組策略是Active Directory中非常重要的一項技術(shù).doc

組策略是Active Directory中非常重要的一項技術(shù)，很多朋友都聽說過組策略對于管理的重要意義，也明白有些疑難問題可以用傳說中的“策略”來解決。但并不清楚組策略該如何理解，如何部署，如何管理。今天起我們將組織一系列的博文為大家介紹組策略的來龍去脈，力爭讓大家可以更好地利用組策略來完善管理工作。我們首先從組策略的概念談起，什么是組策略呢？組策略是一個允許執(zhí)行針對用戶或計算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。這個概念聽起來有些晦澀，不太容易理解。其實通俗地說，組策略和注冊表類似，是一項可以修改用戶或計算機(jī)設(shè)置的技術(shù)。那組策略和注冊表的區(qū)別在哪兒呢？注冊表只能針對一個用戶或一臺計算機(jī)進(jìn)行設(shè)置，但組策略卻可以針對多個用戶和多臺計算機(jī)進(jìn)行設(shè)置。這個你明白組策略的優(yōu)點了吧，在一個擁有1000用戶的企業(yè)中，如果我們用注冊表來進(jìn)行配置，我們可能需要在1000臺計算機(jī)上分別修改注冊表。但如果改用組策略，那只要創(chuàng)建好組策略，然后通過一個合適的級別部署到1000臺計算機(jī)上就可以了。組策略和Active Directory結(jié)合使用，可以部署在OU，站點和域的級別上，當(dāng)然也可以部署在本地計算機(jī)上，但部署在本地計算機(jī)并不能使用組策略中的全部功能，只有和Active Directory配合，組策略才可以發(fā)揮出全部潛力。組策略部署在不同級別的優(yōu)先級是不同的，本地計算機(jī)站點域OU。我們可以根據(jù)管理任務(wù)，為組策略選擇合適的部署級別。組策略對象存儲在兩個位置，鏈接GPO的Active Directory容器和域控制器上的Sysvol文件夾。GPO是組策略對象的縮寫，GPO是組策略設(shè)置的集合，是 存儲在Active Directory中的一個虛擬對象。GPO由組策略容器(GPC) 和組策略模板(GPT)組成，GPC包含GPO的屬性信息，存儲在域中每臺域控制器活動目錄中；GPT 包含GPO 的數(shù)據(jù)，存儲在Sysvol 的 /Policies 子目錄下。組策略管理可以通過組策略編輯器和組策略管理控制臺（GPMC），組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具，可以修改GPO中的設(shè)置。GPMC則是功能更強(qiáng)大的組策略編輯工具，GPMC可以創(chuàng)建，管理，部署GPO，最新的GPMC可以從微軟網(wǎng)站下載。至此，我們對組策略的功能，結(jié)構(gòu)和管理工具都有了一定的了解，下篇博文中我們將通過實例為大家介紹如何對組策略進(jìn)行部署及管理。在IT工程師的運維工作中，有很多沒有技術(shù)含量的事務(wù)性操作是很令人頭疼的，例如為客戶機(jī)安裝軟件。有些朋友看到這里估計會很不以為然，想我等IT專業(yè)人士，縱橫江湖多年，無論國內(nèi)國外，正版盜版，安裝個小小軟件還不是手到擒來！其實不然，在一臺機(jī)器上安裝軟件當(dāng)然不難，要是讓你在一千臺機(jī)器上安裝Office呢？想想看，要是用傳統(tǒng)的方式一臺一臺地安裝，操作者是很需要有一番直面慘淡人生的勇氣的。 因此，為客戶機(jī)選擇一種快速部署軟件的解決方案就成了工程師們面臨的一個問題。解決這個問題有多種備選方案，例如微軟的SCCM，它在功能上非常令人滿意，但是價格嘛.本文將為大家介紹一種性價比較高的軟件部署解決方案利用AD的組策略完成客戶機(jī)軟件部署。 組策略部署軟件的思路是把要部署的軟件存儲在文件服務(wù)器的共享文件夾中，然后通過組策略告知用戶用戶或計算機(jī)，某某服務(wù)器的某某文件夾有要安裝的軟件，趕緊去下載安裝。這樣一來，我們只要設(shè)置好組策略，就可以等待客戶機(jī)自動進(jìn)行軟件安裝了，完全不用在客戶機(jī)上一一進(jìn)行部署了。 