AD域的组策略实施

1、组策略的实施1 .理解组策略作用组策略又称Group Policy组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等3区2 .组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略GPO所链接的对象：S（站点）D（域）OU（组织单位），当然也可以应用在"本地"GPO控制的对象：S、D、OU中的计算机和用户GPO的组件存储在2个位置：GPC （组策略容器）与 GPT （组策略模板）GPC: GPC是包含GPO属性和版本信息的活动目录对象GPT: GPT在域控制器的共享系统

2、卷（SYSVOL）中，是一种文件夹层次结构. Group Policy Container 1包括组策略设置 存储在两个位置存储在 Active Dir&ctary 中保存版本信息存储在SYSVOL文件夹中 保存组策略设置3 .组策略更改后不是立即生效，可以通过运行：gpupdate / force命令来立即刷新。4 .默认下层容器会继承上层容器的策略，如下图:5.下层可以通过阻止策略继承按钮，不继承上层的策略。如图:6.上层也可强制下层来继承策略，就算下层开了阻止策略继承也要继承。如图:work星性常规管理者| C0IH 蛆策略|要改进组策略管理,请升皴到蛆策略管理控制台(GP

3、71;C)nwork的当前组策略对象捱接软件策噜蛆策略对象链接 富软件策略列法中较高位置的相策略对象具有最高的忧其由 ki axg：l(B_cc36c6. test, cam 费得这一列录卫建暨添加")，I 端辑色选项删除9 属性9*阻止策崂承包)(Z禁正替天防正苴宅盟策略对塞爵曜军彝獴串的r策略集-2：r已禁用：“组策晦对象"不适用干这个容器。7.策略之间出现冲突时，遵循以下几点1 .如果同一个容器的计算机策略和用户策略都设置了 这个容器下的用户帐户恰好登录了这台计算机效，这时计算机策略覆盖用户策略 ！2 .不同层次的策略产生冲突时，子容器（上层）上的，但这2个的策略之间

4、相互冲突，并且 ，那么计算机策略和用户策略同时都要生GPO优先级高！3.同一个容器上多个 GPO产生冲突时，处于 GPO列表最高位置的 GPO优先级最高。8.筛选组策略设置，将用户或者组添加到安全组，在应用组策略选项后选择拒绝即可毒Active-IDl x|文件操作® 查看。窗口帮助我,|g|x|，!函名翦1AActivg Directory 用户和计二E _|保存的查询S 用P t"tYO巾±1 II Built in软件策噌器性常规 管理者COM+ 蛆策略要改进晅策略管理J调升饿到俎鬃跖管受控蒯常规I链接 安全 册I铺选器箱或用户名称）:± I -1

5、 Computers王 画 Dgin Controllers±1 I_j Forei Seeuri tyPriit S-Cj Usrs work弟 work的当前蛆策略对象链接列表中较高位置的组策略对象具有最高的优先由 xi ucl0&cc36c&. tait. com 翻4这1 屈A新建但）选项Q）.geffifficKAutheati cated Usersain Admins (TEST、口oawin Admins)erpr i se Adni re (TESTEnt erpri e e Adm i ns )DOMUN CONTROLLERSAuthentica

6、ted Users 的权限 1工)删除拒葩读取写人创建所有子对象 删除所有子对象 F用组第嘲 就即的打二口一口口 口埠网口回口软件策略：指派与发布1 .建立一个共享文件夹，将要实施的MSI格式软件放入共享文件夹。文件（D 编辑地 笠看 收藏® 工且 帮助皿0后退,;搜索 文件夹回地址电）有名端二I4小坐好遐即|屏性 |噫施此非动器的内容 多加删除程序 搜索支件或文件夹_jUocunenlE and Settings ：sis-sir-en-'llii r«nr"iiii " iir"! e " l复件夹2011-5-31 15

