第18章WindowsServer2003组策略应用

第18章WindowsServer2003中组策略应用作为一个网络管理员，我们希望有一种方便的、灵活的方法可以控制整个公司的员工的用户桌面环境，可以给用户安装他们所需要的软件而不用您亲自一台一台地去安装。在WindowsServer2003中提供了这种方便灵活地实现方法——组策略。尤其是在域模式的情况下，应用组策略可以提供更加方便灵活的功能。18.1创建和配置组策略18.1..1组策策略简介介组策略设置置定义了了系统管管理员需需要管理理的用户户桌面环环境的各各种组件件，例如如，用户户可用的的程序、用用户桌面面上出现现的程序序以及“开始”菜单选选项。要要为特定定用户组组创建特特殊的桌桌面配置置，请使使用组策策略对象象编辑器器。您指指定的组组策略设设置包含含在组策策略对象象中，而而组策略略对象又又与选定定的AActiiveDirrecttoryy对象象（即站站点、域域或组织织单位）相相关联。组策略不仅仅应用于于用户和和客户端端计算机机，还应应用于成成员服务务器、域域控制器器以及管管理范围围内的任任何其他他MiicroosofftWWinddowss20003计算算机。默默认情况况下，应应用于域域的组策策略会影影响域中中的所有有计算机机和用户户。“ActtiveeDiirecctorry用用户和计计算机”还提供供内置的的“DommainnCoontrrolllerss”组织单单位。如如果将域域控制器器帐户保保存在那那里，则则可以使使用组策策略对象象“DeffaulltDDomaainConntroolleersPollicyy”将域控控制器与与其他计计算机分分开管理理。组策略包括括影响用用户的“用户配配置”策略设设置和影影响计算算机的“计算机机配置”策略设设置。使用组策略略可执行行以下任任务：通过“管理理模板”管理基基于注册册表的策策略。组组策略创创建了一一个包含含注册表表设置的的文件，这这些注册册表设置置写入注注册表数数据库的的“Useer”或“LoccalMacchinne”部分。登登录到给给定工作作站或服服务器的的用户的的特定用用户配置置文件写写在注册册表的HKEEY_CCURRRENTT_USSER(HKKCU))下，而而计算机机特定设设置写在在HKKEY__LOCCAL__MACCHINNE((HKLLM)下。指派脚本。包包括计算算机的启启动、关关闭、登登录和注注销等脚脚本。重定向文件件夹。可可以将文文件夹（如如我的的文档ss和MyPiccturres）从从本地计计算机上上的DDocuumenntsanddSeettiingss文件件夹中重重定向到到网络位位置上。管理应用程程序。使使用组策策略，可可以通过过“组策略略软件安安装”来指派派、发布布、更新新或修复复应用程程序。指定安全选选项。组策略对象象策略设置存存储在组组策略对对象中。可可以将组组策略对对象编辑辑器看作作一个应应用程序序，它的的文档类类型是组组策略对对象，就就象文字字处理程程序使用用.ddoc或..txtt文件件那样。有两种组策策略对象象：本地地和非本本地。本本地组策策略对象象存储在在各个本本地计算算机上。一一台计算算机上只只存储一一个本地地组策略略对象，而而且它拥拥有在非非本地组组策略对对象中可可用的设设置的一一个子集集。如果果二者的的设置发发生冲突突，则非非本地组组策略对对象的设设置会覆覆盖本地地组策略略对象的的设置；；如果不不冲突，则则都可以以应用。存储在域控控制器中中的非本本地组策策略对象象只能在在ActtiveeDiirecctorry环境境下使用用。它们们会应用用到与组组策略对对象相关关联的站站点、域域或组织织单位中中的用户户和计算算机。默认情况下下，安装装ActtiveeDiirecctorry时，会会创建两两个非本本地组策策略对象象：“DefaaulttDoomaiinPPoliicy”与域链链接，它它通过策策略继承承影响域域中的所所有用户户和计算算机（包包括作为为域控制制器的计计算机）。“DefaaulttDoomaiinCConttrolllerrsPPoliicy”与“DommainnCoontrrolllerss”组织单单位链接接，它通通常只影影响域控控制器，因因为域控控制器的的计算机机帐户单单独保存存在“DommainnCoontrrolllerss”组织单单位中。组策略权限限默认情况下下，只有有域管理理员、企企业管理理员、组组策略生生成器所所有者和和操作系系统才可可以创建建新的组组策略对对象。如如果域管管理员希希望非管管理员或或组能够够创建组组策略对对象，则则可以将将该用户户或组添添加到GrooupPollicyyCrreattorOwnnerss安全全组中。当当不是管管理员、但但身为GrooupPollicyyCrreattorOwnnerss组成成员的用用户创建建组策略略对象时时，该用用户即成成为该组组策略对对象的创创建者和和所有者者；因此此，该用用户可以以编辑该该组策略略对象。成成为GGrouupPPoliicyCreeatoorOOwneers组的成成员后，用用户只能能完全控控制自己己所创建建的组策策略对象象（该组组策略对对象已明明确委派派给该用用户）。非非管理员员用户对对于域中中任何其其他组策策略对象象都没有有额外的的权利—这些些用户对对于别人人创建的的组策略略对象并并没有权权利。如表18--1描述述了组策策略对象象上的默默认权限限。表18－11组策策略对象象上的默默认权限限安全组默认设置AutheentiicattedUseers读取、应用用组策略略(AAGP))LocallSyysteem完全控制（包包含AAGP）Domaiinaadmiinisstraatorrs读取、写入入、创建建子组策策略对象象、删除除子组策策略对象象、AGGPAdminnisttrattorss读取、写入入、创建建子组策策略对象象、AGGPGrouppPooliccyCCreaatorrOwwnerrs读取、写入入、AGGP默认情况下下，任何何管理员员都无法法删除组组策略对对象“DeffaulltDDomaainPollicyy”。这种种限制的的目的在在于防止止意外删删除该组组策略对对象，它它包含该该域的重重要和必必要设置置。如果果因为某某种原因因必须删删除“DeffaulltDDomaainPollicyy”，则必必须明确确地向相相应的组组授予“删除”权限。这这是组策策略对象象上的高高级访问问控制项项(AACE))。下面简要介介绍几个个标准权权限：默认情况下下，GPPO给予予域管理理员组，企企业管理理员组、组组策略创创建拥有有者组和和系统组组中的成成员，除除“采用组组策略”以外的的权限。这这意味着着这四个个组能编编辑GPPO，但但包含在在GPOO中的策策略不能能应用在在他们身身上。应用组策略略：在标标准组策策略对象象权限中中还有一一条就是是应用组组策略，如如果哪个个用户被被赋予了了这个权权限和读读取权限限，那么么这条组组策略将将对该帐帐号起作作用。如果已经将将域和企企业管理理小组设设为对某某组策略略无应用用权限，那那么即使使其中的的小组成成员被授授予应用用权限，由由于拒绝绝权限总总是优先先于允许许权限，所所以，小小组成员员依然选选用被拒拒绝应用用组策略略权限。删除组策略略权限：：这个权权限较易易理解，那那就是谁谁删除本本条组策策略的权权限，谁谁就能删删除一条条组策略略。安全子页中中的高级级选项中中的特殊殊权限，审审核及所所有者概概念上均均与以前前讲的组组织单位位的安全全页一致致，只是是要搞清清楚这里里的“安全”页设置置针对的的是GPPO就不不会出问问题。策略继承一般情况下下，域中中的组策策略会从从父容器器传递到到子容器器。