组策略是Active Directory中非常重要的一项技术

1、组策略是Active Directory中非常重要的一项技术，很多朋友都听说过组策略对于管理的重要意义，也明白有些疑难问题可以用传说中的“策略”来解决。但并不清楚组策略该如何理解，如何部署，如何管理。今天起我们将组织一系列的博文为大家介绍组策略的来龙去脉，力争让大家可以更好地利用组策略来完善管理工作。我们首先从组策略的概念谈起，什么是组策略呢？组策略是一个允许执行针对用户或计算机进行配置的基础架构。这个概念听起来有些晦涩，不太容易理解。其实通俗地说，组策略和注册表类似，是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢？注册表只能针对一个用户或一台计算机进行设置，但组策略却可

2、以针对多个用户和多台计算机进行设置。这个你明白组策略的优点了吧，在一个拥有1000用户的企业中，如果我们用注册表来进行配置，我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略，那只要创建好组策略，然后通过一个合适的级别部署到1000台计算机上就可以了。组策略和和Acttivee Diirecctorry结合合使用，可以部部署在OOU，站站点和域域的级别别上，当当然也可可以部署署在本地地计算机机上，但但部署在在本地计计算机并并不能使使用组策策略中的的全部功功能，只只有和AActiive Dirrecttoryy配合，组策略略才可以以发挥出出全部潜潜力。组组策略部部署在不不同级别别的

3、优先先级是不不同的，本地计计算机站点域OOU。我我们可以以根据管管理任务务，为组组策略选选择合适适的部署署级别。组策略对对象存储储在两个个位置，链接GGPO的的Acttivee Diirecctorry容器器和域控控制器上上的Syysvool文件件夹。GGPO是是组策略略对象的的缩写，GPOO是组策策略设置置的集合合，是 存储在在Acttivee Diirecctorry中的的一个虚虚拟对象象。GPPO由组组策略容容器(GGPC) 和组组策略模模板(GGPT)组成，GPCC包含GGPO的的属性信信息，存存储在域域中每台台域控制制器活动动目录中中；GPPT 包包含GPPO 的的数据，存储在在Sy

4、ssvoll 的 /Poolicciess 子目目录下。组策略管管理可以以通过组组策略编编辑器和和组策略略管理控控制台（GPMMC），组策略略编辑器器是Wiindoows操操作系统统中自带带的组策策略管理理工具，可以修修改GPPO中的的设置。GPMMC则是是功能更更强大的的组策略略编辑工工具，GGPMCC可以创创建，管管理，部部署GPPO，最最新的GGPMCC可以从从微软网网站下载载。至此，我我们对组组策略的的功能，结构和和管理工工具都有有了一定定的了解解，下篇篇博文中中我们将将通过实实例为大大家介绍绍如何对对组策略略进行部部署及管管理。在IT工工程师的的运维工工作中，有很多多没有技技术含量量

5、的事务务性操作作是很令令人头疼疼的，例例如为客客户机安安装软件件。有些些朋友看看到这里里估计会会很不以以为然，想我等等IT专业业人士，纵横江江湖多年年，无论论国内国国外，正正版盗版版，安装装个小小小软件还还不是手手到擒来来！其实实不然，在一台台机器上上安装软软件当然然不难，要是让让你在一一千台机机器上安安装Offficce呢？想想看看，要是是用传统统的方式式一台一一台地安安装，操操作者是是很需要要有一番番直面惨惨淡人生生的勇气气的。 因因此，为为客户机机选择一一种快速速部署软软件的解解决方案案就成了了工程师师们面临临的一个个问题。解决这这个问题题有多种种备选方方案，例例如微软软的SCCCM，它

6、在功功能上非非常令人人满意，但是价价格嘛.本文文将为大大家介绍绍一种性性价比较较高的软软件部署署解决方方案利利用ADD的组策策略完成成客户机机软件部部署。 组组策略部部署软件件的思路路是把要要部署的的软件存存储在文文件服务务器的共共享文件件夹中，然后通通过组策策略告知知用户用用户或计计算机，某某服服务器的的某某文文件夹有有要安装装的软件件，赶紧紧去下载载安装。这样一一来，我我们只要要设置好好组策略略，就可可以等待待客户机机自动进进行软件件安装了了，完全全不用在在客户机机上一一一进行部部署了。 组组策略进进行软件件安装有有自己的的特点，那就是是组策略略支持安安装的软软件不能能是EXXE格式式。E