7、:43JFfof 由 File-s文件夹2011-5-31 15：4&二 WIFIBIS文件夹2011-5-31 16；华jmpub文件共2011-5-31 15:333共至口文件夹2011-6-2 16.36n新最件夹文件夹2011-5-31 11:30文件和文件夷任务2 .利用组策略的软件安装找路径（网络路径）3 .选择发布/指派软件a）指派， 程序在【开始】菜单中b）发布， 程序显示在【控制面板】|【添加/删除程序】中4 .软件指派：可以针对计算机和用户：将软件指派给计算机，计算机启动时软件将自动安装在Documents and SettingsAll Users。将软件指派给用

8、户，只有在点击软件后才开始真正安装。下图给出了指派给用户的例子：文件。操作& 直看5 帮助如T包的囹0图|图画软件策略xiajtglO0-"3EeB.-国计算机配置' e二i软件设置 , _| WindcwE 设置 囹_J自理模棱b盘用尸配置三软件设置名称/版本部署状态 I来源此视图中没有可显示的软件安:E _l Windows 设程序包世）.ffi者理植根（V）耗贴任）刷新更）导出列表与癌性®帮助也）5.路径一定要是网路路径，如下图：只有第二个才是合法的网路路径。力感策略褊辑器文件更）慢作 充看9 帮助Qf）8T由的富国电由瓯名琳/当软件策犀xiaxglO

9、B-土件设置 圉口 Yindowi设1 ±1 LJ莒理模板一软件设乡软件安装* _its； F.直 士 U管理模板icrnsoEt dffice ?. . .1L 0名McmeR Offict F . 1L 0已指派、已指赤I秘C ： 芸享 of£iceOFFICEll PEQ16.在客户端登入后，可以看到软件已经成功指派到了指定用户，如下图:李洋Windws H）我的文咨Iftteratl Expl«rtr电子藤群C cllnok E：p： eis | W Wiadowi Cataloe胃indu IfpditeW设定程序访月和默认值_2捻最近的文若（1）Vin

10、lvts.* Micrps»ft Qffmce漫游 Minden IP文件布谖式林移闫Wicrasafi Qffi rr）启动由蜘iE rntnrnit ExpltrerjJ Outloek ExpressHicires&ft Office Fo+erFoi靠I 20037 .只有在软件运行后才开始真正的安装:Kicrosof t Office 2UD3 安裴富| 匚 |X_|Microsoft Office Frofessifinal Edition S003产品密钥i«£T面的框中输入25个字符的产品密钥.您可以在真品证书上或在光生盒背面的侨莘上找到此

11、镰号.产品密笆驿:8 .软件发布只能针对于用户，计算机下无法使用发布，具体实例如图:文件（D悚作苴看以帮助单琐用策堡通” h屈计苴棚已叠：E二1软件铅号一修款泮安装* 二Jijrfi一二（官理根极:-41用尸日落-验件设式富软件安装国rji *山市我e设置*二j管理捏板版本I部书标I来遇9.在用户配置下使用软件发布，具体如图:也2L文件® 携作® 查看5 帮助凶白 1 回的回图画寸软件策略ki皿glOB-c =3SuB. 1 e首称/版本.-M寻状本来魂-用计篁机配置IlLcrosofl Office F. ll.Q c 6 !I i skj! O0-ee36c5 &quo

12、t;共享 offic.：即软件设置 山.一j hfindlcws 世置 回23管理模板-虚用户配置白软件设置当街标装E _J Vk&dt«£ 设置:+.二I 苜 4 颤10.在客户端登入后，可以看到软件已经成功发布到了指定用户，如下图:»添加或除程序口X更改或曲解桂中电）A CB-RDI或软况安装程序船 要从CB-RDH或软盘妥装程序，单击气。或较盆h业网路赤加程序添加J加除 Yindawx. 祖件从Hiar»fl£t手加程序要通过IltlernEl添加一"T'浙的Wixbl±功能，电粉驱动程序和承统更新，单

