組策略是Active Directory中非常重要的一項(xiàng)技術(shù).doc

組策略是Active Directory中非常重要的一項(xiàng)技術(shù)，很多朋友都聽(tīng)說(shuō)過(guò)組策略對(duì)于管理的重要意義，也明白有些疑難問(wèn)題可以用傳說(shuō)中的“策略”來(lái)解決。但并不清楚組策略該如何理解，如何部署，如何管理。今天起我們將組織一系列的博文為大家介紹組策略的來(lái)龍去脈，力爭(zhēng)讓大家可以更好地利用組策略來(lái)完善管理工作。我們首先從組策略的概念談起，什么是組策略呢？組策略是一個(gè)允許執(zhí)行針對(duì)用戶或計(jì)算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。這個(gè)概念聽(tīng)起來(lái)有些晦澀，不太容易理解。其實(shí)通俗地說(shuō)，組策略和注冊(cè)表類似，是一項(xiàng)可以修改用戶或計(jì)算機(jī)設(shè)置的技術(shù)。那組策略和注冊(cè)表的區(qū)別在哪兒呢？注冊(cè)表只能針對(duì)一個(gè)用戶或一臺(tái)計(jì)算機(jī)進(jìn)行設(shè)置，但組策略卻可以針對(duì)多個(gè)用戶和多臺(tái)計(jì)算機(jī)進(jìn)行設(shè)置。這個(gè)你明白組策略的優(yōu)點(diǎn)了吧，在一個(gè)擁有1000用戶的企業(yè)中，如果我們用注冊(cè)表來(lái)進(jìn)行配置，我們可能需要在1000臺(tái)計(jì)算機(jī)上分別修改注冊(cè)表。但如果改用組策略，那只要?jiǎng)?chuàng)建好組策略，然后通過(guò)一個(gè)合適的級(jí)別部署到1000臺(tái)計(jì)算機(jī)上就可以了。組策略和Active Directory結(jié)合使用，可以部署在OU，站點(diǎn)和域的級(jí)別上，當(dāng)然也可以部署在本地計(jì)算機(jī)上，但部署在本地計(jì)算機(jī)并不能使用組策略中的全部功能，只有和Active Directory配合，組策略才可以發(fā)揮出全部潛力。組策略部署在不同級(jí)別的優(yōu)先級(jí)是不同的，本地計(jì)算機(jī)站點(diǎn)域OU。我們可以根據(jù)管理任務(wù)，為組策略選擇合適的部署級(jí)別。組策略對(duì)象存儲(chǔ)在兩個(gè)位置，鏈接GPO的Active Directory容器和域控制器上的Sysvol文件夾。GPO是組策略對(duì)象的縮寫(xiě)，GPO是組策略設(shè)置的集合，是 存儲(chǔ)在Active Directory中的一個(gè)虛擬對(duì)象。GPO由組策略容器(GPC) 和組策略模板(GPT)組成，GPC包含GPO的屬性信息，存儲(chǔ)在域中每臺(tái)域控制器活動(dòng)目錄中；GPT 包含GPO 的數(shù)據(jù)，存儲(chǔ)在Sysvol 的 /Policies 子目錄下。組策略管理可以通過(guò)組策略編輯器和組策略管理控制臺(tái)（GPMC），組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具，可以修改GPO中的設(shè)置。GPMC則是功能更強(qiáng)大的組策略編輯工具，GPMC可以創(chuàng)建，管理，部署GPO，最新的GPMC可以從微軟網(wǎng)站下載。至此，我們對(duì)組策略的功能，結(jié)構(gòu)和管理工具都有了一定的了解，下篇博文中我們將通過(guò)實(shí)例為大家介紹如何對(duì)組策略進(jìn)行部署及管理。在IT工程師的運(yùn)維工作中，有很多沒(méi)有技術(shù)含量的事務(wù)性操作是很令人頭疼的，例如為客戶機(jī)安裝軟件。