起作用。即登录时都会出现脚本。若是仅对某个组织单位设置,则那个被设置的组织单位的用户会出现脚本。
  8. 创建用户,测试脚本的有效必性。

B、启动/关闭脚本的设置:

编辑好启动与关闭脚本:
启动脚本:文件名称:startup.vbs 文件内容:wscript echo "welcome to windows 2000 ,this is a startup script test"
关闭脚本:文件名称:shutdown.vbs 文件内容:wscript echo"goodbye. This is a script test"

设置步骤:

  1. "活动目录用户和计算机"鼠标右键-属性-组策略-选定 GPO-编辑-计算机配置-WIN 配置-脚本(启动/关闭)-启动。
  2. 出现选择"启动脚本文件"对话框。
  3. 将我们所做的启动脚本文件得到:%systemroot%\SYSVOL\sysvol\域\policies\{GUID}\MACHINE\SCRIPTS\startup。
  4. 回到步骤 2 时出现的添加文件的对话框,单击"增加"按钮。浏览选择 startup.vbs 文件。
  5. 用类似的方法增加关闭脚本文件 Shutdown.vbs。
  6. 完成设置后,如果这个 GPO 策略是针对域设置的,若对域内的用户都会起作用的。如果这个 GPO 是针对组织单位设置的,则会这所设置的组织单位起作用的。

七、部署应用程序

通过组策略可以为用户和计算机来部署应用程序,这也就是说:

  • 将应用程序分布给用户:当某个应用程序通过 GPO 被发布给用户后。用户可以自行增加/删除应用程序。
  • 将应用程序指派给用户或计算机:当某个应用程序通过组策略的 GPO 被反映派给用户后,则用户在登录时,这个应用程序就会被"广告"给用户,但这个应用程序并不真正安装,只是提供了一些安装信息,等你应用时才会安装。如果是指派给计算机了。计算机在启动时,就会自动安装应用程序。
  • 自动修复应用程序:一个被发布或指派的应用程序。当应用程序受到破坏时,当用户登录或计算机重启时,会自动修复的。
  • 删除用户应用程序:一个被发布或指派的应用程序,在用户安装完成后,若不想再让用户使用此应用程序,只要将应用程序从 GPO 内删除即可。

A、发布应用程序:

建立安装 WINDOWS 安装程序包的文件夹:

  1. 请在任何一台服务器上内建立一个文件夹,例如:C:\packages,这个文件夹是要用来存储应用程序的。
  2. 将此文件夹设置为共享,并给一个共享名。因为网络上的用户必须通过 UNC 路径来访问,所以要设置共享。
  3. 将应用程序复制到共享文件夹内。
  4. 设置默认程序包位置"活动目录用户和计算机"-域名-属性-组策略-选定 GPO-编辑-用户配置-软件设置-软件安装。
  5. 软件安装-属性。
  6. 出现"默认程序包位置"输入框。在此处输入应用程序的存储位置,注意是 UNC 路径(\\计算机名\共享文件夹)-确定。
  7. 发布应用程序。
  8. 回到"软件安装"-新建-"程序包"。
  9. 请选择用于练习的安装程序包-单击"打开"。
  10. 请选择"已发行"-确定。

安装被发布的应用程序:

  1. 利用域用户或组织单位用户来登录
  2. 开始-设置-控制面板-"添加/删除程序"。
  3. 添加新程序-从网络添加程序(就会显示出已经发布的应用程序)。
  4. 选择要安装的应用程序-单击"添加"-就会安装此应用程序。

测试自动修复应用程序功能:

  1. 请找到应用程序的安装位置。
  2. 删除此应用程序的安装文件夹。
  3. 以应用程序发布用户重新登录。
  4. 运行删除的应用程序,会发现系统会自动重新再安装应用程序。

B、给用户指派应用程序:

给用户指派应用程序与给用户分布应用程序的方法基本一致:

  1. 在一台服务器上建立一个共享文件夹
  2. 设置默认程序包位置
  3. 给用户指派应用程序,在选择部署方法时,将"已发行"改为"已指派"

测试被指派的应用程序:用户登录后,可以在开始-设置-控制面板-添加/删除应用程序-添加新程序,会发现被指派的应用程序已经安装,但实际是"广告",并没有真正的安装起来。

测试自动修复应用程序功能:这个功能与测试自动修复已发布的应用程序功能相似。

C、给计算机指派应用程序:

活动目录用户和计算机-域或组织单位-属性-组策略-选定 GPO-计算机配置-软件设置-软件安装。其它的地方与给用户指派应用程序相似:

  1. 改变应用程序的部署的类型。
  2. 取消被部署的应用程序。
  3. 在被部署的应用程序单击鼠标右键-所有任务-删除。
  4. 设置当安装此应用程序时,是否出现完整的安装界面,或者只显示部分的界面。
  5. 在被部署应用程序上单击鼠标右键-属性-部署。
  6. 将应用程序升级:在被部署的应用程序单击鼠标右键-属性-升级-添加

八、文件夹重定向

可以利用组策略将一些 WIN2000 内的特殊文件夹的存储位置,重定向到网络上的其他内。所谓的特殊文件夹,是指如"我的文档"、"my pictures"等数据的存储位置。一般情况下,这些文件夹是在本地计算机内,可以通过"我的文档"-"属性"-"目标文件夹"指定网络上的其他计算机内。

通过以下两种方式来重定向:

  • 针对每个用户设置,也就是将每个用户的文件夹重定向。
  • 针对某个组设置,用户的文件夹重定向。也就是将某个组内的所有

以"我的文档"文件夹说明如何将文件夹重定向,并且是针对某个组进行设置:

  1. 活动目录用户和计算机-USERS 组织单位内建立 user1、user2、然后建立一个安全,例如:testgroup、
    在任何一台服务器内建立一个文件夹,例如 XOCUMENTS,这个文件用来存储用户的"我的文档"数据。
  2. 将文件夹设置为共享。共享名与文件夹名相同即可。
  3. 通过"活动目录用户和计算机"-域名单击右键-属性-组策略-选定 GPO-编辑-用户配置-WINDOWS 配置-文件夹重定向-MY DOCUMENTS。
  4. 在"MY DOCUMENTS"单击鼠标右键-属性-目标-"设置"处选择"高级-为不同的用户组指定位置"-单击"添加"。
  5. 出现添加"指定组和位置"对话框。请"安全组成员身份"处输入组名称,然后在目标文件夹位置"处输入存储此组每个用户的"我的文档"的文件夹路径 UNC。-"确定"完成后。
  6. 注销,利用 TESTGROUP 组内的用户 USER1 登录,"我的文档"文件夹已经改为上面所设置的路径。

将用户的"我的文档"文件夹重定向到网络服务器内有以下的优点:

  1. 无论用户到网络上任何一台计算机登录域,都可以访问到该文件夹。
  2. 这些存储在服务器内的数据,可能信息部门的定期定期备份,将其备份存储起来,让用户的数据多一份保障。
  3. 可以在服务器上限额配置用户的"我的文档"。
  4. 如果"我的文档"与操作系统在同个硬盘内,则将其重定向到其他的硬盘后,即使操作系统重新安装,对"我的文档"文件夹内的数据影响也会比较小

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注