第16章组策略

1、Windows Server 2008教程课件电子工业出版社 课件制作人声明n本课件共 18个 Powerpoint 文件（每章一个）。教师可根据教学要求自由修改此课件（增加或删减内容），但不能自行出版销售。 n对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。第16章 组策略16.1 组策略介绍16.2 组策略管理计算机和用户16.3 组策略设置和应用顺序16.4 软件部署详解16.5 使用组策略部署软件第16章 组策略（续）16.6 使用脚本管理16.7 使用组策略管理工具管理组策略16.8 监控组策略应用16.1 组策略介绍组策略的作用n定义组策略的方式及组策略的作用，包含

2、以下几点：n通过在站点或域级别为整个组织设置组策略来集中管理，或在组织单位的级别为每个部门设置组策略来管理此部门。n组策略可以确保用户有适合完成他们工作的环境。可以通过组策略控制注册表中的应用程序和系统设置，可以修改计算机和用户环境的脚本，可以自动软件安装，可以更改本地计算机、域和网络的安全设置，还可以控制用户数据文件的存储位置。n降低控制用户和计算机环境的总费用，减少用户需要的技术支持级别和由于用户错误而引起的生产损失。例如，通过使用组策略可以阻止用户对系统设置做出让计算机无法正常工作的修改，同时还可以阻止用户安装他们不需要的软件。n推行公司策略，包括商业准则、目标和保密需求。例如，可以确保

3、所有用户的保密需求和公司的保密需求一致，或所有用户有一套特定安装需求。16.2 组策略管理计算机和用户n首先我们介绍使用域级别组策略管理整个域中的账户策略，然后创建一个新的组策略链接到“销售部”组织单位，以管理该部门中的计算机。域级别组策略创建部门组策略验证组策略设置组策略管理用户验证用户设置16.3 组策略设置和应用顺序n组策略可以集中管理整个域也可以单独管理一个组织单位中的用户和计算机。创建组织单位可以对域中的用户和计算机进行分组管理。组策略对象GPO组策略对象和活动目录容器组策略应用顺序和优先级n每个组策略都包含两部分，即计算机配置和用户配置。当我们在域及组织单位上定义了不同级别的GPO

4、时，它们的应用原则如下：n计算机启动时，根据计算机帐户所在的组织单位，确定应用的组策略，应用组策略中计算机配置部分。n域用户登录时，根据用户帐户所在的组织单位，确定应用的组策略，应用组策略中用户配置部分。n组策略中用户配置部分，对域中计算机的本地帐户无法应用。n计算机启动后，已经应用了组策略中计算机配置部分，不管登录该计算机的是本地用户还是域用户，组策略对计算机的管理已经完成。强制应用组策略阻止组策略继承16. 4 软件部署详解n软件的生命周期包含四个阶段：预备，部署，维护，删除。使用组策略可以统一部署软件的安装，这样当用户工作需要时能够直接使用统一部署的软件而不用单独安装。组策略软件安装使用

5、Microsoft Windows安装技术管理安装的过程。软件安装和维护过程n软件的安装和维护过程包含以下几项：n预备n是指使一个应用程序成为能用组策略部署的文件。为完成这个工作，需要将用于应用程序安装的Windows安装程序包文件复制到一个软件分发点，该发发点可能是一个共享文件夹或服务器。可以从应用程序供应商那里获取Windows安装程序包文件，也可以使用第三方工具创建一个包文件。n部署n是指管理员创建一个在计算机上安装软件的GPO并将该GPO链接到相应的活动目录容器上。操作完成后，软件在计算机启动时或是用户激活应用程序时会自动安装。软件安装和维护过程（续）n维护n是指用新版本的软件升级或是

6、用一个补丁包来重新部署软件。当计算机启动时或用户激活应用程序时将自动升级或重新部署软件。n删除n是指针对不再需要的软件，从部署软件的GPO中删除这些软件包的设置。当计算机启动或是用户登录时软件将被自动删除。Windows安装程序软件部署概述n在用组策略部署应用程序前，必须拥有该应用程序的Windows安装程序包文件。然后可以根据自己的要求，配置GPO来为用户账户或计算机账户部署软件。n组策略的软件安装功能只支持msi和zap格式的软件包，不直接支持exe包的安装。同时需要注意的是，msi格式的软件包既可以发布，又可以分配，且不需担心普通用户安装的权限问题，而zap格式的软件包只能发布，不能分配

7、，且发布给普通用户时，有可能因为权限问题而无法安装。软件分发点n为查找方便和简化管理，所有的包文件都保存在一个公共位置。这个公共位置就是软件分发点，即软件分发点为某个共享文件夹。n另外，请确保安装程序包和软件文件在软件分发点上是可用的，以便在本地安装软件时，计算机可以从这个点复制文件。分配软件nGPO通过分配或发布两种方式来部署软件。通常，分配的软件只有在用户工作需要时才安装。n当使用分配的方式部署软件后，会在用户计算机的开始菜单中显示该软件的快捷方式，和在桌面上显示该软件的图标。分配软件能够确保只有用户需要的应用程序才被安装到他们的计算机上。发布软件n和分配软件不同的是，不管用户是否使用，用

8、户都必须安装发布的软件。但要注意的是，发布的软件并没有添加快捷方式到用户的桌面或开始菜单中，也没有在本地注册表中注册。用户需要采用下面两种方法之一来安装发布的软件：n使用Add/Remove Programsn用户可以打开控制面板双击Add/Remove Programs来显示可用的应用程序组。然后选择需要的应用程序单击Install。n使用文档激活的方法n当一个应用程序发布在活动目录中时，它所支持的文档扩展文件名在活动目录中注册了。如果用户双击一个未知类型文件，计算机就会向活动目录发出查询以确定有没有与该文件扩展名相关的应用程序。如果活动目录包含这样一个应用程序，计算机就安装它。n。16.5

9、 使用组策略部署软件为计算机部署软件为用户部署软件使用组策略进行软件升级使用组策略卸载软件16.6 使用脚本管理n为了管理方便，可以在组策略中定义自动运行的脚本，包括计算机配置脚本和用户配置脚本。这样在计算机启动、关闭或用户登录、退出的时候，都可以使用组策略运行相应的脚本，以进行管理。组策略脚本设置脚本执行顺序nWindows Server 2008按下列顺序处理并运行指定脚本的组策略：n当用户启动计算机、进行登录时n启动脚本通过缺省，隐藏、同步运行。当脚本同步运行时，每个脚本必须在下一个脚本开始运行之前结束或暂停运行。n登录脚本通过缺省，隐藏、非同步运行。当脚本非同步运行时，即使先前的脚本正

10、在运行，还可以开始运行另一个脚本。多个脚本可以同时运行。n当用户退出、关闭计算机时：n退出脚本运行。n关闭脚本运行。使用登录脚本管理用户环境nAdministrator：使用内置Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。nGuest：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证

11、系统的安全，Guest账户是禁用的，但在安全性要求不高的网络环境中，可以使用该账户，且通常分配给它一个口令。16.7 使用组策略管理工具管理组策略n组策略管理控制台（GPMC）为管理组策略提供了新的框架。通过GPMC，系统管理员可以更容易地使用组策略，公司也能够更好地利用活动目录服务，从其强大的管理特性中获益。例如，GPMC能够备份和恢复GPO，导入/导出和复制/粘贴GPO等。n组策略管理包括创建组策略、删除组策略、查看组策略设置、备份全部组策略、备份单个组策略、还原组策略等。安装组策略管理工具在GPMC中创建组策略查看组策略设置指定组策略的状态查看组策略作用域备份组策略删除/还原组策略16.

12、8 监控组策略应用n系统管理员在实施组策略时可能会遇到问题，如域中的计算机应用完组策略后计算机设置没有达到预期的设置，或用户登录后应用完组策略中用户设置后没有达到预期的效果等。这就需要管理员能够快速找到组策略没有正确应用的原因。n在解决组策略问题时，必须考虑到各个组件之间的依赖关系，比如组策略依赖活动目录，活动目录依赖网络服务的正确配置等。nWindows Server 2008提供了两个新的组策略管理功能帮助系统管理员确定组策略对某个特定用户或计算机的设置，即组策略建模和组策略结果。实施组策略时的常见问题n问题一、 在试图打开或编辑组策略时，接收到错误信息称组策略对象不能被访问或打开。该问题

13、可能的原因和解决方案如下：n可能没有访问GPO的权限。检查试图打开或访问的GPO的DACL，必须拥有打开或访问的GPO的读写权限。n组策略试图连接的域控制器不在线或域控制器不能用域名系统来解析。确认域控制器在线，如果在线，确认能够使用域名系统来解析域控制器的域名。实施组策略时的常见问题（续）n问题二、 组策略设置不发挥预期功能。该问题的可能原因和解决方案如下：n继承冲突 如果显示组策略设置没有应用，问题可能是由继承冲突引起的。从活动目录继承的顶端开始，检查连接到每个域、站点、组织单位的GPO顺序，这些GPO可能影响还没有接受组策略设置的用户或计算机。然后查看在计算机和用户设置之间是否有冲突，记

14、住，在绝大多数情况下，如果发生冲突，计算机设置优先于用户设置；检查禁止覆盖的GPO连接以及检查阻止继承的域和组织单位。实施组策略时的常见问题（续）n权限问题 检查希望应用的GPO的DACL。确保用户和计算机账户有需要应用的所有GPO的读和申请组策略设置的权限；同时，检查计算机或用户账户的安全组成员资格，确保账户是其成员之一的安全组在DACL中列出；同时，检查拒绝ACE。记住拒绝优先于所有的允许权限。n禁用GPO节点 检查所有的GPO，查看计算机配置或用户配置节点是否已经禁用。n复制问题 确保活动目录复制和Sysvol复制的完成。记住如果GPO的GPC和GPT部分都没有复制，组策略将无法运行。实施组策略时的常见问题（续）n域之间的GPO链接问题 如果一个站点、域或组织单位链接到另一个域的GPO上，可以通过