但是是组策略略不会从从父域继继承到子子域，例例如，从从m创建地地组策略略不会继继承到m。如果为一个个高级别别的父容容器指派派特定的的组策略略设置，则则该组策策略将应应用到该该父容器器下的所所有容器器，包括括每个容容器中的的用户和和计算机机对象。但但是，如如果您为为某个子子容器明明确指定定了组策策略设置置，则该该子容器器的组策策略设置置将覆盖盖父容器器的设置置。如果父组织织单位具具有未配配置的策策略设置置，则子子组织单单位将不不会继承承这些设设置。禁禁用的策策略设置置被继承承之后还还是禁用用的。此此外，如如果父组组织单位位已经配配置了一一个策略略设置（启启用或禁禁用），而而子组织织单位并并未配置置同一策策略设置置，则子子组织单单位会继继承父组组织单位位的启用用或禁用用的策略略设置。如果应用到到父组织织单位的的策略设设置与应应用到子子组织单单位的策策略设置置兼容，则则子组织织单位会会继承父父组织单单位的策策略设置置，而且且还会应应用子组组织单位位的策略略设置。如果为父组组织单位位配置的的策略设设置与为为子组织织单位配配置的同同一策略略设置不不兼容（因因为在某某种情况况下设置置是启用用的，而而在另一一种情况况下设置置是禁用用的），子子组织单单位就不不继承父父组织单单位的策策略设置置。这时时会应用用子组织织单位中中的设置置。阻止继承可以在域或或组织单单位级别别阻止策策略继承承，方法法是打开开域或组组织单位位的属性性对话框框，并选选中“阻止策策略继承承”复选框框。阻止继承的的两个局局限：“阻止策略略继承”无法选选择阻止止哪个上上级组织织单位的的GPOO，要阻阻止，就就都阻止止。如果上级组组织单位位的一条条GPOO设为“禁止替替代”，子组组织单位位此时再再选阻止止继承就就不能阻阻止这条条上级组组织单位位的GPPO继承承到子组组织单位位。如果果这条“禁止替替代”的上级级GPOO被链接接到子组组织单位位中，那那么也阻阻止不了了它起作作用。强迫继承可以强迫策策略继承承，方法法是在组组策略对对象链接接上设置置“禁止替替代”选项。选中“禁止止替代”复选框框后，就就会强迫迫所有子子策略容容器继承承父策略略，即使使这些策策略与子子策略相相冲突，或或者即使使已为子子容器设设置了“阻止继继承”选项。可以在组策策略对象象链接上上设置“禁止替替代”选项，方方法是打打开站点点、域或或组织单单位的属属性对话话框，并并选中“禁止替替代”复选框框。注意：设置置为“禁止替替代”的策略略并不能能被阻止止。18.1..2创建建一个组组策略对于组策略略来说，我我们一般般通过将将组策略略对象链链接到AActiiveDirrecttoryy对象（站站点、域域或组织织单位），可可以应用用基于AActiiveDirrecttoryy的组策策略。“用户配配置”下的组组策略设设置应用用到用户户，“计算机机配置”下的组组策略设设置应用用到计算算机。下下面我们们就以组组织单位位为例来来讲解如如何创建建一个组组策略。步骤：1.登录录域控制制器，打打开“ActtiveeDiirecctorry用用户和计计算机”，在“ActtiveeDiirecctorry用用户和计计算机”中，选择择想要设设置组策策略的组组织单位位，单击击鼠标右右键，选择“属性”。2.在弹弹出的页页面中单单击“组策略略”选项卡卡（如图图18--1）图18-11组织单单位的属属性页中中的组策策略项3.此时时组策略略链接栏栏中是空空的，因因为尚未未创建组组策略。此此时，只只有新建建和添加加两按钮钮是黑的的，其它它接钮均均为灰色色。下面分别就就这几个个按钮介介绍组策策略的结结构。“新建”按按钮按“新建”按钮可可以创建建新的组组策略对对象，也也称GPPO（GGrouupppoliicyobjjectt）。在在一个活活动目录录容器下下可以创创建多条条组策略略，按最最右边的的“向上和和向下”键，可可以调整整组策略略的顺序序，而组组策略在在执行时时，它会会按从下下到上的的顺序一一条一条条执行。4.点“新建”按钮，出出现（如如图188-2）所示示。图18-22新建建组策略略对象此时你可以以输入这这个组策策略对象象的描述述，如“技术部部员工”对你所所创建策策略的一一个概况况性的描描述。如如果不输输入任何何文字，用用鼠标直直接点“新建组组策略对对象”，其余余几个按按钮如编编辑、选选项、删删除、属属性均亮亮起来，只只有“向上、向向下”还是灰灰色的。（如如图188-3）图18-33选中中组策略略后的画画面“添加”按按钮GPO即组组策略对对象和站站点，域域以及组组织单无无可以连连接在一一起，建建立这种种连接之之后，GGPO的的设置将将应用在在站点，域域或组织织单元内内的用户户和计算算机上。那那么怎样样连接呢呢？这就就要用到到“添加”键。下下面介绍绍组策略略的连接接。步骤：1．单击“添加”按钮。将将弹出如如图188-4所示的的“添加组组策略对对象链接接”界面。图18-44添加组组策略对对象链接接出现的页面面中又有有三个子子页，这这三个子子页分别别提供了了三个范范围，一一个是域域/组织织单位，第第二个是是站点，第第三个是是全部。我们在“查找范围”中选择整个域，如图18－5。现以“缺省省的域策策略”为例，我我们在“域/组织织单位”项上选选中“deffaulltddomaainpollicyy”，并点点“确定”。出现现（如图图18--6）所示示的情况况，在“组策略略对象链链接”栏中出出现了“deffaulltddomaainpollicyy”图18－55添加加组策略略对象链链接图18-66添加“deffaulltddomaainpollicyy”到组织单单位其实，添加加组策略略链接使使创建组组策略的的工作方方便了，否否则就要要一个一一个策略略的创建建并设置置，其工工作量太太大了。注意：管理员可以以将GPPO和多多个站点点，域以以及组织织单元链链接，这这为不同同站点、域域以及组组织单元元的计算算机和用用户配置置相同的的组策略略提供了了可能。也可以将多多个GPPO和单单个站点点、域以以及组织织单元链链接。管理员不能能将GPPO和默默认的活活动目录录容器----计计算机、用用户和BBuilltinn（内置置组）相相连，因因为它们们不是组组织单位位。“编辑”按按钮1.选中中一条组组策略对对象，然然后选“编辑”按钮。（如如图188-7）图18-77打开开一条组组策略对对象2.可以以看到一一条组策策略由两两部分组组成：一一部分是是针对计计算机的的设置，另另一部分分是针对对用户的的设置，其其中具体体的设置置方法后后续章节节会详细细介绍。“选项”按按钮1.在组组策略项项中选中中一条组组策略对对象。2.按“选项”按钮。3.出现现（如图图18--8）所示示页面。图18-88组策策略对象象的选项项4.组策策略选项项中共有有两个多多选框，下下面分别别介绍它它们。禁止替代：：如果你你相让一一条组策策略对象象绝对地地应用于于此组织织单位，而而不受别别的组策策略对象象的限制制，就选选这个复复选框。换换句话说说，当这这条组策策略对象象的设置置与别的的本组织织单位中中的其它它组策略略对象发发生冲突突时，其其它组策策略对象象的设置置不起作作用，所所以重要要的GPPO要选选“禁止替替代”。当不止一个个组策略略链接设设为不重重写时，并并且连接接的GPPO全应应用于同同一个容容器中时时，如果果其中包包括冲突突的设置置，那么么，在活活动目录录中最高高层的GGPO优优先起作作用。已禁用：表表明选中中的组策策略对象象对这个个组织单单位不起起作用。“禁止替代代”和“已禁用用”都是针针对某一一组策略略对象而而言，而而组策略略对象又又对组织织单位中中的用户户和计算算机起作作用。在在学习活活动目录录组策略略的过程程中，由由于内容容较新，新新概念又又多，一一定要明明确哪些些菜单，哪哪些选项项对什么么目标起起作用，否否则东西西一多就就容易混混淆。