13、击C:ndanS ITpdatfcBlici-ffsofi O£Ei.ce TrvEesiSii Edi ti irn. 2fJij3 (2) 若嘉加此程序,单击皿海加K .类别0）：用户漫游登入用户可以在域内任何机器成功登入后，使用相同的配置文件。1 .在AD域控上新建一个用户， 我这里利用之前的用户liyang，在AD域控上新建一个文件夹work,在work下建一个同名liyang文件夹，并启用共享，如图:大小1盘型文件却文件克任势A C 二上*rh电亚奇名这T文件真 白嵇动这个文件夹 工墓生脸个文件共 $熔这个文件其岚布到Ydb. 共享比文件第修改日期 E3 L-6-3 14.

14、031 i FfiLE g |ffi性U2£l常现拄享安至I自定义I»毅牌嚼土聚翼髅龌沔乐耕享C襟至，汶件双电）市整此班矮：匏一共享老QD：回©:三计细益且一燮穗霰料岐X删除这个文件荻用户数限制:G允许出客用F班）r北评的用户数量要为道过阿用正向语文件韭的用P镖查 权限,诘单击，积PIP .要配置脱机看问的费鲁读单击“理 铲.覆耳域J白 C：，=k2 .给予Everyone相应的权限，如图:名称大小I部型junI修改日中3?l xjlivan匕的权限共享权限I姐或用尸名称添加）. I册赊Everyone 的权限（Jj允许 回回回完全校制更改读取3 .在安全-高级的

15、属性里，做相应的权限设置，把下面的勾取消掉，在弹出的对话框做对应 操作如图：二I里1/1文件的 狷弱玻 连看奥 收猫曲 工信三 帮助城| 附0后W ”， ,撵索.文件夹因地址篁回匚lekS 珅到玄忤文件央"奖名称I修改日期嘲生£011 6-3 14:03I不核新有书I书恭叔限I 界查看有关特姝机即的洋细信息，i琳安至大小I受型文件夹常规I共享 安全、I目定义膂海尸名琮目Axhi itLiii btor s tTBSTVAli zu i.ir rt«r xj(JJ CREATUEi UTIO(JJ 鬓STEM(J3 Users (TfiSTKUstrs)器加QO .

16、 | 嘱.允许 拒空AdTiina Etralcrs.的权用 gJ完全控制修改It取租运行列出文件先目录津取写入Hd. AkVvfnPn £!【双限骑目底】世弃这个山夜表示应用到子对象的觉骑权限项目不含应用到，EE.獭定,开利考国金匚包时上二 I应用也4.把文件的所有权给予对应的常规|共享安全|自定义犯或用户名称):泮洋许洋洋洋 华北允九兄元PidlhL ni ElrttOFC . 入也近期八f Iwy . SYSTEMCMiMBH DWKUs mw (TESTWwrs)Vsen (TESTVhMd添加.I 加日现.I舌.播以前屈用的极限冏目从发力复制空咫个对飙，语单石 -要疝戈叮性

17、除4前应用的雌项目并只悌留在这儿明确定生 理b话单击”»豚”.-要暧淌逵个押住.请里击“眼谐” .取消|广允许发耐唯承枳眼传持到读对象如所有子对乳*包括8ft些在此明晚定文的史目也) r用正此显示的可以用用到子对购题目替代的有子对程的枳限项目上,进一击了解迈13硒13 号；-像 乂：06liyang用户，如图:fJ2A4niniHrtt»ri (TESTVAdBiniitrtUriJ权限审横有效娜如果您有所病的秘艮或特权，恐就可以取得或分配这个对象的所韦目前瀛项目的所有者(C)|李萍 Q.iyUXfQ'ttl.t. CC>«) 将所有者更改为：名赭兽

18、 Administrator (TEST Ad»i ni s tr at or )Admimstr ators 的权限 ®添加®|删除®允许 拒绝Adm ini str ator e (TESTAfkn i ni str at ors )完全控制修改读取和运行列出文件夹目录读理写入HctWi+nm特别神艮或高设置，语单击M高级” o-Q_一至温用户谒相),丁r替换子容器及对短的所有者里) 进一步了解的直报.5.在权限属性里，将liyang用户添加进去，如下图:名称大小变型I底性产艮)I串怒'要看君有美!选择用尸.计苴机联蛆?1 XI?j x|选盘

19、对象类塞(£):所.三箴西置安全主体投限项目久T E -i- 允评 W查普位直test cob输入鬟选挥的对象名标蛔CEJ：高皴取消r允详型项的罐承押且传播到该对塞和所有子对象.包括那些在他明确定臾的项目ar用在此显示前可以应用到子对象的项目替代所有子对象的权限项目H)6.并给予相应的权限，如下图:iyui-E的权限项目安全|自定，我或用户名商AdminiEtratari (TESTtA土 fj 李洋 Qiytttittit. bom)常规I共享荆象I李洋 O-iyaxi,gteEt. con)挪艮克全控制限读取和运行列出文件其目录读取写入IIM. '=!*!*, 应用到Q)

20、 - I该文f牛夹，子文件夹及文件名称遒).更改©.列出变f半夹/座取数据读取屉性读取犷展厘性出牌文件,写入型据包峰文件夹题初做据写入屎性写入扩展屋性删除子文件夹及文件删除读取根眼更改根阳7.如图：注意liyang用户是特殊权限，并应用到子对象:常规|共享安全I目定上权限| W |所有者|育效抑艮组成用户名称)：榔艮要直看有关特殊神艮的书田信息话选择一个神艮双目然后单击“编辑”口编指阴，.| 删除 |添加一Adm i ni str it(TISTAdF修李洋 口iyangSteft eg)完全控制修改读取和运行列出文件赛目录虞取写入r允许父项的继承榭艮传播到谡对象和所有子对象.包括那

21、些在此明定义的项目口任此显示的可以应用到子对娘的项目替用所有子对象的极眼琮目帆)8 .下一步，如图:9 .记得给予管理员完全控制的权限:work名韩G李军!；孝羊:10 .在用户属T里面 -配置文件 -配置文件路径：AD域的IP地址 共享文件夹如图:Actire Directory用户和计苴机力 文件（I操作R 壹看9 窗口（!）帮助如1 |回的 乂造 X.窗旦旦亶型JJ2遗曲才力耻五” Directory 用户和计篁机 国口保存的查询 1-1 t»t. com± 口| BuiltinE 23 Ccimputer e由*! DomaiiL ControilersE 2jFr

22、eigjiS e curi tyFr incipiE _J Wars11 .在客户端用liyang用户登入后，可以查看到已经是通过漫游登入了，如图:系统属住常视计算机电硬件高级系统还原自动更新远程用户配置文件? IX要进行大篓数改动,您必须作为管理员登录口性能产 用户配置文件保存桌面设置和其他三您的用户帐户有关的信 且一 息口可在您使用引每台.十算机上创建不同的配置文件，或选 一定一个渥游配置二件用在您使用的每吉计算机上口视：鼓果，处理器计二，内存使用，以及豆拟内存巨口向讷陪加包储存在本机上的配置文件化：12注销客户端用户，如图:13 .在AD域控上的liyang文件下可以看到客户端的配置文件了。名称-大小类型I修改日期1属性:和文件夹任务*白开始菜单文件夹2011-5-17939R重命名这个文件夹Application Data文件夹2011-6-21617RHjCouki 6E文件夹2011-5-17954S移动这个文件夹51 iyan等的文档文件夹2011-6-21617R复制这个文件夹NetHood文件夹2011-5-17,d3'dH将这个文件夹发布到PrintHood文件夹2011-5-17,339Hft'ebSendTo文件夹2011-6-21616RH共享此文件夹TerTi