7、XXE是我我们平时时使用最最多的可可执行程程序格式式，组策策略不支支持EXXE是个个很大的的遗憾，话又说说回来了了，要是是组策略略什么格格式都支支持，那那SCCCM的销销售就要要受影响响了，呵呵呵。组组策略支支持的软软件格式式最好是是MSII格式，ZAPP或MSTT也是可可以的。 今今天我们们将通过过一个实实例为大大家介绍绍如何通通过组策策略进行行软件部部署，拓拓扑如下下图所示示，Flloreencee是域控控制器，Isttanbbul是是文件服服务器，Perrth是是测试用用的客户户机。 首首先，我我们要准准备测试试用的软软件。我我们准备备的软件件是微软软的LiiveWWritter，这个软

8、软件想必必各位博博友是非非常熟悉悉的，非非常著名名的离线线博客工工具。如如图1所示，我们把把LivveWrriteer存储储在isstannbull的一个个共享文文件夹中中，大家家可以看看到程序序的扩展展名是MMSI。图1准备好了了软件，我们就就可以来来设置组组策略了了。在FFlorrencce上打打开Acctivve DDireectoory用用户和计计算机，如图22所示，右键点点击人事事部OUU，准备备为此OOU创建建一个组组策略。人事部部OU内有有一个张张建国用用户，张张建国用用户使用用的客户户机就是是Perrth。图2如图3所所示，我我们在人人事部OOU的属属性中切切换到“组策略略”标

9、签，创建一一个名为为LivveWrriteer的组组策略。图3如图4所所示，编编辑新创创建的LLiveeWriiterr组策略略属性，准备在在组策略略中设置置软件安安装。组组策略可可以针对对用户或或计算机机进行软软件安装装设置，本例中中我们将将针对用用户。在在组策略略中定位位到用户户配置软件设设置软软件安装装，选择择新建一一个程序序包。图4如图5所所示，我我们为新新创建的的程序包包选择路路径， HYPERLINK l file:/instanbullivewriterwriter.msi innstaanbuullliveewriiterrwrriteer.mmsi是是我们要要用组策策略进行行

10、部署的的软件。图5接下来要要选择部部署方式式，可以以选择发发布或指指派。发发布和指指派的区区别在于于，发布布只能针针对用户户，而指指派则既既能针对对用户也也能针对对计算机机；而且且指派有有一定的的强制性性，但发发布则不不具有强强制性。本文中中我们选选择的部部署方式式是发布布，下篇篇博文中中将为大大家举一一个指派派的例子子。图6组策略部部署完毕毕，如图图7所示，组策略略已经从从MSII文件中中识别出出了软件件的版本本。图7组策略设设置完毕毕后，我我们在客客户机PPertth上测测试一下下。由于于此次组组策略软软件安装装针对的的是用户户，因此此我们需需要让张张建国用用户注销销后重新新登录，这样策策

11、略才能能生效。如图88所示，张建国国登录后后打开控控制面板板中的添添加或删删除程序序，点击击“添加新新程序”，就可可以看到到有一个个Winndowws LLivee Wrriteer程序序可供选选择，点点击“添加”就可以以开始安安装了。图8软件安装装过程基基本上没没有什么么提示，很快软软件安装装完毕，如图99所示，我们在在Perrth的的程序组组中看到到了利用用组策略略部署的的LivveWrriteer。图9组策略不不仅能快快速安装装软件，也可以以用于卸卸载软件件。如图图10所示示，我们们在组策策略中找找到新创创建的程程序包，在任务务中选择择“删除”。图10如图111所示，我们选选择立即即删除

12、软软件，但但实际上上必须等等到用户户注销重重新登录录后，软软件的卸卸载策略略才可以以生效。图11我们在PPertth上让让用户张张建国注注销系统统后重新新登录，如图112所示示，我们们可以看看到系统统正在自自动删除除软件。图12如图133所示，LivveWrriteer已经经被组策策略成功功卸载。从这个个例子中中，我们们可以看看到，组组策略这这种集中中管理的的思想用用于实现现软件安安装还是是相当的的方便，下篇博博文中我我们将再再为大家家举一个个软件指指派的例例子。图13上篇篇博文中中我们介介绍了如如何利用用组策略略在客户户机上安安装 HYPERLINK / 软件件，我们们用分发发的部署署方式为

13、为大家举举了一个个软件安安装的实实例，本本文中我我们将为为大家介介绍如何何用组策策略通过过指派的的方法实实现软件件安装。指派可可以针对对用户，也可以以针对计计算机，相比较较分发的的部署方方式更为为灵活。实验拓拓扑如下下图所示示，我们们这次准准备部署署的软件件是Offficce20003。 HYPERLINK /2010_02_02/1265125720_ddvip_2720.jpeg 查看看原图（大图）如图图1所示示，在文文件 HYPERLINK /server/index.html 服务务器Isstannbull的 HYPERLINK /office/index.html Offficce共

14、享享文件夹夹中，我我们看到到了Offficce20003的的安装文文件。由由于组策策略不能能支持EEXE文文件，因因此我们们需要使使用PRRO111.MSSI文件件进行组组策略指指派。 HYPERLINK /2010_02_02/1265125720_ddvip_4846.jpeg 查看看原图（大图）图11和上上文类似似，我们们在域控控制器上上打开AActiive Dirrecttoryy用户和和计算机机，如图图2所示示，在人人事部OOU上创创建一个个名为OOffiice220033的组策策略。图22如图图3所示示，我们们在Offficce20003组组策略内内选择新新建一个个程序包包，这个个

15、程序包包仍然针针对的是是人事部部OU内内的用户户。 HYPERLINK /2010_02_02/1265125720_ddvip_3532.jpeg 查看看原图（大图）图33我们们指定IIstaanbuul服务务器上OOffiice共共享文件件夹内的的PROO11.MSII是要进进行安装装的程序序包。 HYPERLINK /2010_02_02/1265125720_ddvip_9415.jpeg 查看看原图（大图）图44本次次部署方方式我们们选择指指派，和和发布相相比，指指派具有有一定的的强制性性。图55如图图6所示示，Offficce20003的的程序包包已经准准备完毕毕。当启动作作为域成

16、成员的基基于 WWinddowss 20000 的计算算机时，系统将将处理链链接的组组策略对对象 (GPOO) 的的“计算算机设置置”部分分的组策策略设置置，并应应用于该该计算机机。此外外，当您您登录到到域时，系统将将处理和和应用每每个链接接的 GGPO 的“用用户配置置”部分分的所有有组策略略设置。由于 Winndowws 花花费时间间应用每每个策略略设置，因此策策略设置置可能减减缓登录录过程，这导致致启动计计算机到到能够使使用计算算机之间间出现时时间间隔隔。您可可以使用用本文介介绍的方方法将这这一间隔隔减至最最小。 如何减少少已处理理的 GGPO 的数目目Winddowss 20000 的

17、启动动和登录录时间直直接与需需要处理理的 GGPO 数量成成比例。链接到到站点、域或组组织单元元的 GGPO 由这些些站点、域或组组织单元元的所有有计算机机和用户户进行处处理。要要减少这这些组策策略设置置的处理理时间，请使用用下列任任意一种种方法： 使用组织织单元。 合并组策策略设置置。 基于安全全组成员员身份筛筛选组策策略。 禁用部分分组策略略设置。 如何使用用组织单单元使用组织织单元以以更加详详细的形形式分配配组策略略设置。将 GGPO 链接到到组织单单元时，您可以以将对不不必要的的 GPPO 的的处理减减少到最最小。要要为组织织单元创创建一个个 GPPO，请请按照下下列步骤骤操作： 单击

18、开始始，指向向程序，指指向管理理工具，然后单单击“AActiive Dirrecttoryy 用户户和计算算机”。 单击以扩扩展该域域，右键键单击要要配置的的组织单单元，然然后单击击属性。 单击组策策略选项项卡，然然后单击击新建。 在新建组组策略对对象框中中键入 GPOO 的描描述性名名称，然然后按 ENTTER 键。 单击属性性，然后后单击安安全选项项卡。 对于您不不希望应应用此策策略设置置的安全全组，单单击清除除允许列中中的应用用组策略略复选框框；对于于您希望望应用此此策略设设置的安安全组，则单击击选中允允许列中中的应用用组策略略复选框框；然后后单击确确定。 单击编辑辑，然后后配置您您想要

19、使使用的策策略设置置。 当您配置置完策略略设置后后，请退退出“组组策略”管理单单元，然然后单击击关闭。 退出“AActiive Dirrecttoryy 用户户和计算算机”管管理单元元。 如何合并并组策略略设置Winddowss 处理理大量小小 GPPO 比比处理少少量大 GPOO 要花花费更长长的时间间。要减减少登录录到域所所花的时时间，请请合并若若干个 GPOO 的设设置以创创建一个个大的策策略设置置。 如如何基于于安全组组成员身身份筛选选组策略略Winddowss 处理理所有链链接的组组策略设设置，来来确定要要应用于于登录到到域的计计算机或或用户帐帐户的有有效策略略设置。如果某某个 GG