“选项”按按钮旁边边还有一一个“删除”按钮，选选中某GGPO后后，点“删除”即可将它它删除；；这一功功能很简简单，就就不单用用一节来来讲解。“属性”按按钮1.在组组织单位位属性页页的组策策略子页页中，选选中一组组策略，然然后点“属性”按钮。2.将弹弹出如图图18--9所示的的页面。图18-99组策策略的属属性组策略的属属性由四四个页面面组成；；下面分分别介绍绍：1．常规：：常规中中的摘要要栏提供供了这条条组策略略对象的的一些信信息，如如创建的的时间、修修改的时时间等。各项设置对对组织单单位中的的用户和和计算机机起作用用，如果果你只想想对计算算机起作作用或只只想对用用户起作作用，就就可以在在禁用复复选框中中选中要要禁用的的那一项项。这种种做法可可以提高高域控制制器在活活动目录录中查找找组策略略时的性性能。原原因也很很简单，因因为域控控制器在在应用组组策略时时是一项项一项查查对其中中的设置置，如果果禁用了了计算机机或用户户设置，那那么就不不用再费费时间去去遍历每每一项设设置，因因此，禁禁用此组组策略对对象的不不用部分分可以提提高性能能。2．链接：：如图118-110。图18-110组组策略对对象属性性项中的的链接项项这一页面的的作用是是让使用用者查到到此条组组策略对对象存在在的位置置，是站站点还是是域？还还是某个个组织单单元？先先选择域域的范围围，然后后点“立即查查找”，过一一会儿，在在“发现站站点或部部门”栏就可可以列出出本条组组策略对对象所在在位置（如如图188-111）。图18-111查查找组策策略对象象的位置置3．“安全全”子页首先要明确确这个安安全项是是针对某某一条组组策略对对象的，不不要将这这里的权权限与组组织单位位属性页页上的“安全”子页混混淆。如如图188-122就是安安全页的的外观。图18-112安全全项WindoowsSerrverr20003中中的各种种安全页页形式上上都一样样，都是是上面是是用户或或组，下下栏是标标准权限限，都有有高级选选项，只只不过权权限的应应用对象象不同，以以及权限限的内容容不同。要想有创建建GPOO的权限限，WiindoowsSerrverr20003中中默认的的情况是是：只有有系统帐帐户以及及域管理理员、企企业管理理员，GGPO创创建拥有有者小组组的成员员才可创创建GPPO。GGPO创创建拥有有者小组组的意思思是如果果一个帐帐户是某某GPOO的所有有者，那那么与他他同组的的帐户也也拥有创创建GPPO的权权限。如如果让一一非管理理人员小小组来创创建GPPO，就就必须把把该人员员或小组组添加到到组策略略拥有者者的安全全小组中中。编辑GPOO，要想想能编辑辑某个GGPO，用用户必须须拥有访访问该GGPO的的读写权权限。过滤GPOO作用域域：GPPO内的的策略只只适用于于那些对对该GPPO有读读取权限限的用户户，用这这种办法法可以实实现过滤滤GPOO的功能能。方法法是通过过取消某某帐户对对GPOO的权限限来防止止对特定定组使用用策略。表18--1权权限与GGPO的的应用结结果GPO作用用域选择权限结果GPO应用用到该组组读取+采用用组策略略均为为alllow该GPO适适用于该该组成员员，除非非有一个个其他组组（也包包含该组组用户）将将读取或或采用组组策略设设为deeny在该GPOO中删除除该组读取+采用用组策略略均为为ddenyy不论这些成成员在其其他组中中有何权权限，该该GPOO不适用用与该组组不论GPOO是否使使用，该该安全组组的成员员都无关关读取+采用用组策略略均均不设置置除非该组成成员同时时又属于于另一组组，且这这个组对对GPOO有读取取+采用用组策略略均为为alllow，那那该组成成员将应应用该组组策略；；否则，该该组成员员不应用用该组策策略。4．WMII筛选可利用WMMI筛选选器指定定一个基基于WMMI的查查询，如如图188－133。以筛筛选组策策略对象象的应用用。WMMI筛选选器是用用WMII查询语语言(WWQL))编写的的。WMMI筛选选器只适适用于运运行WiindoowsXPProofesssioonall、WiindoowsXP64--BittEdditiion和和WinndowwsSServver20003操作作系统的的客户端端计算机机。Wiindoows20000客户户端计算算机会忽忽略与组组策略对对象相关关的WMMI筛选选器。图18－113WWMI筛筛选管理员可以以用WMMI筛选选器来指指定基于于WMII的查询询，这样样就能对对组策略略对象的的效果进进行筛选选，并可可对异常常事件进进行管理理。18.1..3组策策略权限限委派委派组策略略对象的的创建权权限将一个非管管理员帐帐户（要要求有本本地登录录权限）加入组策略创建拥有者小组后，他就能创建GPO了。1．打开ActtiveeDiirecctorry用用户和计计算机。2．单击控控制台树树中的“Useers”。3．在详细细信息窗窗格的“名称”列中，在在“GrooupPollicyyCrreattorOwnnerss”上单击击鼠标右右键，选选择“属性”。也可可以双击击“GrooupPollicyyCrreattorOwnnerss”。如图118－114图18－114属属性4．在“GGrouupPPoliicyCreeatoorOOwneers属性”对话框框中，单单击“成员”选项卡卡。如图图18－－15。图18－115GGrouupPPoliicyCreeatoorOOwneers属性5．单击“添加”，然后后输入要向向其委派派创建权权限的用用户或安安全组的的名称，然然后单击击“确定”，返回回“成员”选项卡卡窗口。如图118－116。单单击“确定”完成委委派组策策略对象象的创建建权限。图18－116成成员委派组策略略对象的的编辑权权限1．在MMMC控制制台中，单单击“添加//删除管管理单元元”，在添添加独立立管理单单元。打打开“组策略略对象编编辑器”，如图图18－－17。在弹出出的“选择组组策略对对象”页面中中单击“浏览”按钮，如如图188－188，在弹弹出的“浏览组组策略对对象”页面，单单击“全部”选项卡卡，选择择刚才创创建的“技术部部员工”组策略略，如图图18－－19。图18－117添添加独立立管理单单元图18－118选选择组策策略对象象图18－119选选择技术术部员工工组策略略2．在控制制台树中中，右键键单击组组策略对对象的图图标或名名称，然然后单击击“属性”。如图118－220。图18－220属属性3．要添加加用户或或用户组组，请单单击“安全”选项卡卡，然后后单击“添加”，如图图18－－21。输入用户名或用户组名，然后单击“确定”。如图18－22。我们可以在“安全”选项卡中看到新添加的用户，如图18－23。图18－221安安全选项项卡图18－222用用户图18－223安安全4．然后赋赋予此用户或或组对组组策略对对象的编编辑权限限，请在在“许斌辉辉的权限限”中，选选中与要要赋予的的权限相相对应的的复选框框。完成成操作后后，请单单击“确定”。如图118－224。图18－224安安全设置置5．完成操操作后，单单击“确定”。委派组策略略对象的的链接权权限1．打开ActtiveeDiirecctorry用用户和计计算机。2．右键单单击要向向其委派派链接组组策略对对象权限限的组织织单位，然然后单击击“委派控控制”如图118－225。图18－225委委派控制制3．在控制制委派向向导中，单单击“下一步步”，然后后单击“添加”。如图118－226。图18－226用用户和组组4．在“选选择用户户、计算算机或组组”对话框框中，输输入要选选择的对对象名称称，然后后依次单单击“确定”返回，然然后“下一步步”。