項(xiàng)目4 使用組策略管理用戶工作環(huán)境

1、Windows Server Windows Server 活動目錄企業(yè)應(yīng)用（微課版）活動目錄企業(yè)應(yīng)用（微課版）項(xiàng)目項(xiàng)目4 4 使用組策略管理用戶的工作環(huán)境使用組策略管理用戶的工作環(huán)境楊云楊云 主編主編4.1 4.1 相關(guān)知識相關(guān)知識識 組策略是一種能夠讓系統(tǒng)管理員充分管理與控制用戶工作環(huán)境的功能通過它來確保用戶擁有符合組織要求的工作環(huán)境，也通過它來限制用戶，這樣不但可以讓用戶擁有適當(dāng)?shù)沫h(huán)境，也可以減輕系統(tǒng)管理員的管理負(fù)擔(dān)。本節(jié)介紹如何使用組策略來簡化在Active Directory環(huán)境中管理計算機(jī)和用戶。將了解組策略對象(GPO)結(jié)構(gòu)以及如何應(yīng)用GPO，還有應(yīng)用GPO時的某些例外情況。本節(jié)

2、還將討論Windows Server 2012提供的組策略功能，這些功能也有助于簡化計算機(jī)和用戶管理。4.1.1 組策略組策略 組策略是一種技術(shù)，它支持Active Directory環(huán)境中計算機(jī)和用戶的一對多管理，特點(diǎn)如圖6-1所示。圖6-1 組策略 通過編輯組策略設(shè)置，并針對目標(biāo)用戶或計算機(jī)設(shè)計組策略對象(GPO)，可以集中管理具體的配置參數(shù)。這樣，只更改一個GPO，就能管理成千上萬的計算機(jī)或用戶。組策略對象是應(yīng)用于選定用戶和計算機(jī)的設(shè)置的集合。組策略可控制目標(biāo)對象的環(huán)境的很多方面，包括注冊表、NTFS文件系統(tǒng)安全性、審核和安全性策略、軟件安裝和限制、桌面環(huán)境、登錄/注銷腳本等。通過鏈接，

3、一個GPO可與AD DS中的多個容器關(guān)聯(lián)。反過來，多個GPO也可鏈接到一個容器。1域策略域策略域級策略只影響屬于該域的用戶和計算機(jī)。默認(rèn)情況下存在兩個域級策略，如表6-1所示。策略描述默認(rèn)域策略此策略鏈接到域容器，并且影響該域中的所有對象默認(rèn)域控制器策略此策略鏈接到域控制器的容器，并影響該容器中的對象表6-1 默認(rèn)域級策略（域策略、域控制器策略）可以創(chuàng)建其他域級策略，然后將其鏈接到AD DS中的各種容器，以將具體配置應(yīng)用于選定對象。例如，提供額外安全性設(shè)置的GPO可應(yīng)用于包含應(yīng)用程序服務(wù)器計算機(jī)賬戶的組織單位。又如，GPO可限制某個組織單位中用戶的桌面環(huán)境。2本地策略運(yùn)行Windows 200

4、0 Server或更高版本操作系統(tǒng)的每臺計算機(jī)都有本地組策略。此策略影響本地計算機(jī)以及登錄到該計算機(jī)的任何用戶，包括從該本地計算機(jī)登錄到域的域用戶。在工作組或單機(jī)情況下，只有本地組策略可用于控制計算機(jī)環(huán)境。本地策略設(shè)置存儲在本地計算機(jī)上的%systemroot%system32GroupPolicy文件夾中，該文件夾為隱藏文件夾。4.1.2 組策略的功能組策略的功能組策略提供的主要功能如下。 賬戶策略的設(shè)置：例如設(shè)置用戶賬戶的密碼長度、密碼使用期限、賬戶鎖定策略等。 本地策略的設(shè)置：例如審核策略的設(shè)置、用戶權(quán)限的分配、安全性的設(shè)置等。 腳本的設(shè)置：例如登錄與注銷、啟動與關(guān)機(jī)腳本的設(shè)置。 用戶工

5、作環(huán)境的設(shè)置：例如隱藏用戶桌面上所有的圖標(biāo)、刪除開始菜單中的運(yùn)行，搜索/關(guān)機(jī)等選項(xiàng)、在開始菜單中添加注銷選項(xiàng)、刪除瀏覽器的部分選項(xiàng)、強(qiáng)制通過指定的代理服務(wù)器上網(wǎng)等。 軟件的安裝與刪除：用戶登錄或計算機(jī)啟動時，自動為用戶安裝應(yīng)用軟件、自動修復(fù)應(yīng)用軟件或自動刪除應(yīng)用軟件。 限制軟件的執(zhí)行通過各種不同的軟件限制策略來限制域用戶只能運(yùn)行指定的軟件。 文件夾的重定向：例如改變文件、開始菜單等文件夾的存儲位置。 限制訪問可移動存儲設(shè)備：例如限制將文件寫AU盤，以免企業(yè)內(nèi)機(jī)密文件輕易被帶離公司。 其他的系統(tǒng)設(shè)置：例如讓所有的計算機(jī)都自動信任指定的CA（Certificate Authority）、限制安裝設(shè)

6、備驅(qū)動程序( device driver)等?？梢栽贏D DS中針對站點(diǎn)(site)、域(domain)與組織單位(OU)來設(shè)置組策略。組策略內(nèi)包含計算機(jī)配置與用戶配置兩部分。 計算機(jī)配置：當(dāng)計算機(jī)開機(jī)時，系統(tǒng)會根據(jù)計算機(jī)配置的內(nèi)容來設(shè)置計算機(jī)的環(huán)境。 舉例來說，若您針對域設(shè)置了組策略，則此組策略內(nèi)的計算機(jī)設(shè)置就會被應(yīng)用到這個域內(nèi)的所有計算機(jī)。 用戶配置：當(dāng)用戶登錄時，系統(tǒng)會根據(jù)用戶配置的內(nèi)容來設(shè)置用戶的工作環(huán)境。舉例來說，若針對組織單位sales設(shè)置了組策略，則其中的用戶配置就會被應(yīng)用到這個組織單位內(nèi)的所有用戶。4.1.3 組策略對象組策略對象 組策略是通過組策略對象( Group Poli

7、cy Object，GPO)來設(shè)置的，而您只要將GPO鏈接到指定的站點(diǎn)、域或組織單位，此GPO內(nèi)的設(shè)置值就會影響到該站點(diǎn)、域或組織單位內(nèi)的所有用戶與計算機(jī)。1內(nèi)置的內(nèi)置的GPOAD DS域有兩個內(nèi)置的GPO（見前表6-1），它們分別如下。 Default Domain Policy：此GPO默認(rèn)已經(jīng)被鏈接到域，因此其設(shè)置值會被應(yīng)用到整個域內(nèi)的所有用戶與計算機(jī)。 Default Domain Controller Policy：此GPO默認(rèn)已經(jīng)被鏈接到組織單位DomainControllers，因此其設(shè)置值會被應(yīng)用到Domain Controllers內(nèi)的所有用戶與計算機(jī)（Domain Cont

8、rollers內(nèi)默認(rèn)只有域控制器的計算機(jī)賬戶）。 您可以使用【單擊左下角的開始開始圖標(biāo)管理工具管理工具組策略管理組策略管理如圖6-2所示】的方法來驗(yàn)證Default Domain Policy與Default Domain Controller Policy GPO分別已經(jīng)被鏈接到域與組織單位Domain Controllers。圖6-2 內(nèi)置GPO2GPO的內(nèi)容GPO的內(nèi)容被分為GPC與GPT兩部分，它們分別被存儲到不同的位置。（1）GPC GPC（Group Policy Container）：GPC存儲在AD DS數(shù)據(jù)庫內(nèi)，它記載著此GPO的屬性與版本等數(shù)據(jù)。域成員計算機(jī)可通過屬性來得知

9、GPT的存儲位置，而域控制器可利用版本來判斷其所擁有的GPO是否為最新版表以便作為是否需要從其他域控制器復(fù)制最新GPO的依據(jù)。 可以通過下面方法來查看GPC:【開始管理工具Active Directory管理中心單擊樹視圖圖標(biāo)單擊域（例如long）展開System容器如圖6-3所示單擊Policies】，圖中間圈起來的部分為Default Domain Policy與Default Domain Controller Policy這兩個GPO的GPC，圖中的數(shù)字分別是這兩個GPO的GUID( Global Unique Identifier)。圖6-3 查看GPC 如果您要查詢GPO的GUID

10、，例如要查詢Default Domain Policy GPO的GUID，可以使用如圖6-4所示【在組策略管理組策略管理控制臺中單擊Default Domain Policy單擊詳細(xì)詳細(xì)信息信息選項(xiàng)卡唯唯-ID】的方法。圖6-4 查詢GPO的GUID（2）GPT GPT (Group Policy Template)：GPT用來存儲GPO的設(shè)置值與相關(guān)文件，它是一個文件夾，而且被建立在域控制器的%systemroot%SYSVOLsysvol域名Policies文件夾內(nèi)。系統(tǒng)利用GPO的GUID來當(dāng)作GPT的文件夾名稱，例如圖6-5中兩個GPT文件夾分別是Default Domain Poli

11、cy與Default Domain Controller Policy GPO的GPT。圖6-5 GPT (Group Policy Template)組策略領(lǐng)域作用計算機(jī)配置影響HKEY Local Machine注冊表配置單元用戶配置影響HKEY Current User注冊表配置單元 組策略有上千個可配置設(shè)置（約2400個）。這些設(shè)置可影響計算環(huán)境的幾乎每個方面。不可能將所有設(shè)置應(yīng)用于所有版本的Windows操作系統(tǒng)。例如，Windows 7操作系統(tǒng)Service Pack (SP)2附帶的很多新設(shè)置（如軟件限制策略），只適用于該操作系統(tǒng)。同樣，數(shù)百種新設(shè)置中的很多設(shè)置只適用于Windo

12、ws 8操作系統(tǒng)和Windows Server 2012。如果對計算機(jī)應(yīng)用它無法處理的設(shè)置，那么它將直接忽略該設(shè)置。1組策略結(jié)構(gòu)組策略分成兩個不同的領(lǐng)域，如表6-2所示。4.1.4 組策略設(shè)置組策略設(shè)置表6-2 組策略的不同領(lǐng)域策略部分 作用軟件設(shè)置軟件可部署到用戶或計算機(jī)。部署到用戶的軟件特定于該用戶。部署到計算機(jī)上的軟件對該計算機(jī)的所有用戶可用Windows設(shè)置包含針對用戶和計算機(jī)的腳本設(shè)置和安全性設(shè)置，以及針對用戶配置的Internet Explorer維護(hù)管理模板包含數(shù)百個設(shè)置，這些設(shè)置修改注冊表以控制用戶或計算機(jī)環(huán)境的各個方面2配置組策略設(shè)置每個領(lǐng)域有3個部分，如表6-3所示。表6-

13、3 組策略的設(shè)置4.1.5 首選項(xiàng)設(shè)置首選項(xiàng)設(shè)置 只有域的組策略才有首選項(xiàng)設(shè)置功能，本地計算機(jī)策略并無此功能。策略設(shè)置是強(qiáng)制性設(shè)置，客戶端應(yīng)用這些設(shè)置后就無法更改（有些設(shè)置雖然客戶端可以自行變更設(shè)置值，不過下次應(yīng)用策略時，仍然會被改為策略內(nèi)的設(shè)置值）；而首選項(xiàng)設(shè)置是非強(qiáng)制性的，客戶端可自行更改設(shè)置值，因此首選項(xiàng)設(shè)置適合用來當(dāng)作默認(rèn)值。 若要過濾策略設(shè)置的話，必須針對整個GPO來過濾，例如某個GPO已經(jīng)被應(yīng)用到sales，但是我們可以通過過濾設(shè)置來讓其不要應(yīng)用到sales經(jīng)理Alice，也就是整個GPO內(nèi)的所有設(shè)置項(xiàng)目都不會被應(yīng)用到Alice，而首選項(xiàng)設(shè)置可以針對單一設(shè)置項(xiàng)目來過濾。 如果在策略

14、設(shè)置與首選項(xiàng)設(shè)置內(nèi)有相同的設(shè)置項(xiàng)目，而且都已做了設(shè)置，但是其設(shè)置值卻不相同的話，則以策略設(shè)置優(yōu)先。（1）設(shè)備安裝通過策略，可以用阻止用戶安裝驅(qū)動程序的方法限制用戶安裝某些特定類型的硬件設(shè)備。通過首選項(xiàng)可以禁用設(shè)備和端口，但它不會阻止設(shè)備驅(qū)動程序的安裝，它也不會阻止具有相應(yīng)權(quán)限的用戶通過設(shè)備管理器啟用設(shè)備或端口。如果想完全鎖定并阻止某個特定設(shè)備的安裝和使用，可以將策略和首選項(xiàng)配合起來使用用首選項(xiàng)來禁用已安裝的設(shè)備，通過策略設(shè)置阻止該設(shè)備驅(qū)動的安裝。策略位置：計算機(jī)配置策略位置：計算機(jī)配置策略策略管理模板管理模板系統(tǒng)系統(tǒng)設(shè)備安裝限制設(shè)備安裝限制首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)首選

15、項(xiàng)控制面板設(shè)置控制面板設(shè)置設(shè)備設(shè)備（2）文件和文件夾通過策略可以為重要的文件和文件夾創(chuàng)建特定的訪問控制列表（ACL）。然而，只有目標(biāo)文件或文件夾存在的情況下，ACL才會被應(yīng)用。通過首選項(xiàng)，可以管理文件和文件夾。對于文件，可以通過從源計算機(jī)復(fù)制的方法來創(chuàng)建、更新、替換或刪除；對于文件夾，可以指定在創(chuàng)建、更新、替換或刪除操作時，是否刪除文件夾中現(xiàn)存的文件和子文件夾。 因此，可以用首選項(xiàng)來創(chuàng)建一個文件或文件夾，通過策略對創(chuàng)建的文件或文件夾設(shè)置ACL。需要注意的是，在首選項(xiàng)的設(shè)置中應(yīng)該選擇【只應(yīng)用一次而不再重新應(yīng)用】，否則，創(chuàng)建、更新、替換或刪除的操作會在下一次組策略刷新時被重新應(yīng)用。策略位置：計算機(jī)

16、配置策略位置：計算機(jī)配置策略策略Windows設(shè)置設(shè)置安全設(shè)置安全設(shè)置文件系統(tǒng)文件系統(tǒng)首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)首選項(xiàng)Windows設(shè)置設(shè)置文件文件 計算機(jī)配置計算機(jī)配置首選項(xiàng)首選項(xiàng)Windows設(shè)置設(shè)置文件夾文件夾（3）Internet Explorer在計算機(jī)配置中，策略（Internet Explorer）配置了瀏覽器的安全增強(qiáng)并幫助鎖定Internet 安全區(qū)域設(shè)置。在用戶配置中，策略（Internet Explorer）用于指定主頁、搜索欄、鏈接、瀏覽器界面等。在用戶配置中的首選項(xiàng)（Internet選項(xiàng)）中，允許設(shè)置Internet選項(xiàng)中的任何選項(xiàng)。因?yàn)椴呗允?/p>

17、被管理的而首選項(xiàng)是不被管理的，當(dāng)用戶想要強(qiáng)制設(shè)定某些Internet選項(xiàng)時，應(yīng)該使用策略設(shè)置。盡管也可以使用首選項(xiàng)來配置Internet Explorer，但是因?yàn)槭走x項(xiàng)是非強(qiáng)制性的，所以用戶可以自行更改設(shè)置。策略位置：計算機(jī)配置策略位置：計算機(jī)配置策略策略管理模板管理模板Windows組件組件lnternet Explorer 用戶配置用戶配置策略策略管理模板管理模板Windows組件組件Internet Explorer首選項(xiàng)位置：用戶配置首選項(xiàng)位置：用戶配置首選項(xiàng)首選項(xiàng)控制面板設(shè)置控制面板設(shè)置lnternet設(shè)置設(shè)置（4）打印機(jī)通過策略，可以設(shè)置打印機(jī)的工作模式、計算機(jī)允許使用的打印功能

18、、用戶允許對打印機(jī)的操作等。通過首選項(xiàng)可以映射和配置打印機(jī)，這些首選項(xiàng)包括配置本地打印機(jī)以及映射網(wǎng)絡(luò)打印機(jī)。因比，可以運(yùn)用首選項(xiàng)為客戶機(jī)創(chuàng)建網(wǎng)絡(luò)打印機(jī)或本地打印機(jī)，通過策略來限制用戶和客戶機(jī)的打印相關(guān)功能設(shè)置。策略位置：用戶配置策略位置：用戶配置策略策略管理模板性制面板管理模板性制面板打印機(jī)打印機(jī) 計算機(jī)配置計算機(jī)配置策略策略管理模板管理模板控制面板控制面板打印機(jī)打印機(jī)首選項(xiàng)位置：用戶配置首選項(xiàng)位置：用戶配置首選項(xiàng)首選項(xiàng)控制面板設(shè)置控制面板設(shè)置打印機(jī)打印機(jī)（5）【開始】菜單通過策略設(shè)置，可以控制和限制【開始】菜單選項(xiàng)和不同的【開始】菜單行為。例如，可以指定是否要在用戶注銷時清除最近打開的文檔歷

19、史，或是否在【開始】菜單上禁用拖放操作，還可以鎖定任務(wù)欄，移除系統(tǒng)通知區(qū)域的圖標(biāo)以及關(guān)閉所有氣球通知等。通過首選項(xiàng)，可以如同控制面板中的任務(wù)欄和【開始】菜單屬性對話框一樣來配置。（6）用戶和組通過策略設(shè)置，可以限制AD組或計算機(jī)本地組的成員。通過首選項(xiàng)設(shè)置，可以創(chuàng)建、更新、替換或刪除計算機(jī)本地用戶和本地組。對于計算機(jī)本地用戶，可以進(jìn)行如下操作： 重命名用戶賬號。 設(shè)置用戶密碼。 設(shè)置用戶賬號的狀態(tài)標(biāo)識（如賬號禁用標(biāo)識）。對于計算機(jī)本地組，首選項(xiàng)可以進(jìn)行如下操作： 重命名組。 添加或刪除當(dāng)前用戶。 刪除成員用戶或成員組，策略位置：計算機(jī)配置策略位置：計算機(jī)配置策略策略Windows設(shè)置設(shè)置安全設(shè)

20、置安全設(shè)置受限制的組受限制的組首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)位置：計算機(jī)配置首選項(xiàng)首選項(xiàng)控制面板設(shè)置控制面板設(shè)置本地用戶和組本地用戶和組 用戶配置用戶配置首選項(xiàng)首選項(xiàng)控制面板設(shè)置控制面板設(shè)置本地用戶和組本地用戶和組4.1.6 組策略的應(yīng)用時機(jī)組策略的應(yīng)用時機(jī)當(dāng)您修改了站點(diǎn)、域或組織單位的GPO設(shè)置值后，這些設(shè)置值并不是立刻就對其中的用戶與計算機(jī)有效，而是必須等GPO設(shè)置值被應(yīng)用到用戶或計算機(jī)后才有效。GPO設(shè)置值內(nèi)的計算機(jī)配置與用戶配置的應(yīng)用時機(jī)并不相同。1. 計算機(jī)配置的應(yīng)用時機(jī)計算機(jī)配置的應(yīng)用時機(jī)域成員計算機(jī)會在下面場合應(yīng)用GPO的計算機(jī)配置值。計算機(jī)開機(jī)時會自動應(yīng)用若計算機(jī)已經(jīng)開機(jī)，則會每

21、隔一段時間自動應(yīng)用：域控制器：默認(rèn)是每隔5分鐘自動應(yīng)用一次。非域控制器：默認(rèn)是每隔90到120分鐘自動應(yīng)用一次。不論策略設(shè)置值是否發(fā)生變化，都會每隔16小時自動應(yīng)用一次安全設(shè)置策略。手動應(yīng)用：到域成員計算機(jī)上打開命令提示符或Windows PowerShell窗口、執(zhí)行“gpupdate /target:computer /force”命令。2用戶配置的應(yīng)用時機(jī)用戶配置的應(yīng)用時機(jī)域用戶會在下面場景中應(yīng)用GPO的用戶配置值。用戶登錄時會自動應(yīng)用若用戶已經(jīng)登錄的話，則默認(rèn)會每隔90到120分鐘自動應(yīng)用一次。且不論策略設(shè)置值是否發(fā)生變化，都會每隔16小時自動應(yīng)用一次安全設(shè)置策略。手動應(yīng)用：到域成員計

22、算機(jī)上打開命令提示符或Windows PowerShell窗口、執(zhí)行：“gpupdate /target:user /force”命令。4.1.7 組策略處理順序組策略處理順序 默認(rèn)情況下，組策略具有繼承性，即鏈接到域的組策略會應(yīng)用到域內(nèi)的所有OU，如果OU下還有OU，則連接到上級OU的組策略默認(rèn)也會應(yīng)用到下級OU中。 但應(yīng)用于用戶或計算機(jī)的GPO并非都有相同的優(yōu)先順序。GPO是按照特定順序應(yīng)用的。此順序意味著后處理的設(shè)置可能覆蓋先被處理的設(shè)置。例如，應(yīng)用在域級的限制訪問控制面板的策略，可能會被應(yīng)用于OU級的策略取消。 組策略通常會根據(jù)活動目錄對象的隸屬關(guān)系按順序應(yīng)用對應(yīng)的組策略，組策略應(yīng)用順

23、序如圖6-6所示。圖6-6 組策略處理順序 本地組策略。 站點(diǎn)級GPO。 域級GPO。 組織單位GPO。 任何子組織單位GPO。 在組策略應(yīng)用中，計算機(jī)策略總是先于用戶策略，默認(rèn)情況下，如果圖6-6所示的組策略間存在設(shè)置沖突，則按“就近原則”，后應(yīng)用的組策略設(shè)置將生效。4.2 項(xiàng)目設(shè)計及準(zhǔn)備項(xiàng)目設(shè)計及準(zhǔn)備未名公司決定實(shí)施組策略來管理用戶桌面以及配置計算機(jī)安全性。公司已經(jīng)實(shí)施了一種OU配置，在該配置中，頂級OU代表不同的地點(diǎn)，每個地點(diǎn)OU中的子OU代表不同的部門。用戶賬戶與其工作站計算機(jī)賬戶處于同一個容器中。服務(wù)器計算機(jī)賬戶分散在各個OU中。企業(yè)管理員創(chuàng)建了一個GPO部署計劃。公司要求你創(chuàng)建GP

24、O或編輯GPO，以使某些策略可應(yīng)用于所有域?qū)ο?。部分策略是必須?shí)施的策略。你還需要創(chuàng)建將只應(yīng)用于一小部分域?qū)ο蟮牟呗栽O(shè)置，并且希望使計算機(jī)設(shè)置和用戶設(shè)置有不同的策略。公司要求你配置組策略對象，以使特定設(shè)置應(yīng)用于用戶桌面和計算機(jī)。本項(xiàng)目主要的管理計算機(jī)與用戶的工作環(huán)境的設(shè)置如下：計算機(jī)配置的管理模板策略、用戶配置計算機(jī)配置的管理模板策略、用戶配置的管理模板策略、賬戶策略、用戶權(quán)限分配策略、安全選項(xiàng)策略、登錄的管理模板策略、賬戶策略、用戶權(quán)限分配策略、安全選項(xiàng)策略、登錄注銷、啟動注銷、啟動/關(guān)機(jī)腳本關(guān)機(jī)腳本與文文件夾重定向件夾重定向。 本項(xiàng)目要用到域控制器、win8-1（安裝了Windows 8操

25、作系統(tǒng)）和ms1（安裝了Windows Server 2012的成員服務(wù)器）加入域的客戶計算機(jī)。4.3 項(xiàng)目實(shí)施項(xiàng)目實(shí)施下面開始具體任務(wù)。4.3.1 任務(wù)1 管理“計算機(jī)配置的管理模板策略” 在上設(shè)置計算機(jī)配置的策略：顯示“關(guān)閉事件追蹤程序”、顯示用戶以前交互式登錄的信息。下面在域上實(shí)現(xiàn)該策略，在默認(rèn)的Default Domain Controllers Policy GPO來設(shè)置。 1. 用戶將計算機(jī)關(guān)機(jī)時，系統(tