第四章組戰(zhàn)略Windows2003AD管理學習目的在完本錢章的學習后，您將可以：共同組戰(zhàn)略集中管理網(wǎng)絡(luò)課程安排組戰(zhàn)略構(gòu)造組戰(zhàn)略創(chuàng)建管理利用組戰(zhàn)略管理用戶桌面利用組戰(zhàn)略發(fā)布軟件引見組戰(zhàn)略 經(jīng)過運用組戰(zhàn)略，可以:可以進展集中化或分散式戰(zhàn)略確保用戶有適宜完成他們?nèi)蝿?wù)的環(huán)境降低控制用戶和計算機環(huán)境的總費用推行公司戰(zhàn)略組戰(zhàn)略構(gòu)造組戰(zhàn)略設(shè)置的類型組戰(zhàn)略的目的針對計算機和用戶的組戰(zhàn)略設(shè)置組戰(zhàn)略目的和活動目錄容器組戰(zhàn)略設(shè)置的類型組戰(zhàn)略對象組戰(zhàn)略對象包含組戰(zhàn)略的設(shè)置組件被存儲在兩個不同的場所組戰(zhàn)略容器被定位在活動目錄中提供域控制器所需的版本信息組戰(zhàn)略模版域控制器上到GPT的的途徑是：systemroot\SYSVOL\sysvol運轉(zhuǎn)Windows2000的客戶機獲得或運用的組戰(zhàn)略設(shè)置計算機和用戶的組戰(zhàn)略設(shè)置計算機的組戰(zhàn)略設(shè)置:計算機的組戰(zhàn)略設(shè)置指定操作系統(tǒng)行為，桌面行為，平安性設(shè)置，計算機的啟動和關(guān)機命令，計算機賦予的運用程序選項以及運用程序設(shè)置計算機相關(guān)的組戰(zhàn)略運用在操作系統(tǒng)初始化和周期性更新循環(huán)過程中用戶的組戰(zhàn)略設(shè)置:用戶的組戰(zhàn)略設(shè)置指定特定的操作系統(tǒng)行為，桌面行為，平安性設(shè)置，賦予的和公布的運用程序選項，運用程序設(shè)置，文件夾得重定向選項以及用戶登錄和退出登錄命令用戶相關(guān)的組戰(zhàn)略運用在用戶登錄計算機和周期性更新循環(huán)的過程中組戰(zhàn)略對象和活動目錄容器在將GPO和站點，域或組織單元鏈接后。GPO的設(shè)置將運用在站點，域或組織單元的用戶和計算機上可以將GPO和多個站點，域以及組織單元鏈接也可以將多個GPOs和單個站點，域以及組織單元鏈接管理員不能將GPOs和默許的活動目錄容器——計算機，用戶和builtin相連處置組戰(zhàn)略對象創(chuàng)建已銜接的組戰(zhàn)略目的創(chuàng)建未銜接的組戰(zhàn)略目的銜接一已存在的組戰(zhàn)略目的指定管理組戰(zhàn)略目的的域控制器創(chuàng)建已銜接的組戰(zhàn)略目的 為了把組戰(zhàn)略運用到容器上,首先要創(chuàng)建銜接到容器的GPO:運用“ActiveDirectoryUsersandComputers〞創(chuàng)建銜接到域和OU的GPO運用“ActiveDirectorySitesandServices〞創(chuàng)建銜接到站點的GPO創(chuàng)建未銜接的組戰(zhàn)略目的銜接一已存在的組戰(zhàn)略目的指定管理組戰(zhàn)略目的的域控制器當創(chuàng)建一新的GPO或編輯一已存在的GPO時，默許的，具有PDC操作主控的域控制器將執(zhí)行該操作制定管理GPO的域控制器的可選項包括:操作主控遵照PDC競爭原那么運用活動目錄插件的方式運用任何能夠得域控制器制定管理GPO的域控制器:運用在組戰(zhàn)略快照中的查看菜單下的DC選項命令在組戰(zhàn)略設(shè)置中指定運用什么域控制器如何在活動目錄中運用組戰(zhàn)略設(shè)置組戰(zhàn)略是如何處置的控制組戰(zhàn)略的處置組戰(zhàn)略和慢速網(wǎng)絡(luò)銜接處理組戰(zhàn)略間的沖突組戰(zhàn)略生效時機