如图118－227。图18－227添加加用户和和组5．在“要要委派的的任务”页中的的“委派下下列常见见任务”中，选选中“管理组组策略链链接”复选框框，然后后单击“下一步步”。如图118－228。图18－228委委派任务务6．单击“完成”。如图118－229。图18－229完完成18.1..4解解决组策策略之间间的冲突突当发生冲突突时，默默认是执执行最新新的设置置。新添添加的组组策略都都是在下下方，所所以组策策略是按按由下向向上的顺顺序执行行。如果一条策策略中的的计算机机设置与与用户设设置冲突突，那么么计算机机设置优优先于用用户设置置。组策略是积积累的，除除非2个个或几个个组策略略之间发发生冲突突，否则则所有组组策略都都将影响响用户和和计算机机。当发生冲突突时，活活动目录录按照如如下的原原则确定定执行哪哪个组策策略设置置：来自父容器器的GPPO设置置如果和和子容器器的GPPO设置置冲突，子子容器的的设置优优先执行行。同一组织单单位上的的不同GGPO冲冲突，低低位置的的优先执执行。注意：组策策略设置置优先于于用户配配置文件件设置。18.2设设置组策策略管理理用户环环境使用组策略略设置，可可定义用用户桌面面环境的的配置。打打开“组策略略对象编编辑器”，我们们可以看看到所有有的组策策略都包包括“计算机机配置”和“用户配配置”这两个个设置项项。如图图18－－30。而而且从菜菜单上可可以看出出，不管管是计算算机配置置还是用用户配置置，下面面都有三三个子层层：“软件设设置”，“Winndowws设设置”和“管理模模板”。下面面我们将将分别介介绍这些些项目。图18－330组组策略18.2..1组策略略设置的的结构软件设置：：“计算机配配置\软软件设置置”文件夹夹包含适适用于登登录到该该计算机机的所有有用户的的软件设设置。该该文件夹夹包含软软件安装装设置，并并可能包包含由独独立软件件供应商商放置在在该文件件夹中的的其他设设置。“用户配配置\软软件设置置”文件夹夹包含无无论用户户登录到到哪台计计算机均均适用的的软件设设置。该该文件夹夹还包含含软件安安装设置置，并可可能包含含由独立立软件供供应商放放置在该该文件夹夹中的其其他设置置。这里里面的主主要功能能我们将将在后面面专门介介绍这一一部分的的内容。（如如图188-311）图18-331软件件设置Windoows设设置计算机配置置\Wiindoows设置文文件夹包包含适用用于登录录到该计计算机上上的所有有用户的的Wiindoows设置。该该文件夹夹还包含含如下项项目：“安全设设置”和“脚本”。用户户配置\\Winndowws设设置文件件夹包含含不论用用户登录录到哪台台计算机机均适用用的WWinddowss设置置。该文文件夹还还包含如如下项目目：“远程安安装服务务”，“IntternnetExpplorrer维维护”“文件夹夹重定向向”、“安全设设置”和“脚本”。（如图图18--32）图18-332Winndowws设置置管理模板管理模板主主要解决决用户环环境的问问题。这这些文件件夹包含含注册表表设置。计算机配置中的管理模板有Windows组件、系统、网络、打印机；而用户配置中有Windows组件、系统、网络，还有与计算机配置不同的桌面和控制面板及任务栏和[开始]菜单。（如图18-33）图18-333管管理模板板18.2..2计算机机配置中中的Wiindoows设设置脚本（启动动/关闭闭）组策略脚本本设置可可以集中中配置脚脚本，在在计算机机启动、关关闭时自自动运行行。可以以指定在在WinndowwsSServver20003上运运行任何何脚本，包包括批处处理文件件，可执执行程序序等。有有了脚本本，受GGPO作作用的计计算机开开启并进进入操作作系统后后，将自自动运行行这个脚脚本程序序来完成成管理员员想完成成的工作作。（如如图188-344）图18-334脚本本安全设置安全设置下下面有帐帐户策略略、本地地策略、事事件日志志、无限限制的组组、系统统服务、注注册表、文文件系统统、公钥钥策略、IIP安全全策略这这九个子子树，将将所有子子树展开开后，如如图188-355。18-355展开开的安全全设置安全设置中中的每条条设置都都对组织织单位中中的计算算机起作作用。18.2..3管理模模板计算机配置置中的管管理模板板主要控控制计算算机桌面面的外观观和行为为。（如如图188-36）图18-336计计算机配配置中的的管理模模板管理模板下下有Wiindoows组组件、系系统和网网络三个个子树以以及打印印机共四四个组件件，其中三三个子树树下又有有分类。windoows组组件首先看一看看Winndowws组件件，这里里规定了了一些操操作系统统自带的的组件，如如IE、NNetmmeetiing、任任务计划划等。如如图188－377。图18－337wwinddowss组件系统子树系统子树下下又有用用户配置置文件、脚脚本、登登录、磁磁盘配额额、网络络登录、组组策略、远程协助、系统还原、错误报告功能、Windows文件保护、远程过程调用以及Windows时间服务这些子树。（如图18-38）图18-338系系统子树树和其他策略略一样，当当你一点点左边的的容器时时，右边边的策略略栏中就就会列出出相应的的数条策策略，右右击这些些策略，点点属性，就就可以启启用它们们，如果果你不太太清楚这这条策略略的具体体用途，你你可以选选“说明”页。（如如图188-399）图18-339说说明页网络子树展开网络树树，发现现里面有有五项，分别别是DNNS客户户端、脱脱机文件件、网络连连接、QQoS数数据包计计划程序序、SNNMP。（如如图188-400）图18-440网网络子树树打印机选中打印机机子树后后，右边边策略栏栏中出现现各种和和打印机机相关的的策略。（如如图188-411）图18-441打打印机策策略18.2..4用户配配置中的的Winndowws设置置在这里的WWinddowss设置与与计算机机设置不不太相同同。它含含有IEE维护、脚脚本、安安全设置置、远程程安装服服务和文文件夹重重定向这这五个子子树。（如如图188-422）图18-442用用户配置置中的WWinddowss设置IE维护子子树这个子树下下的选项项基本上上与IEE的选项项页面对对应，一一但在组组策略中中设定好好，用户户不管从从哪台计计算机登登录，只只要在组组策略起起作用的的范围内内，其IIE就自自动被赋赋予策略略定义的的内容。脚本脚本的用法法在计算算机配置置中已讲讲过，这这里不再再多讲，只只是用户户配置中中的脚本本是在用用户登录录和注销销时运行行，而在在计算机机和配置置中是启启动和关关闭时起起作用。安全设置用户配置中中的安全全设置要要比计算算机配置置中的简简单许多多，如图图18－－43。图18－443安全全设置远程安装服服务这个策略规规定了用用户在进进行RIIS安装装时，客客户安装装向导运运行期间间，用户户可以使使用的选选项设置置。单击“远程程安装服服务”，右边边策略栏栏中只有有一个选选项选择择，双击击出现图图18--44。图18-444选择择选项属属性。文件夹重定定向这个功能是是一个较较为重要要的功能能。它可可以将用用户常用用的文件件夹，如如我的文文档，应应用程序序数据，桌桌面和开开始菜单单，重定定向到网网络中某某台机器器的某个个共享文文件夹内内。这样样不管用用户从什什么机器器上登录录，都可可以访问问自己的的文件夹夹。而且且文件夹夹集中存存储，也也便于管管理和备备份。还还有，由由于文件件集中在在服务器器上，也也便于保保密。18.2..5用户配配置中的的管理模模板用户配置中中的管理理模板下下有六个个一级子子树，分分别是：：Winndowws组组件、任任务栏和和开始菜菜单、桌桌面、控控制面板板、网络络和系统统。