有些朋友看到這里估計(jì)會(huì)很不以為然，想我等IT專業(yè)人士，縱橫江湖多年，無(wú)論國(guó)內(nèi)國(guó)外，正版盜版，安裝個(gè)小小軟件還不是手到擒來(lái)！其實(shí)不然，在一臺(tái)機(jī)器上安裝軟件當(dāng)然不難，要是讓你在一千臺(tái)機(jī)器上安裝Office呢？想想看，要是用傳統(tǒng)的方式一臺(tái)一臺(tái)地安裝，操作者是很需要有一番直面慘淡人生的勇氣的。 因此，為客戶機(jī)選擇一種快速部署軟件的解決方案就成了工程師們面臨的一個(gè)問(wèn)題。解決這個(gè)問(wèn)題有多種備選方案，例如微軟的SCCM，它在功能上非常令人滿意，但是價(jià)格嘛.本文將為大家介紹一種性價(jià)比較高的軟件部署解決方案利用AD的組策略完成客戶機(jī)軟件部署。 組策略部署軟件的思路是把要部署的軟件存儲(chǔ)在文件服務(wù)器的共享文件夾中，然后通過(guò)組策略告知用戶用戶或計(jì)算機(jī)，某某服務(wù)器的某某文件夾有要安裝的軟件，趕緊去下載安裝。這樣一來(lái)，我們只要設(shè)置好組策略，就可以等待客戶機(jī)自動(dòng)進(jìn)行軟件安裝了，完全不用在客戶機(jī)上一一進(jìn)行部署了。 組策略進(jìn)行軟件安裝有自己的特點(diǎn)，那就是組策略支持安裝的軟件不能是EXE格式。EXE是我們平時(shí)使用最多的可執(zhí)行程序格式，組策略不支持EXE是個(gè)很大的遺憾，話又說(shuō)回來(lái)了，要是組策略什么格式都支持，那SCCM的銷售就要受影響了，呵呵。組策略支持的軟件格式最好是MSI格式，ZAP或MST也是可以的。 今天我們將通過(guò)一個(gè)實(shí)例為大家介紹如何通過(guò)組策略進(jìn)行軟件部署，拓?fù)淙缦聢D所示，F(xiàn)lorence是域控制器，Istanbul是文件服務(wù)器，Perth是測(cè)試用的客戶機(jī)。 首先，我們要準(zhǔn)備測(cè)試用的軟件。我們準(zhǔn)備的軟件是微軟的LiveWriter，這個(gè)軟件想必各位博友是非常熟悉的，非常著名的離線博客工具。如圖1所示，我們把LiveWriter存儲(chǔ)在istanbul的一個(gè)共享文件夾中，大家可以看到程序的擴(kuò)展名是MSI。圖1準(zhǔn)備好了軟件，我們就可以來(lái)設(shè)置組策略了。在Florence上打開(kāi)Active Directory用戶和計(jì)算機(jī)，如圖2所示，右鍵點(diǎn)擊人事部OU，準(zhǔn)備為此OU創(chuàng)建一個(gè)組策略。人事部OU內(nèi)有一個(gè)張建國(guó)用戶，張建國(guó)用戶使用的客戶機(jī)就是Perth。圖2如圖3所示，我們?cè)谌耸虏縊U的屬性中切換到“組策略”標(biāo)簽，創(chuàng)建一個(gè)名為L(zhǎng)iveWriter的組策略。圖3如圖4所示，編輯新創(chuàng)建的LiveWriter組策略屬性，準(zhǔn)備在組策略中設(shè)置軟件安裝。組策略可以針對(duì)用戶或計(jì)算機(jī)進(jìn)行軟件安裝設(shè)置，本例中我們將針對(duì)用戶。在組策略中定位到用戶配置軟件設(shè)置軟件安裝，選擇新建一個(gè)程序包。圖4如圖5所示，我們?yōu)樾聞?chuàng)建的程序包選擇路徑，instanbullivewriterwriter.msi是我們要用組策略進(jìn)行部署的軟件。圖5接下來(lái)要選擇部署方式，可以選擇發(fā)布或指派。發(fā)布和指派的區(qū)別在于，發(fā)布只能針對(duì)用戶，而指派則既能針對(duì)用戶也能針對(duì)計(jì)算機(jī)；而且指派有一定的強(qiáng)制性，但發(fā)布則不具有強(qiáng)制性。本文中我們選擇的部署方式是發(fā)布，下篇博文中將為大家舉一個(gè)指派的例子。圖6組策略部署完畢，如圖7所示，組策略已經(jīng)從MSI文件中識(shí)別出了軟件的版本。圖7組策略設(shè)置完畢后，我們?cè)诳蛻魴C(jī)Perth上測(cè)試一下。由于此次組策略軟件安裝針對(duì)的是用戶，因此我們需要讓張建國(guó)用戶注銷后重新登錄，這樣策略才能生效。如圖8所示，張建國(guó)登錄后打開(kāi)控制面板中的添加或刪除程序，點(diǎn)擊“添加新程序”，就可以看到有一個(gè)Windows Live Writer程序可供選擇，點(diǎn)擊“添加”就可以開(kāi)始安裝了。圖8軟件安裝過(guò)程基本上沒(méi)有什么提示，很快軟件安裝完畢，如圖9所示，我們?cè)赑erth的程序組中看到了利用組策略部署的LiveWriter。圖9組策略不僅能快速安裝軟件，也可以用于卸載軟件。如圖10所示，我們?cè)诮M策略中找到新創(chuàng)建的程序包，在任務(wù)中選擇“刪除”。圖10如圖11所示，我們選擇立即刪除軟件，但實(shí)際上必須等到用戶注銷重新登錄后，軟件的卸載策略才可以生效。圖11我們?cè)赑erth上讓用戶張建國(guó)注銷系統(tǒng)后重新登錄，如圖12所示，我們可以看到系統(tǒng)正在自動(dòng)刪除軟件。圖12如圖13所示，LiveWriter已經(jīng)被組策略成功卸載。從這個(gè)例子中，我們可以看到，組策略這種集中管理的思想用于實(shí)現(xiàn)軟件安裝還是相當(dāng)?shù)姆奖悖缕┪闹形覀儗⒃贋榇蠹遗e一個(gè)軟件指派的例子。圖13上篇博文中我們介紹了如何利用組策略在客戶機(jī)上安裝軟件，我們用分發(fā)的部署方式為大家舉了一個(gè)軟件安裝的實(shí)例，本文中我們將為大家介紹如何用組策略通過(guò)指派的方法實(shí)現(xiàn)軟件安裝。指派可以針對(duì)用戶，也可以針對(duì)計(jì)算機(jī)，相比較分發(fā)的部署方式更為靈活。實(shí)驗(yàn)拓?fù)淙缦聢D所示，我們這次準(zhǔn)備部署的軟件是Office2003。查看原圖（大圖）如圖1所示，在文件服務(wù)器Istanbul的Office共享文件夾中，我們看到了Office2003的安裝文件。由于組策略不能支持EXE文件，因此我們需要使用PRO11.MSI文件進(jìn)行組策略指派。查看原圖（大圖）圖1和上文類似，我們?cè)谟蚩刂破魃洗蜷_(kāi)Active Directory用戶和計(jì)算機(jī)，如圖2所示，在人事部OU上創(chuàng)建一個(gè)名為Office2003的組策略。圖2如圖3所示，我們?cè)贠ffice2003組策略內(nèi)選擇新建一個(gè)程序包，這個(gè)程序包仍然針對(duì)的是人事部OU內(nèi)的用戶。查看原圖（大圖）圖3我們指定Istanbul服務(wù)器上Office共享文件夾內(nèi)的PRO11.MSI是要進(jìn)行安裝的程序包。查看原圖（大圖）圖4本次部署方式我們選擇指派，和發(fā)布相比，指派具有一定的強(qiáng)制性。圖5如圖6所示，Office2003的程序包已經(jīng)準(zhǔn)備完畢。當(dāng)啟動(dòng)作為域成員的基于 Windows 2000 的計(jì)算機(jī)時(shí)，系統(tǒng)將處理鏈接的組策略對(duì)象 (GPO) 的“計(jì)算機(jī)設(shè)置”部分的組策略設(shè)置，并應(yīng)用于該計(jì)算機(jī)。此外，當(dāng)您登錄到域時(shí)，系統(tǒng)將處理和應(yīng)用每個(gè)鏈接的 GPO 的“用戶配置”部分的所有組策略設(shè)置。由于 Windows 花費(fèi)時(shí)間應(yīng)用每個(gè)策略設(shè)置，因此策略設(shè)置可能減緩登錄過(guò)程，這導(dǎo)致啟動(dòng)計(jì)算機(jī)到能夠使用計(jì)算機(jī)之間出現(xiàn)時(shí)間間隔。您可以使用本文介紹的方法將這一間隔減至最小。 如何減少已處理的 GPO 的數(shù)目Windows 2000 的啟動(dòng)和登錄時(shí)間直接與需要處理的 GPO 數(shù)量成比例。鏈接到站點(diǎn)、域或組織單元的 GPO 由這些站點(diǎn)、域或組織單元的所有計(jì)算機(jī)和用戶進(jìn)行處理。要減少這些組策略設(shè)置的處理時(shí)間，請(qǐng)使用下列任意一種方法： 使用組織單元。 合并組策略設(shè)置。 基于安全組成員身份篩選組策略。 禁用部分組策略設(shè)置。 如何使用組織單元使用組織單元以更加詳細(xì)的形式分配組策略設(shè)置。將 GPO 鏈接到組織單元時(shí)，您可以將對(duì)不必要的 GPO 的處理減少到最小。要為組織單元?jiǎng)?chuàng)建一個(gè) GPO，請(qǐng)按照下列步驟操作： 1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。 2. 單擊以擴(kuò)展該域，右鍵單擊要配置的組織單元，然后單擊屬性。 3. 單擊組策略選項(xiàng)卡，然后單擊新建。 4. 在新建組策略對(duì)象框中鍵入 GPO 的描述性名稱，然后按 ENTER 鍵。 5. 單擊屬性，然后單擊安全選項(xiàng)卡。 6. 對(duì)于您不希望應(yīng)用此策略設(shè)置的安全組，單擊清除允許列中的應(yīng)用組策略復(fù)選框；對(duì)于您希望應(yīng)用此策略設(shè)置的安全組，則單擊選中允許列中的應(yīng)用組策略復(fù)選框；然后單擊確定。 7. 單擊編輯，然后配置您想要使用的策略設(shè)置。 8. 當(dāng)您配置完策略設(shè)置后，請(qǐng)退出“組策略”管理單元，然后單擊關(guān)閉。 9. 退出“Active Directory 用戶和計(jì)算機(jī)”管理單元。 如何合并組策略設(shè)置Windows 處理大量小 GPO 比處理少量大 GPO 要花費(fèi)更長(zhǎng)的時(shí)間。要減少登錄到域所花的時(shí)間，請(qǐng)合并若干個(gè) GPO 的設(shè)置以創(chuàng)建一個(gè)大的策略設(shè)置。 如何基于安全組成員身份篩選組策略Windows 處理所有鏈接的組策略設(shè)置，來(lái)確定要應(yīng)用于登錄到域的計(jì)算機(jī)或用戶帳戶的有效策略設(shè)置。如果某個(gè) GPO 與特定的用戶或組無(wú)關(guān)，您可以編輯安全權(quán)限，這樣將不處理您選擇的 GPO： 1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設(shè)置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個(gè)組織單元的 GPO 的安全設(shè)置，則單擊展開(kāi)該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項(xiàng)卡，單擊要配置的 GPO，然后單擊屬性。 4. 單擊安全選項(xiàng)卡。 5. 對(duì)于您不希望應(yīng)用此策略設(shè)置的安全組，單擊以清除允許列中的應(yīng)用組策略復(fù)選框，對(duì)于您希望應(yīng)用此策略設(shè)置的安全組，則單擊選中允許列中的應(yīng)用組策略復(fù)選框。備注：要基于安全組成員身份限制 GPO 的應(yīng)用程序，您必須從“名稱”列表中刪除 Authenticated Users 組和 Everyone 組（如果它們存在）。如果啟用了環(huán)回處理，請(qǐng)單擊下面的文章編號(hào)，查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章，并閱讀其他說(shuō)明。查找以“The machine account of the terminal server”開(kāi)頭的句子。 260370 (/kb/260370/EN-US/ ) How to Apply Group Policy Objects to Terminal Services Servers 6. 單擊確定，然后單擊確定。 7. 退出“Active Directory 用戶和計(jì)算機(jī)”管理單元。 如何禁用組策略設(shè)置的未使用部分GPO 包含“計(jì)算機(jī)配置”部分和“用戶配置”部分。如果您希望應(yīng)用的策略設(shè)置僅包含對(duì)該 GPO 的一個(gè)部分的配置更改，您可以配置該 GPO 以使系統(tǒng)不處理未使用的部分。此時(shí)，您可以減少 Windows 處理 GPO 所花的時(shí)間。 1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設(shè)置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個(gè)組織單元的 GPO 的安全設(shè)置，則單擊展開(kāi)該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項(xiàng)卡，單擊要配置的 GPO，然后單擊屬性。 4. 執(zhí)行下列步驟之一或都執(zhí)行： o 單擊以選中“禁用計(jì)算機(jī)配置設(shè)置”復(fù)選框，然后，當(dāng)收到“確認(rèn)禁用”消息時(shí)單擊是。 o 單擊以選中“禁用用戶配置設(shè)置”復(fù)選框，然后，當(dāng)收到“確認(rèn)禁用”消息時(shí)單擊是。 5. 單擊確定，單擊應(yīng)用，然后單擊確定。 6. 退出“Active Directory 用戶和計(jì)算機(jī)”管理單元。 如何將組策略設(shè)置配置為異步運(yùn)行啟動(dòng) Windows 時(shí)，系統(tǒng)將按以下順序同步處理每個(gè) GPO 的計(jì)算機(jī)配置部分的策略設(shè)置： 1. 本地策略設(shè)置 2. 站點(diǎn)策略設(shè)置 3. 域策略設(shè)置 4. 組織單元策略設(shè)置 處理計(jì)算機(jī)配置策略設(shè)置后，系統(tǒng)將提示您登錄到域。登錄到域時(shí)，系統(tǒng)將按以下順序同步處理每個(gè) GPO 的用戶配置部分的策略設(shè)置： 1. 本地策略設(shè)置 2. 站點(diǎn)策略設(shè)置 3. 域策略設(shè)置 4. 組織單元策略設(shè)置 要減少登錄所花的時(shí)間，請(qǐng)配置組策略設(shè)置的異步處理。此時(shí)，系統(tǒng)將下載策略設(shè)置并且不按順序處理，并且您就可以在應(yīng)用所有策略設(shè)置之前登錄到域。要配置組策略設(shè)置的異步處理，請(qǐng)執(zhí)行下列步驟： 1. 創(chuàng)建一個(gè)您可以用來(lái)在域中實(shí)現(xiàn)異步組策略處理的 GPO。 2. 配置異步 GPO 處理。 下面各部分介紹如何完成這一過(guò)程。如何為異步處理創(chuàng)建 GPO要?jiǎng)?chuàng)建一個(gè)您可以用來(lái)在域中實(shí)現(xiàn)異步組策略處理的 GPO，請(qǐng)執(zhí)行以下步驟： 1. 單擊開(kāi)始，指向程序，指向管理工具，然后單擊“Active Directory