20、PO 与特定定的用户户或组无无关，您您可以编编辑安全全权限，这样将将不处理理您选择择的 GGPO： 单击开始始，指向向程序，指指向管理理工具，然后单单击“AActiive Dirrecttoryy 用户户和计算算机”。 执行下列列步骤之之一： 如果您想想要编辑辑链接到到域的 GPOO 的安安全设置置，则右右键单击击该域，然后单单击属性性。 如果您想想要编辑辑链接到到一个组组织单元元的 GGPO 的安全全设置，则单击击展开该该域，右右键单击击该组织织单元，然后单单击属性性。 单击组策策略选项项卡，单单击要配配置的 GPOO，然后后单击属属性。 单击安全全选项卡卡。 对于您不不希望应应用此策策略设

21、置置的安全全组，单单击以清清除允许许列中的的应用组组策略复复选框，对于您您希望应应用此策策略设置置的安全全组，则则单击选选中允许许列中的的应用组组策略复复选框。备注：要要基于安安全组成成员身份份限制 GPOO 的应应用程序序，您必必须从“名称”列表中中删除 Autthennticcateed UUserrs 组组和 EEverryonne 组组（如果果它们存存在）。如果启启用了环环回处理理，请单单击下面面的文章章编号，查看 Miccrossoftt 知识识库中相相应的文文章，并并阅读其其他说明明。查找找以“TThe macchinne aaccoountt off thhe ttermmina

22、al sservver”开头的的句子。 HYPERLINK /kb/260370/EN-US/ 2603370 (hhttpp:/m/kbb/26603770/EEN-UUS/ ) HHow to Appply Grooup Pollicyy Obbjeccts to Terrminnal Serrvicces Serrverrs 单击确定定，然后后单击确确定。 退出“AActiive Dirrecttoryy 用户户和计算算机”管管理单元元。 如何禁用用组策略略设置的的未使用用部分GPO 包含“计算机机配置”部分和和“用户户配置”部分。如果您您希望应应用的策策略设置置仅包含含对该 GPOO

23、的一一个部分分的配置置更改，您可以以配置该该 GPPO 以以使系统统不处理理未使用用的部分分。此时时，您可可以减少少 Wiindoows 处理 GPOO 所花花的时间间。 单击开始始，指向向程序，指指向管理理工具，然后单单击“AActiive Dirrecttoryy 用户户和计算算机”。 执行下列列步骤之之一： 如果您想想要编辑辑链接到到域的 GPOO 的安安全设置置，则右右键单击击该域，然后单单击属性性。 如果您想想要编辑辑链接到到一个组组织单元元的 GGPO 的安全全设置，则单击击展开该该域，右右键单击击该组织织单元，然后单单击属性性。 单击组策策略选项项卡，单单击要配配置的 GPOO，

24、然后后单击属属性。 执行下列列步骤之之一或都都执行： 单击以选选中“禁禁用计算算机配置置设置”复选框框，然后后，当收收到“确确认禁用用”消息息时单击击是。 单击以选选中“禁禁用用户户配置设设置”复复选框，然后，当收到到“确认认禁用”消息时时单击是是。 单击确定定，单击击应用，然然后单击击确定。 退出“AActiive Dirrecttoryy 用户户和计算算机”管管理单元元。 如何将组组策略设设置配置置为异步步运行启动 WWinddowss 时，系统将将按以下下顺序同同步处理理每个 GPOO 的计计算机配配置部分分的策略略设置： 本地策略略设置 站点策略略设置 域策略设设置 组织单元元策略设设

25、置 处理计算算机配置置策略设设置后，系统将将提示您您登录到到域。登登录到域域时，系系统将按按以下顺顺序同步步处理每每个 GGPO 的用户户配置部部分的策策略设置置： 本地策略略设置 站点策略略设置 域策略设设置 组织单元元策略设设置 要减少登登录所花花的时间间，请配配置组策策略设置置的异步步处理。此时，系统将将下载策策略设置置并且不不按顺序序处理，并且您您就可以以在应用用所有策策略设置置之前登登录到域域。要配配置组策策略设置置的异步步处理，请执行行下列步步骤： 创建一个个您可以以用来在在域中实实现异步步组策略略处理的的 GPPO。 配置异步步 GPPO 处处理。 下面各部部分介绍绍如何完完成这一一过程。如何为异异步处理理创建 GPOO要创建一一个您可可以用来来在域中中实现异异