管理理模板主主要是控控制用户户环境的的，这一一点与计计算机配配置相同同。但它它又比计计算机配配置中的的管理模模板内容容丰富。Windoows组件比计算机配配置中多多出Wiindoows资资源管理理器，MMMC控控制台，那那么我们们以资源源管理器器为例，看看一看它它都有什什么策略略。（如如图188-455）18-455资源管管理器策策略任务栏和开开始菜单单管理模板中中的第二二个子树树就是任任务栏和和开始菜菜单。这这里的策略主主要是控控制任务务栏和开开始菜单单中的各各种环境境，前面面已做过过删除“注销”项的实实验。这这里不再再讲述，这这个子树树是用户户配置特特有的。（如如图188-466）图18-446任任务栏和和开始菜菜单的策策略桌面这个子树中中还有两两个子树树，一个个是活动桌桌面，一一个是AActiivedirrecttoryy，而桌桌面本身身也包含含一些策策略。（如如图188-477）图18-447桌桌面策略略这个策略是是用户配配置中独独有的，可可以规定定用户桌桌面环境境如“隐藏网网络邻居居”图标。控制面板这个子树中中的设置置对用户户对控制制面板的的操作做做出了规规定，如如是否禁禁用控制制面板。（如如图188-488）图18-448控控制面板板策略网络子树网络子树在在计算机机配置中中也有，但但如果你你仔细查查看，会会发现其其中的策策略并不不一致。网络下面有有两个子子树，一一个是脱脱机文件件夹，一一个是网网络连接接。虽然然计算机机配置中中也是有有这两项项，但它它们中的的策略的的控制范范围不同同。（如如图188-499，18--49）图18-448用用户配置置中的脱脱机文件件夹的策策略图18-449用户配配置中的的网络连连接策略略系统子树用户配置中中的系统统子树中中有用户户配置文文件、脚脚本、CCtrll＋Allt＋DDel选选项、登登录、组组策略和和电源管管理六个个二级子子树，比比计算机机配置中中少。（如如图188-500）图18-550系统统18.3使用组组策略管管理软件件利用WinndowwsSServver20003的这这个软件件配置功功能，可可以结合合组策略略集中地地从一个个地方管管理软件件布置过过程。换换句话说说，其目目的就是是让某组组织单位位中的计计算机和和用户从从一台服服务器上上得到一一个软件件，而公公司的管管理人员员不用将将这个软软件一台台一台机机器地安安装，而而是采用用集中发发放的方方法，这这样就大大大提高高了安装装一个软软件的效效率。尤尤其当网网络中计计算机很很多，而而公司又又需在每每台机器器上都安安装统一一的软件件的时候候。18.3..1软软件布置置的步骤骤准备阶段首先应准备备一个文文件，以以便能用用组策略略布置。你你应将这这个应用用程序拷拷贝到一一个软件件分布点点，这个个地点可可能是一一个共享享文件夹夹。这个个软件不不是一般般的应用用程序，必必须是由由软件供供应商那那里获得得的Wiindoows安安装程序序表文件件，如表表18--2。表18-22“软件安安装”中常见见文件类类型文件类型文件扩展名名描述WindoowsInsstalllerr程序序包.msii软件供应应商通常常会提供供这些文文件，以以便简化化特定应应用程序序的安装装。请将将这些文文件与其其他所有有必要的的文件一一起保存存在您所所管理的的软件的的软件分分发点。转换.mstt也叫作修修改，这这些文件件在指派派或发布布时会自自定义WinndowwsIInsttalller程序包包的安装装。例如如，它们们可能会会指定应应用程序序套件的的子集。修补程序.mspp错误修复、SServviceePaack以及类类似的文文件都可可以用这这种形式式分发。修补程序不不应该用用于主要要的更改改，其作作用限制制如下：：无法删除组组件或功功能。无法更改产产品代码码。无法删除或或更改快快捷方式式、文件件或注册册表项的的名称。.zap文件.zapp这些文件件是用文文本编辑辑器（如如记事本本）创建建的。它它们只能能被发布布（不能能被指派派），而而且它们们为在本本地计算算机上具具有管理理权限的的用户指指定一个个可执行行安装程程序，该该程序出出现在控控制面板板的“添加或或删除程程序”中。注意：正确使用.zaap文文件语法法中的引引号可能能比较困困难。可可以应用用下列规规则：可执行安装装程序的的路径和和名称必必须始终终用引号号引起来来。如果没有命命令行参参数，则则必须用用两个引引号引起起来。使用绝对路路径的语语法示例例：SetuppCommmannd="""\\\SerrverrNamme\SSharreNaame\\FollderrNamme\ssetuup.eexe"""SetuppCommmannd=""\\SServverNNamee\ShhareeNamme\FFoldderNNamee\seetupp.exxe"/arrgummentt应用程序指指派脚本本.aass使用相对路路径的语语法示例例：SetuppCommmannd="""seetupp.exxe"""SetuppCommmannd=""settup..exee"//arggumeentWindoows安安装技术术的优点点有：有弹性的应应用程序序：如果果一个关关键的文文件被删删除或遭遭到破坏坏，应用用程序自自动返回回源文件件所在地地获取文文件拷贝贝，而不不用用户户干预。干净地删除除：可以以干净地地卸载，不不留下残残留文件件。布置阶段管理员实际际上是通通过组策策略将软软件安装装到所在在组织单单位中的的计算机机上或用用户所使使用的计计算机上上。实际际上软件件是在计计算机启启动时或或用户激激活应用用程序时时安装。维护阶段如果软件版版本升级级了或打打了补丁丁，那么么管理员员就应将将升级的的软件或或补丁及及时发布布给相应应的用户户，所以以维护软软件更新新也是一一项日常常工作，而而用组策策略就是是再方便便不过的的方法了了。而且且用组策策略还有有一种好好处，那那就是不不用通知知用户，因因为他只只要一启启动机器器就会自自动安装装。删除阶段如果一个软软件不再再希望用用户使用用，就需需要删除除它，还还是通过过组策略略进行这这个工作作。总之，在域域中组策策略为用用户统一一安装、升升级、卸卸载软件件提供了了方便。18.3..2发发布和分分配软件件用组策略统统一给客客户端安安装软件件，其形形式有22种：一一个是发发布，另另一个是是分配（或或称指派派）。所有被设定定为发布布的软件件都需要要用户用用控制面面板中的的“添加//删除程程序”来安装装。换句句话说，这这个软件件已经是是可用的的，但安安装与否否的权利利掌握在在用户手手中，用用户要安安装就手手工地添添加这个个应用程程序；否否则，就就不装。可以只给用用户而不不给计算算机发布布软件，因因为用户户必须手手动安装装发布的的软件。那那么换言言之，只只能将软软件发布布给用户户，而不不给计算算机。这这一原则则将来大大家在设设置组策策略是应应注意。可以将软件件分配给给用户和和计算机机。分配软件确确保用户户需要的的所有应应用程序序都安装装到他们们的计算算机上。用用户下一一次登录录时，无无须手工工安装，而而是一登登录，软软件就自自动从远远程安装装到客户户机上。就就象我们们平时在在本地装装一个软软件一样样，安装装完后用用户也会会看到桌桌面图标标，在开开始菜单单程序中中也能看看到程序序快捷方方式。通过分配软软件，可可以确保保：软件对用户户可用，而而当用户户在一台台没有EExceel的计计算机上上启动一一个使用用Exccel的的文件时时，当用用户激活活文件后后，Exxcell就自动动安装到到那台计计算机上上，这叫叫文档激激活方法法安装，在在分布软软件时也也可用这这种方法法。同发布一样样，软件件是有弹弹性的，即即如果缺缺少哪些些文件，当当用户下下次登录录并激活活应用程程序时，将将重新安安装。当管理员给给用户分分配软件件时，软软件将出出现在用用户桌面面上，但但在用户户双击其其图标或或与应用用程序关关联的文文件类型型（文档档激活方方法）前前，安装装不会开开始。在计算机配配置过程程中，通通过给计计算机分分配软件件，在计计算机启启动后，软软件被自自动安装装。这是是与用户户配置中中的软件件设置的的不同之之处。通过分配软软件给计计算机，可可确保相相应的应应用程序序在那台台计算机机上总是是可用的的。但如如果计算算机是一一个域控控制器，分分配软件件给计算算机将不不起作用用。但分分配软件件给用户户会起作作用。18.3..3配置置软件布布置软件设置的的配置主主要通过过两个属属性页进进行，一一个是软软件安装装属性页页，另一一个是具具体软件件安装包包的属性性页。软件安装属属性步骤：1．展开用用户配置置中的软软件配置置子树。2．右击软软件安装装选属性性，出现现图188-511。图18-551软软件安装装属性页页常规页新增程序包包栏是控控制新建建程序包包布置方方式的，缺缺省情况况下是“显示对对话框”给管理理员，以以供管理理人员选选择。如不选“显显示对话话框”，而选选其他的的，如发发行或指指派，那那么管理理员每次次新建程程序包时时就不提提示用户户而直接接把程序序包布置置成指定定选项。下面还有一一个安装装用户界界面选项项，缺省省是基本本的。它它指示出出用户在在客户端端安装软软件时所所出现的的界面是是什么样样的，一一般用“基本的的”就可以以了。在最上端还还有一个个默认程程序包位位置，如如果在此此指定一一个软件件安装包包所在目目录，那那么每次次创建新新的程序序包时，都都进入这这个指定定目录中中。文件名扩展展前面曾经讲讲过，安安装程序序包在被被布置到到客户端端后有几几种情况况，不管管是被发发布还是是被分配配，都有有一种触触发安装装的方法法，那就就是用关关联文件件扩展名名，即用用文档激激活的方方法。前前面也曾曾用Exxcell文档举举过例子子，这个个子页的的主要作作用是管管理员可可以控制制哪个应应用程序序可先和和文件扩扩展名关关联，并并在文档档激活过过程中打打开或安安装。例如，你的的组织既既要安装装Exccel97又又要安EExceel20000，当当这两个个应用程程序都用用.xlls扩展展名，那那么当用用户激活活一个..xlss文档时时将安装装哪个EExceel呢？？答案是：谁谁的优选选级高就就先安谁谁。（如如图188-522）图18-552文文件扩展展名管理员可以以在扩展展名一栏栏中选一一扩展名名，如..xlss，那么么下方的的“应用程程序优先先权”一栏中中就会出出现与之之关联的的软件安安装包，用用“向上向向下”键来调调整优先先级即可可。类别软件安装包包的功能能是各种种各样的的，当软软件安装装包太多多时，用用户很难难从众多多软件中中找到自自己所需需要的软软件包，那那么最好好的办法法就是将将各种各各样的软软件安装装包分类类。在“添加//删除程程序”中，选选中“添加新新程序”，大家家会看到到右侧有有一个“类别”选项。当当管理员员在服务务器端做做出了设设置后，各各种类别别名称就就会出现现在这个个选项中中，用户户可以很很方便地地通过选选择软件件的种类类而快速速找到自自己的目目标。类别的主要要作用就就是对软软件分类类，以便便于查找找。添加类别的的步骤：：1．右击“软件安安装”，选择“属性”。2．在弹出出的“软件安安装属性性”窗口中中选“类别”选项卡卡，选“添加”，出现现一个简简单的对对话框，在在对话框框中输入入类别的的名称。（如如图188-53）图18-553添加加类别3．单击“确定”退出。4．创建完完类别后后，右击击内容栏栏中的软软件包选选“属性”。5．在类别别子页中中，将软软件应归归的类“添加”到右边边栏中。（如如图188-54）图18-554将软软件归类类6．点“确确定”即可，客客户端注注销重登登录后，会会发现“添加//删除程程序”中，类类别处出出现了刚刚才在GGPO中中定义的的类别，并并且当你你选中刚刚才将软软件归类类的那个个类别时时，在“从网络络添加程程序”栏中出出现了相相应软件件。软件安装包包的属性性“软件安装装”属性是是针对所所有已创创建的软软件包的的，而每每个软件件包也有有其自己己的属性性。选定一个软软件安装装包，右右击选属属性，出出现图118-555的属性性页。图18-555软件件安装包包的属性性页常规页常规页提供供了此软软件安包包的一些些信息，如如版本、发发行人、语语言、操操作平台台等。部署（如图图18--56）图18-556部署署页此页分三部部分。最最上面的的是部署署类型，指指明这个个软件包包的布置置方式。中间是部署署选项。第一个多选选框是“通过扩扩展名激激活自动动安装该该应用程程序”，如果果选中，那那么就可可将该应应用程序序与某扩扩展名关关联，实实现文档档激活功功能。第二个选项项是当这这个应用用程序不不再处于于管理范范围时，将将基卸载载，这个个管理范范围指是是当一个个用户或或计算机机不再处处于此GGPO的的管理范范围时，将将此软件件从客户户端卸载载。例如如一个用用户从原原组织单单位中移移到其他他组织单单位中。第三个选项项是“不要在在添加//删除程程序控制制面板中中显示这这个程序序包”，如选选中此选选项，那那么客户户端在控控制面板板中看不不到发布布或分配配的程序序。第四个选项项是“在登录录时安装装此应用用程序”。最下面的部部分是安安装用户户界面选选项。单击“高级级”出现图图18--57。图18-557高级级部署选选项高级选项中中有两个个复选框框，每一一个软件件包都有有语言设设置，如如中文、英英文，这这是指这这个软件件本身是是什么文文字版本本的。升级在软件布置置后，可可能需要要修改它它，那么么管理员员必须能能维护和和升级用用户的软软件，以以确保他他们有最最新的版版本。选中升级子子页后如如图188-58图18-558升级级页点“添加”键可以以指定一一个要为为这个软软件包升升级的程程序包。例如：有一一个软件件包叫ssoftt1，经经开发升升级后，出出了版本本2即ssoftt2。那那么此处处就应将将sofft2添添加进来来。添加升级程程序包的的画面是是图188-59图18-559添加加升级程程序包在“要升级级的程序序包”中选中中那个版版本2的的程序包包。在“添加”下方还还有一个个选项：：“现有程程序包所所需升级级“。升级有两种种，一种种叫强制制升级，即即强制用用户升级级到当前前最新版版本；还还有一种种叫可选选升级，它它允许用用户使用用一个应应用程序序的2个个版本。如如不勾此此项，升升级为可可选升级级。如勾勾此项，为为所需升升级，也也叫强制制升级。类别前面讲过，此此处不再再重复。修改.mst文文件是提提供安装装一个应应用程序序的特殊殊扩展能能力的一一个用户户软件包包。可以以用软件件修改来来部署一一个具有有不同配配置的单单一应用用程序。例如，一个个跨国公公司想要要用GPPO布置置Worrd220033，可以以用不同同的GPPO和..mstt文件为为每种语语言布置置应用程程序的几几个配置置。（如如图188-600）注意：要想为一软软件包添添加修改改，必须须在创建建一个软软件安装装包时选选“高级发发行或指指派”选项，出出现未来来该软件件包的属属性页后后，再选选“修改”才可。图18-660修修改其方法是在在修改画画面中选选“添加”，选择择—（.msst）文文件，单单击“打开”。管理理员可以以加多个个修改，然然后排序序，GPPO会按按排列的的次序来来应用。安全页此页的管理理目标是是这个软软件包，它它规定了了什么样样的用户户或组对对这个软软件包有有什么权权限。它它具有WWinddowssSeerveer220033中所有有安全页页所共有有的画面面菜单和和功能，只只是权限限所指内内容各不不相同。