組策略進(jìn)行軟件安裝有自己的特點，那就是組策略支持安裝的軟件不能是EXE格式。EXE是我們平時使用最多的可執(zhí)行程序格式，組策略不支持EXE是個很大的遺憾，話又說回來了，要是組策略什么格式都支持，那SCCM的銷售就要受影響了，呵呵。組策略支持的軟件格式最好是MSI格式，ZAP或MST也是可以的。 今天我們將通過一個實例為大家介紹如何通過組策略進(jìn)行軟件部署，拓?fù)淙缦聢D所示，F(xiàn)lorence是域控制器，Istanbul是文件服務(wù)器，Perth是測試用的客戶機(jī)。 首先，我們要準(zhǔn)備測試用的軟件。我們準(zhǔn)備的軟件是微軟的LiveWriter，這個軟件想必各位博友是非常熟悉的，非常著名的離線博客工具。如圖1所示，我們把LiveWriter存儲在istanbul的一個共享文件夾中，大家可以看到程序的擴(kuò)展名是MSI。圖1準(zhǔn)備好了軟件，我們就可以來設(shè)置組策略了。在Florence上打開Active Directory用戶和計算機(jī)，如圖2所示，右鍵點擊人事部OU，準(zhǔn)備為此OU創(chuàng)建一個組策略。人事部OU內(nèi)有一個張建國用戶，張建國用戶使用的客戶機(jī)就是Perth。圖2如圖3所示，我們在人事部OU的屬性中切換到“組策略”標(biāo)簽，創(chuàng)建一個名為LiveWriter的組策略。圖3如圖4所示，編輯新創(chuàng)建的LiveWriter組策略屬性，準(zhǔn)備在組策略中設(shè)置軟件安裝。組策略可以針對用戶或計算機(jī)進(jìn)行軟件安裝設(shè)置，本例中我們將針對用戶。在組策略中定位到用戶配置軟件設(shè)置軟件安裝，選擇新建一個程序包。圖4如圖5所示，我們?yōu)樾聞?chuàng)建的程序包選擇路徑，instanbullivewriterwriter.msi是我們要用組策略進(jìn)行部署的軟件。圖5接下來要選擇部署方式，可以選擇發(fā)布或指派。發(fā)布和指派的區(qū)別在于，發(fā)布只能針對用戶，而指派則既能針對用戶也能針對計算機(jī)；而且指派有一定的強(qiáng)制性，但發(fā)布則不具有強(qiáng)制性。本文中我們選擇的部署方式是發(fā)布，下篇博文中將為大家舉一個指派的例子。圖6組策略部署完畢，如圖7所示，組策略已經(jīng)從MSI文件中識別出了軟件的版本。圖7組策略設(shè)置完畢后，我們在客戶機(jī)Perth上測試一下。由于此次組策略軟件安裝針對的是用戶，因此我們需要讓張建國用戶注銷后重新登錄，這樣策略才能生效。如圖8所示，張建國登錄后打開控制面板中的添加或刪除程序，點擊“添加新程序”，就可以看到有一個Windows Live Writer程序可供選擇，點擊“添加”就可以開始安裝了。圖8軟件安裝過程基本上沒有什么提示，很快軟件安裝完畢，如圖9所示，我們在Perth的程序組中看到了利用組策略部署的LiveWriter。圖9組策略不僅能快速安裝軟件，也可以用于卸載軟件。如圖10所示，我們在組策略中找到新創(chuàng)建的程序包，在任務(wù)中選擇“刪除”。圖10如圖11所示，我們選擇立即刪除軟件，但實際上必須等到用戶注銷重新登錄后，軟件的卸載策略才可以生效。圖11我們在Perth上讓用戶張建國注銷系統(tǒng)后重新登錄，如圖12所示，我們可以看到系統(tǒng)正在自動刪除軟件。圖12如圖13所示，LiveWriter已經(jīng)被組策略成功卸載。從這個例子中，我們可以看到，組策略這種集中管理的思想用于實現(xiàn)軟件安裝還是相當(dāng)?shù)姆奖?，下篇博文中我們將再為大家舉一個軟件指派的例子。圖13上篇博文中我們介紹了如何利用組策略在客戶機(jī)上安裝軟件，我們用分發(fā)的部署方式為大家舉了一個軟件安裝的實例，本文中我們將為大家介紹如何用組策略通過指派的方法實現(xiàn)軟件安裝。指派可以針對用戶，也可以針對計算機(jī)，相比較分發(fā)的部署方式更為靈活。實驗拓?fù)淙缦聢D所示，我們這次準(zhǔn)備部署的軟件是Office2003。查看原圖（大圖）如圖1所示，在文件服務(wù)器Istanbul的Office共享文件夾中，我們看到了Office2003的安裝文件。