計算機啟動計算機設(shè)置運用啟動腳本運轉(zhuǎn)用戶登錄用戶設(shè)置生效登錄腳本運用控制組戰(zhàn)略的處置同步和異步處置默許的組戰(zhàn)略處置是同步的可以經(jīng)過運用組戰(zhàn)略設(shè)置將默許的行為改為異步在特定的時間間隔內(nèi)刷新組戰(zhàn)略:域環(huán)境中的非域控制器計算機每隔90分鐘就會刷新戰(zhàn)略，有隨機的延遲。域控制器每5分鐘刷新一次未發(fā)生變卦的組戰(zhàn)略設(shè)置的處置可以配置每一個客戶端擴展用于處置一切可用的組戰(zhàn)略設(shè)置組戰(zhàn)略和慢速網(wǎng)絡(luò)銜接組戰(zhàn)略可以接受慢速銜接組戰(zhàn)略運用一種運算法那么來確定銜接能否為慢速組戰(zhàn)略給客戶端擴展設(shè)定標志指出是慢速銜接處理組戰(zhàn)略間的沖突除非組戰(zhàn)略設(shè)置沖突，否那么一切的組戰(zhàn)略設(shè)置都將被執(zhí)行假設(shè)發(fā)生沖突，默許的是執(zhí)行最新的設(shè)置來自父容器的GPO設(shè)置和來自子容器的GPO設(shè)置沖突時，子容器的設(shè)置后執(zhí)行并發(fā)揚作用當銜接到同一容器上的不同的GPO的設(shè)置發(fā)生沖突時，在容器屬性對話框中GPO列表中最高位置的GPO的設(shè)置后執(zhí)行并發(fā)揚作用當用戶設(shè)置和計算機設(shè)置發(fā)生沖突時，忽略用戶設(shè)置而執(zhí)行計算機設(shè)置課堂討論：如何執(zhí)行組戰(zhàn)略設(shè)置GPO1確?！癋avorites〞出如今“start〞菜單中的組戰(zhàn)略設(shè)置GPO2andGPO3要求輸入一個至少含有11個字符的密碼的組戰(zhàn)略設(shè)置和從開場菜單中移去windows更新圖標的組戰(zhàn)略設(shè)置GPO4從開場菜單中移去“Favorites〞圖標并添加“WindowsUpdate〞圖標在OU中用戶對象的最終組戰(zhàn)略設(shè)置是什么?OUSiteDomainGPO1GPO2GPO3GPO4課堂討論：如何執(zhí)行組戰(zhàn)略設(shè)置在OU中用戶對象的最終組戰(zhàn)略設(shè)置是什么?用戶密碼至少11個子符長Windows更新圖標在“start〞菜單中出現(xiàn)“Favorites〞不出如今“start〞菜單中OUSiteDomainGPO1GPO2GPO3GPO4修正組戰(zhàn)略的運用選項允許阻止承繼允許不重寫挑選組戰(zhàn)略設(shè)置課堂討論：改動組戰(zhàn)略的承繼性組戰(zhàn)略的承繼性Windows2003按照一定的順序運用GPO設(shè)置子容器承繼父容器的GPO設(shè)置允許阻止承繼阻止承繼:阻止子容器從一切父容器處承繼任一個GPO無法選擇阻止哪個GPO不能阻止不重寫選項運用“制止替代〞選項 制止替代選項：可以優(yōu)先于回絕承繼和下層的戰(zhàn)略沖突而生效該當在活動目錄效力數(shù)型構(gòu)造的上層運用到它鏈接的范圍內(nèi)的用來強化公司的管理戰(zhàn)略挑選組戰(zhàn)略設(shè)置挑選組戰(zhàn)略設(shè)置:明確回絕懇求對組戰(zhàn)略的答應(yīng)忽略一驗證過的懇求組戰(zhàn)略答應(yīng)

課堂討論：改動組戰(zhàn)略的承繼性確定網(wǎng)絡(luò)中具備以下條件：在域中的一切計算上安裝防病毒程序除了工資部門的用戶外一切域中的計算機必需安裝微軟的辦公套件除了工資部門的管理員的計算機外工資部門的一切計算機都必需安裝系列商務(wù)闡明運用程序如何配置GPO來滿足上述條件?PayrollSalesContosoTraining課堂討論：改動組戰(zhàn)略的承繼性如何配置GPO來滿足上述條件?創(chuàng)建一銜接到域的安裝防病毒程序的GPO，將該銜接設(shè)置為不重寫創(chuàng)建可銜接另一個域的GPO來安裝辦公套件在工資部門，允許阻止承繼創(chuàng)建和銜接到工資部門的GPO在客戶機上來安裝闡明運用程序修正GPO的DACL使得工資管理員運用的計算機闡明回絕懇求組戰(zhàn)略答應(yīng)PayrollSalesNwtradersTraining委派組戰(zhàn)略的管理控制允許一用戶管理一站點，域或OU的組戰(zhàn)略銜接，經(jīng)過如下方式:賦予用戶站點，域或OU的GPOPtions屬性的讀寫權(quán)限運用委派控制導(dǎo)游允許用戶或小組創(chuàng)建GPO，經(jīng)過如下方式:將用戶或小組添加到組戰(zhàn)略創(chuàng)建擁有者小組允許用戶編輯GPO，經(jīng)過以下方式:賦予用戶該GPO的讀寫權(quán)限將用戶標注為域管理員，企業(yè)管理員或GPO創(chuàng)建擁有者小組經(jīng)過運用GPO屬性對話框中的平安性表來保證用戶訪問GPO監(jiān)控組戰(zhàn)略經(jīng)過以下方法可以監(jiān)控組戰(zhàn)略:啟用事件日志的診斷記錄使組戰(zhàn)略在事件薄中產(chǎn)生詳細事件啟用詳細記錄詳細記錄將記錄一切的變卦和運用到本地計算機和登錄計算機的用戶設(shè)置詳細記錄將添加詳細記錄的注冊關(guān)鍵詞最正確實際限制運用阻止，不重寫，挑選GPO限制限制影響任一計算機或用戶的GPO數(shù)目在單個GPO中與設(shè)置相關(guān)的組把對GPO的管理控制權(quán)委派給其他一個或兩個用戶防止把GPO銜接到包含多個域的站點上在執(zhí)行GPO之前要進展方案和測試管理用戶環(huán)境簡介管理用戶環(huán)境控制用戶有哪些權(quán)益運用組戰(zhàn)略設(shè)置來控制用戶環(huán)境經(jīng)過在容器上運用組戰(zhàn)略來立刻為新用戶或計算機指定用戶環(huán)境集中配置和管理用戶環(huán)境加強規(guī)范配置確保用戶有他們本人的桌面和個人數(shù)據(jù)組裝用戶桌面確保用戶環(huán)境平安什么是管理模版管理模版設(shè)置修正控制用戶環(huán)境的注冊設(shè)置設(shè)置在注冊子目錄樹下修正注冊設(shè)置計算機設(shè)置HKEY_LOCAL_MACHINE用戶設(shè)置HKEY_CURRENT_USER假設(shè)GPO不再運用，將刪除組戰(zhàn)略Windows2003將同時實現(xiàn)組戰(zhàn)略和本地預(yù)設(shè)注冊設(shè)置，除非兩者之間存在著沖突計算機如何實現(xiàn)管理模版設(shè)置當客戶計算機啟動的時候，他重新獲得GPO列表并運用，運用戶登錄客戶計算機銜接到驗證DC的SYSVOL文件夾上，然后確定Registry.pol文件的位置客戶計算機把Registry.pol文件中的注冊設(shè)置和設(shè)置值寫到適當?shù)淖幽夸洏湎?HKLMandHKCU)在注冊設(shè)置實施后，將出現(xiàn)登錄對話框或顯示桌面管理模版設(shè)置類型設(shè)置類型控制可運用者Windows

組件用戶何以訪問的Windows2003及其工具和組件部分，包括控制用戶對MMC的訪問系統(tǒng)登錄，退出過程。利用系統(tǒng)設(shè)置，可以管理組戰(zhàn)略，更新區(qū)間，啟用磁盤限額和實現(xiàn)回環(huán)處置等網(wǎng)絡(luò)網(wǎng)絡(luò)銜接和撥號銜接的屬性打印機打印機設(shè)置，可以是打印機自動公布在活動目錄中，并使基于網(wǎng)絡(luò)的的打印無效開場菜單和工具欄用戶可以從開場菜單中訪問的功能部件。可以把開場菜單設(shè)置為只讀方式，這樣可以防止用戶修正。桌面活動桌面。經(jīng)過隱藏某些桌面圖標并控制用戶對文件夾的運用，可以控制用戶對網(wǎng)絡(luò)的訪問控制面板控制面板上的一些運用程序。包括限制對添加/刪除程序，顯示和打印機的運用禁閉桌面的設(shè)置隱藏桌面上一切的圖標在退出時不保管設(shè)置隱藏我的電腦下詳細指定的驅(qū)動器從開場菜單中刪除“run〞菜單制止用戶運轉(zhuǎn)控制面板中的顯示功能使與“WindowsUpdate〞的銜接無效并刪除這種銜接使工具欄和開場菜單設(shè)置的修正無效使封鎖命令無效或刪除改命令利用組戰(zhàn)略設(shè)置禁閉桌面環(huán)境禁閉用戶訪問網(wǎng)絡(luò)資源的設(shè)置隱藏桌面上“MyNetworkPlaces〞圖標刪除“MapNetworkDrive〞和

“DisconnectNetworkDrive〞工具菜單:禁用internet選項利用組戰(zhàn)略禁閉用戶訪問網(wǎng)絡(luò)資源的設(shè)置禁閉用戶訪問管理工具和運用程序的設(shè)置從開場菜單中刪除“Search〞菜單從開場菜單中刪除“Run〞菜單禁用義務(wù)管理器只運轉(zhuǎn)允許的Windows運用程序從開場菜單中刪除“Documents〞菜單禁用對工具欄和開場菜單設(shè)置的修正隱藏開場菜單中普通程序組利用組戰(zhàn)略禁閉用戶訪問管理工具和運用程序的設(shè)置組戰(zhàn)略中的回環(huán)處置方式設(shè)置可以把用戶管理模版設(shè)置運用到計算機上對于指定詳細義務(wù)的計算機是非常有用的可以被設(shè)置為交換方式或合并方式在組戰(zhàn)略中分配腳本組戰(zhàn)略腳本設(shè)置允許他:組戰(zhàn)略腳本設(shè)置可以集中配置腳本，在計算機啟動，封鎖，用戶登錄，退出時自動運轉(zhuǎn)管理和配置用戶環(huán)境當用戶啟動計算機，進展登錄時:a. Startupscriptsrunb. Logonscriptsrun當用戶退出，封鎖計算機時:a. Logoffscriptsrunb. Shutdownscriptsrun Windows2003按從上到下的順序處置腳本用組戰(zhàn)略實現(xiàn)腳本設(shè)置的過程利用組戰(zhàn)略重定向文件夾不論用戶從什么客戶機上登錄，都可以訪問文件夾中的數(shù)據(jù)文件夾中的數(shù)據(jù)集中存儲，因此文件夾中的文件將更便于管理和備份減少網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)通訊只在用戶訪問文件時才出現(xiàn)文件不在客戶計算機上保管選擇需求重定向的文件夾文件夾內(nèi)容重定向到效力器的緣由我的文檔用戶個人的數(shù)據(jù)開場菜單開場菜單中的文件夾和快捷方式桌面桌面上一切的文件，文件夾和快捷方式運用程序數(shù)據(jù)由運用程序存儲的詳細用戶的數(shù)據(jù)用戶可以從任何計算機上訪問數(shù)據(jù)，這些數(shù)據(jù)可以集中地管理和備份用戶“start〞菜單是規(guī)范化的用戶具有一樣的桌面，不論用戶從什么計算機上登錄運用程序運用一樣的詳細用戶的數(shù)據(jù)，不論用戶從什么計算機上登錄把文件夾重定向到效力器位置引見軟件布置的管理刪除刪除軟件維護軟件的安裝或重新部署布置安裝軟件預(yù)備獲取windows安裝程序包文件Windows安裝程序Windows安裝程序效力Windows安裝程序效力是一個使軟件安裝和配置過程完全自動化的客戶端效力Windows安裝程序效力也可以修正或修補曾經(jīng)安裝的運用程序Windows安裝程序包Windows安裝程序包包含安裝或卸載一個運用程序的windows安裝程序效力所需的一切信息一個軟件包包含一個Windows安裝程序，或.msi文件和安裝或卸載軟件所需的任何外部文件一個.msi包文件也包含有關(guān)軟件及其本身的概要信息包含產(chǎn)品文件或產(chǎn)品文件所在安裝位值的參考運用Windows安裝技術(shù)的益處包括：有彈性的運用程序干凈的刪除布置軟件軟件布置創(chuàng)建一個軟件分布點分配軟件發(fā)布軟件運用組戰(zhàn)略布置軟件包設(shè)置軟件安裝默許值軟件布置義務(wù)創(chuàng)建或修正GPO獲取一個Windows安裝程序包文件將軟件包文件和任何相關(guān)的安裝文件放到一個軟件分布點上配置GPO以布置運用程序創(chuàng)建一個軟件分布點創(chuàng)建一個軟件分布點:創(chuàng)建一個共享文件夾在共享文件夾中創(chuàng)建相應(yīng)的運用程序文件夾把Windows安裝程序包和可執(zhí)行運用程序拷貝到相應(yīng)的文件夾中為共享文件夾設(shè)置相應(yīng)的權(quán)限當創(chuàng)建軟件分布點時，請采用以下方針:在存放.msi包的軟件分布點創(chuàng)建以運用程序命名的文件夾，并將.msi包文件及一切所需文件放入該文件夾運用隱藏的共享文件夾運用Dfs來為一切發(fā)布的運用程序提供一單一共享點Read

Permissions分配軟件Start將軟件分配給用戶用戶在下一次激活運用程序時，運用程序?qū)⒆詣颖话惭b將軟件分配給計算機計算機在下一次啟動時，軟件被自動安裝軟件分布點發(fā)布軟件?運用文檔激活當用戶雙擊一個未知類型文件時運用程序?qū)⒈蛔詣影惭b運用“Add/RemovePrograms〞用戶可以翻開控制面板中的“Add/RemovePrograms〞來顯示可用的運用程序組。然后選擇所需的運用程序進展安裝軟件分布點運用組戰(zhàn)略布置軟件包發(fā)布軟件創(chuàng)建或修正一個GPO并把它銜接到相應(yīng)的容器內(nèi)來分配和發(fā)布軟件選擇要發(fā)布的軟件包選擇發(fā)布方法:發(fā)布,分配,或者配置軟件包屬性配置軟件包的屬性布置類型布置選項安裝選項設(shè)置軟件安裝默許值運用軟件修正NorthAmericaGPOEnglishDictionaryParisGPOFrenchDictionaryBonnGPOGermanDictionarySingleInstanceonServer創(chuàng)建軟件類別Add/RemoveProgramsAddProgramsfromCD-ROMorFloppyToaddanewprogramfromafloppydiskorCD-ROMdrive,clickCDorFloppy.AddProgramsfromtheInternetToaddnewfeatures,programs,andsystemupdatesfromMicrosoftWindowsUpdate,clickInternet.AddProgramsfromyourCorporateNetwork:Category:MicrosoftOffice2000PremiumEditionClickhereformoreinformation.Toaddthisprogramtoyourcomputer,clickAdd.CDorFloppyInternetCloseAllAllAccountingSoftwareDesktopPublishingExpenseReportsInternetUtilitiesWordProcessingAllChangeorRemoveProgramsAddNewProgramsConfigureWindowsGraphics