18.4安全模模板18.4..1安安全模板板概述安全模板一一词是对对安全配配置的物物理描述述，是存存储工作作组安全全配置的的文件。安安全模板板中的每每个模板板都有像像本地安安全策略略一样的的内容。模模板都是是以文本本类型的的文件存存储，扩扩展名为为*.iinf。可可以对模模板中的的部分或或全部属属性进行行复制、粘粘贴、导导入、导导出操作作。首先，让我我们来看看一看安安全模板板的模样样。在“运行”中输入mmmc，添添加管理理单元，选选中安全全模板。（如如图188-61）图18-661安安全模板板大家可以看看到，当当选中左左边容器器栏中的的一个模模板后，右右边内容容栏就出出现同本本地安全全策略一一致的子子树。打打开任一一组策略略的设置置页，在在计算机机设置中中也有安安全设置置这一项项，且格格式基本本相同。那么安全模模板有什什么用呢呢？有了了安全模模板就可可以将一一个安全全模板导导入到本本机中或或组策略略中。对对于站点点、域或或组织单单位中的的任何计计算机或或用户帐帐户，只只要应用用了该组组策略对对象，就就会接受受这样的的设置。这这种给组组策略对对象导入入安全模模板的方方式，通通过一次次为多台台计算机机配置安安全性，从从而避免免为每一一台计算算机单独独设置安安全设置置的繁琐琐的管理理工作。反过来，也也可以将将本机安安全设置置导出到到一个安安全模板板中，以以保存这这个安全全设置，并并使之成成为一个个新模板板。这样样，必要要的时候候可以恢恢复原来来的设置置，也可可以把它它导入组组策略中中，应用用于更多多的计算算机或用用户。安全模板可可用于定定义：帐帐户策略略（包括括密码策策略，帐帐户锁定定策略，KKerbberoos策策略）；；本地策策略（包包括审核核策略，用用户权限限分配，安安全选项项）；事事件日志志（应用程程序、系系统和安安全的事事件日志志设置）；；受限制制的组（安全敏敏感组的的成员资资格）；；系统服服务（系统服服务的启启动和权权限）；；注册表表（注册表表项的权权限）；；文件系系统（文件夹夹和文件件的权限限）。18.4..2预定定义模板板预定义的安安全模板板是作为为创建安安全策略略的初始始点而提提供的，这这些策略略都经过过自定义义设置以以满足不不同的组组织要求求。可以以使用安安全模板板管理单单元对该该模板进进行自定定义。一一旦对预预定义的的安全模模板进行行了自定定义，就就可以用用它们配配置单台台或数以以千计的的计算机机的安全全。可以以使用安安全配置置和分析析管理单单元、SSeceeditt命令令行工具具，或将将模板导导入本地地安全策策略中来来配置单单台计算算机。可可以通过过将模板板导入安安全设置置（属于于组策略略的扩展展）来对对多台计计算机进进行配置置。默认认情况下下，预定定义的安安全模板板存储在在如下目目录：%%sysstemmrooot%\\SSecuuritty\TTempplattes，如如图188-622。图18－662安安全模板板下面就来简简单介绍绍这些预预定义的的安全模模板：默认安全设设置((Settupseccuriity..inff)Setuppseecurrityy.innf模模板是在在安装期期间针对对每台计计算机创创建的。取取决于所所进行的的安装是是完整安安装还是是升级，该该模板在在不同的的计算机机中可能能不同。SSetuupssecuuritty.iinf代表了了在安装装操作系系统期间间所应用用的默认认安全设设置，其其中包括括对系统统驱动器器的根目目录的文文件权限限。它可可以用在在服务器器或客户户端计算算机上，但但不能应应用于域域控制器器。此模模板的某某些部分分可应用用于故障障恢复。请不要通过过使用“组策略略”来应用用Seetuppseecurrityy.innf。此此模板含含有大量量数据，如如果通过过组策略略来应用用它，可可能会严严重降低低性能（因因为策略略是定期期刷新的的，这样样做将导导致在域域中移动动大量数数据）。因因此，建建议在局局部应用用Seetuppseecurrityy.innf模模板。由由于SSeceeditt命令令行工具具支持该该功能，因因此建议议使用该该工具。域控制器默默认安全全设置(DCCseecurrityy.innf)该模板是在在服务器器被升级级为域控控制器时时创建的的。它反反映了文文件、注注册表以以及系统统服务的的默认安安全设置置。重新新应用它它后，上上述范围围的安全全设置将将被重新新设置为为默认值值。它可可能覆盖盖由其他他应用程程序创建建的新文文件、注注册表和和系统服服务的权权限。使使用“安全配配置和分分析”管理单单元或Seccediit命命令行工工具可以以应用它它。兼容(ccomppatwws.iinf))工作站和服服务器的的默认权权限主要要授予三三个本地地组：AAdmiinisstraatorrs、PPoweerUUserrs和和Usserss。Addminnisttrattorss享有有最高的的特权，而而Usserss的特特权最低低。正因因为如此此，可以以通过以以下方式式极大地地提高系系统所有有权的安安全性、可可靠性，并并降低其其总成本本：确保最终用用户都是是Usserss成员员。部署可由Useers组的成成员成功功运行的的应用程程序。具有Usser权限的的人可以以成功运运行已加加入在WinndowwsLLogooPrrogrramforrSooftwwaree中的的应用程程序。但但是，UUserr可能能无法运运行不符符合该计计划要求求的应用用程序。如如果必须须支持其其他的应应用程序序，有两两种办法法可供选选择：允许Usserss组的的成员成成为PPoweerUUserrs组组的成员员。放松授予给给Usserss组的的默认权权限。由于PoowerrUsserss用户户不可避避免地具具有诸如如创建用用户、组组、打印印机和共共享的功功能，因因此一些些管理员员宁愿放放松默认认的UUserr权限限也不愿愿让最终终用户成成为PPoweerUUserrs组组的成员员。这正正是兼容容模板的的目的所所在。此此外，兼兼容模板板也可以以删除PowwerUseers组的所所有成员员。请不要将兼兼容模板板应用到到域控制制器。例例如，不不要将兼兼容模板板导入“默认域域策略”或“默认域域控制器器策略”。安全(SSecuure**.innf)安全模板定定义了至至少可能能影响应应用程序序兼容性性的增强强安全设设置。例例如，安安全模板板定义了了更严密密的密码码、锁定定和审核核设置。此外，安全全模板限限制了LANNMaanagger和NNTLMM身份份认证协协议的使使用，其其方式是是将客户户端配置置为仅可可发送NTLLMv22响应应，而将将服务器器配置为为拒绝LANNMaanagger的响应应。为了将SSecuurewws.iinf应用于于成员计计算机，包包含所有有登录该该客户端端的用户户帐户的的所有域域控制器器都必须须运行WinndowwsNNT44.0SerrviccePPackk4或更新新的版本本。通过防止匿匿名用户户（如来来自未受受信任域域的用户户）执行行如下操操作，安安全模板板也对匿匿名用户户提供了了更进一一步的限限制：枚举帐户名名和共享享。执行SIDD到名称称或名称称到SIID的转转换。最后，安全全模板可可启用服服务器端端的SServverMesssaggeBBlocck((SMBB)数数据包签签名。默默认情况况下，该该功能对对服务器器是禁用用的。由由于在默默认情况况下客户户端的SMBB数据据包签名名是启用用的，因因此，当当工作站站和服务务器同在在“安全”级别下下运行时时，SMMB数数据包签签名始终终要经过过协商。高级安全(hiisecc*.iinf))高级安全模模板是对对加密和和签名作作进一步步限制的的安全模模板的扩扩展集，这这些加密密和签名名是进行行身份认认证和保保证数据据通过安安全通道道以及在在SMMB客客户端和和服务器器之间进进行安全全传输所所必需的的。例如如，安全全模板可可以使服服务器拒拒绝LLANMannageer的的响应，而而高级安安全模板板则可导导致同时时对LLANMannageer和和NTTLM响应的的拒绝。安安全模板板可以启启用服务务器端的的SMMB信信息包签签名，而而高级安安全模板板则要求求这种签签名。此此外，高高级安全全模板还还要求对对形成域域到成员员以及域域到域的的信任关关系的安安全通道道数据进进行强力力加密和和签名。客户端所加加入的域域的所有有域控制制器都必必须运行行Wiindoows20000或或更新版版本。例如：Hiiseccws..inff使用用受限制制的组设设置：删除PowwerUseers组的所所有成员员。确保保本地Admminiistrratoors组的成成员中只只有DDomaainAdmminss和本本地AAdmiinisstraatorr帐户户。系统根目录录安全(Roootssec..inff)Rootssec..inff可指指定根目目录权限限。默认认情况下下，Roootssec..inff为系系统驱动动器根目目录定义义这些权权限。如如果不小小心更改改了根目目录权限限，则可可利用该该模板重重新应用用根目录录权限，或或者通过过修改模模板对其其他卷应应用相同同的根目目录权限限。正如如所说明明的那样样，该模模板并不不覆盖已已明确定定义在子子对象上上的权限限，它只只是传递递由子对对象继承承的权限限。无终端服务务器用户户SIID((Nottssiid.iinf))服务器上的的默认文文件系统统和注册册表访问问控制列列表可将将权限授授予终端端服务器器的安全全标识符符(SSID))。仅当当“终端服服务器SIDD”以应用用程序兼兼容模式式运行时时，它才才能被使使用。如如果当前前没有使使用“终端服服务器SIDD”，则可可以应用用该模板板从文件件系统和和注册表表位置删删除不需需要的“终端服服务器SIDD”。然而而，从这这些默认认的文件件系统和和注册表表位置删删除“终端服服务器SIDD”的访问问控制项项并不会会增加系系统的安安全性。因因此请不不要删除除“终端服服务器SIDD”，而直直接以“完整安安全”模式运运行终端端服务器器。当以以“完整安安全”模式运运行时，则则不使用用“终端服服务器SIDD”。18.4..3管理理安全模模板在这一部分分中，我我们主要要讲解通通过复制制安全模模板创建建新的安安全模板板并将创创建的安安全模板板导入到到GPOO中。复制安全模模板创建建新的安安全模板板1．打开“安全模模板”。2．在控制制台树中中，双击击默认路路径的文文件夹(syysteemrooot\\Seccuriity\\Temmplaatess)，然然后在详详细信息息窗格中中，右键键单击要要修改的的预定义义模板。单单击“另存为为”，如图118－663。图18－663另另存为3．输入安安全模板板的新文文件名，然然后单击击“保存”。如图118－664。图18－664保保存4．在控制制台树中中，双击击新安全全模板，以以显示安安全策略略，并定定位到详详细信息息窗格中中显示所所要修改改的安全全属性。5．在详细细信息窗窗格中，右右键单击击安全属属性，然然后单击击“属性”。6．选中“在模板板中定义义这个策策略设置置”复选框框，并进进行更改改，然后后单击“确定”。如图118－665。图18－665设设置密码码长度将安全模板板导入到到GPOO中安全模板不不光要创创建出来来，还要要用到计计算机上上，那么么怎样将将创建好好的模板板应用到到GPOO上呢？？步骤：1.在管管理工具具中打开开活动目目录用户户和计算算机；2.右键键单击mminggjiaao.ccom域域，在下下拉菜单单中选“属性”；3.选组组策略选选项卡，选选中deefannltdommainnpooliccy，再再单击“编辑”；4.在组组策略设设置页面面中，展展开计算算机设置置，再展展开其中中的Wiindoows设设置；5.右键键单击安安全设置置，选“导入策策略”，出现现下图；；（如图图18--66）图18-666导导入策略略来源6．可以看看到系统统自动打打开模板板所在文文件夹，你你可以将将一个模模板导入入进GPPO。那那么自然然该GPPO所在在的域或或组织单单位中所所包含的的计算机机的安全全设置都都会遵从从那个模模板的设设置。将安全设置置导出到到安全模模板如果想将本本机上已已有的安安全配置置做成模模板，将将来再导导入到GGPO中中或仅为为留下一一个备份份，就需需要将安安全设置置导出到到安全模模板中。1.打开开本地安安全策略略控制台台；2.选中中最高层层的安全全设置，单单击控制制台上的的“操作”菜单；；（如图图18--67）图18-667导出出模板3.选“导出策策略”，然后后选“本地策策略”，其意意思是将将本地策策略导出出；4.出现现将策略略导出对对话框，你你需输入入模板的的名字，再再单击保保存即可可。18.5组组策略企企业综合合应用案案例18.5..1组策策略规划划使用组策略略管理员员工的用用户环境境，主要要包括用用户的桌桌面环境境设置，iie设置置，共享享设置，我我的文档档的重定定向等操操作。同时使用组组策略管管理软件件。采用用分配软软件给计计算机的的方法管管理员工工使用的的软件。对于组策略略中的安安全设置置，采用用配置一一个安全全模板，并并将配置置好的安安全模板板导入到到组策略略中的方方式。创建一个全全体员工工使用的的组策略略，同时时对技术术部员工工创建一一个不同同于全体体员工的的组策略略。18.5..2为组组织单位位创建组组策略1．登录域域控制器器，打开开“ActtiveeDiirecctorry用用户和计计算机”，在“ActtiveeDiirecctorry用用户和计计算机”中创建建一个全全体员工工的组织织单位和和一个技技术部组组织单位位，如图图18－－68。图18－668AActiiveDirrecttoryy用户户和计算算机2．在公司司全体员员工组织织单位“名骄实实业”上单击击鼠标右右键，选选择“属性”，然后后单击弹弹出的“名骄实实业属性性”页面的的“组策略略”选项卡卡，如图图18－－69。图18－669组策策略3．单击“新建”，新建建“全体员员工”组策略略。如图图18－－70。图18－770新新建组策策略4．采用同同样的方方式为技技术部创创建“技术部部”组策略略，并勾勾选“阻止策策略继承承”和通过过“选项”按钮设设置“禁止替替代”。如图图18－－71。图18－771新新建组策策略5．打开mmmc控控制台在在mmcc控制台台中单击击“添加//删除独独立管理理单元”，在弹弹出的“添加独独立管理理单元”选择“组策略略对象编编辑器”，然后后单击“添加”，如图图18－－72。图18－772添添加组策策略对象象编辑器器6．在弹出出的“选择组组策略对对象”页面中中单击“浏览”按钮，如如图188－733，在弹弹出的“浏览组组策略对对象”页面，单单击“全部”选项卡卡，选择择刚才创创建的“全体员员工”组策略略，如图图18－－74。图18－773选选择组策策略对象象图18－774浏浏览组策策略对象象7．单击“确定”返回“选择组组策略对对象”，然后后单击“完成”按钮，如如图188－755。图18－775完完成8．重复步步骤5－－7，将将“技术部部员工”组策略略添加到到MMCC控制台台中。如如图188－766。图18－776添加加/删除除独立管管理单元元9．同样在在mmcc控制台台中将“安全模模板”添加到到mmcc，如图图18－－77。图18－777安全全模板10．在mmmc控控制台中中，我们们可以看看到添加加进来的的三个管管理单元元。如图图18－－78。图18－