由于組策略不能支持EXE文件，因此我們需要使用PRO11.MSI文件進(jìn)行組策略指派。查看原圖（大圖）圖1和上文類似，我們在域控制器上打開Active Directory用戶和計算機(jī)，如圖2所示，在人事部OU上創(chuàng)建一個名為Office2003的組策略。圖2如圖3所示，我們在Office2003組策略內(nèi)選擇新建一個程序包，這個程序包仍然針對的是人事部OU內(nèi)的用戶。查看原圖（大圖）圖3我們指定Istanbul服務(wù)器上Office共享文件夾內(nèi)的PRO11.MSI是要進(jìn)行安裝的程序包。查看原圖（大圖）圖4本次部署方式我們選擇指派，和發(fā)布相比，指派具有一定的強(qiáng)制性。圖5如圖6所示，Office2003的程序包已經(jīng)準(zhǔn)備完畢。當(dāng)啟動作為域成員的基于 Windows 2000 的計算機(jī)時，系統(tǒng)將處理鏈接的組策略對象 (GPO) 的“計算機(jī)設(shè)置”部分的組策略設(shè)置，并應(yīng)用于該計算機(jī)。此外，當(dāng)您登錄到域時，系統(tǒng)將處理和應(yīng)用每個鏈接的 GPO 的“用戶配置”部分的所有組策略設(shè)置。由于 Windows 花費時間應(yīng)用每個策略設(shè)置，因此策略設(shè)置可能減緩登錄過程，這導(dǎo)致啟動計算機(jī)到能夠使用計算機(jī)之間出現(xiàn)時間間隔。您可以使用本文介紹的方法將這一間隔減至最小。 如何減少已處理的 GPO 的數(shù)目Windows 2000 的啟動和登錄時間直接與需要處理的 GPO 數(shù)量成比例。鏈接到站點、域或組織單元的 GPO 由這些站點、域或組織單元的所有計算機(jī)和用戶進(jìn)行處理。要減少這些組策略設(shè)置的處理時間，請使用下列任意一種方法： 使用組織單元。 合并組策略設(shè)置。 基于安全組成員身份篩選組策略。 禁用部分組策略設(shè)置。 如何使用組織單元使用組織單元以更加詳細(xì)的形式分配組策略設(shè)置。將 GPO 鏈接到組織單元時，您可以將對不必要的 GPO 的處理減少到最小。要為組織單元創(chuàng)建一個 GPO，請按照下列步驟操作： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機(jī)”。 2. 單擊以擴(kuò)展該域，右鍵單擊要配置的組織單元，然后單擊屬性。 3. 單擊組策略選項卡，然后單擊新建。 4. 在新建組策略對象框中鍵入 GPO 的描述性名稱，然后按 ENTER 鍵。 5. 單擊屬性，然后單擊安全選項卡。 6. 對于您不希望應(yīng)用此策略設(shè)置的安全組，單擊清除允許列中的應(yīng)用組策略復(fù)選框；對于您希望應(yīng)用此策略設(shè)置的安全組，則單擊選中允許列中的應(yīng)用組策略復(fù)選框；然后單擊確定。 7. 單擊編輯，然后配置您想要使用的策略設(shè)置。 8. 當(dāng)您配置完策略設(shè)置后，請退出“組策略”管理單元，然后單擊關(guān)閉。 9. 退出“Active Directory 用戶和計算機(jī)”管理單元。 如何合并組策略設(shè)置Windows 處理大量小 GPO 比處理少量大 GPO 要花費更長的時間。要減少登錄到域所花的時間，請合并若干個 GPO 的設(shè)置以創(chuàng)建一個大的策略設(shè)置。 如何基于安全組成員身份篩選組策略Windows 處理所有鏈接的組策略設(shè)置，來確定要應(yīng)用于登錄到域的計算機(jī)或用戶帳戶的有效策略設(shè)置。如果某個 GPO 與特定的用戶或組無關(guān)，您可以編輯安全權(quán)限，這樣將不處理您選擇的 GPO： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機(jī)”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設(shè)置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設(shè)置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。 4. 單擊安全選項卡。 5. 對于您不希望應(yīng)用此策略設(shè)置的安全組，單擊以清除允許列中的應(yīng)用組策略復(fù)選框，對于您希望應(yīng)用此策略設(shè)置的安全組，則單擊選中允許列中的應(yīng)用組策略復(fù)選框。備注：要基于安全組成員身份限制 GPO 的應(yīng)用程序，您必須從“名稱”列表中刪除 Authenticated Users 組和 Everyone 組（如果它們存在）。如果啟用了環(huán)回處理，請單擊下面的文章編號，查看 Microsoft 知識庫中相應(yīng)的文章，并閱讀其他說明。查找以“The machine account of the terminal server”開頭的句子。 260370 (/kb/260370/EN-US/ ) How to Apply Group Policy Objects to Terminal Services Servers 6. 單擊確定，然后單擊確定。 7. 退出“Active Directory 用戶和計算機(jī)”管理單元。 如何禁用組策略設(shè)置的未使用部分GPO 包含“計算機(jī)配置”部分和“用戶配置”部分。如果您希望應(yīng)用的策略設(shè)置僅包含對該 GPO 的一個部分的配置更改，您可以配置該 GPO 以使系統(tǒng)不處理未使用的部分。此時，您可以減少 Windows 處理 GPO 所花的時間。 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機(jī)”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設(shè)置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設(shè)置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。 4. 執(zhí)行下列步驟之一或都執(zhí)行： o 單擊以選中“禁用計算機(jī)配置設(shè)置”復(fù)選框，然后，當(dāng)收到“確認(rèn)禁用”消息時單擊是。 o 單擊以選中“禁用用戶配置設(shè)置”復(fù)選框，然后，當(dāng)收到“確認(rèn)禁用”消息時單擊是。 5. 單擊確定，單擊應(yīng)用，然后單擊確定。 6. 退出“Active Directory 用戶和計算機(jī)”管理單元。 如何將組策略設(shè)置配置為異步運行啟動 Windows 時，系統(tǒng)將按以下順序同步處理每個 GPO 的計算機(jī)配置部分的策略設(shè)置： 1. 本地策略設(shè)置 2. 站點策略設(shè)置 3. 域策略設(shè)置 4. 組織單元策略設(shè)置 處理計算機(jī)配置策略設(shè)置后，系統(tǒng)將提示您登錄到域。登錄到域時，系統(tǒng)將按以下順序同步處理每個 GPO 的用戶配置部分的策略設(shè)置： 1. 本地策略設(shè)置 2. 站點策略設(shè)置 3. 域策略設(shè)置 4. 組織單元策略設(shè)置 要減少登錄所花的時間，請配置組策略設(shè)置的異步處理。此時，系統(tǒng)將下載策略設(shè)置并且不按順序處理，并且您就可以在應(yīng)用所有策略設(shè)置之前登錄到域。要配置組策略設(shè)置的異步處理，請執(zhí)行下列步驟： 1. 創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO。 2. 配置異步 GPO 處理。 下面各部分介紹如何完成這一過程。如何為異步處理創(chuàng)建 GPO要創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO，請執(zhí)行以下步驟： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory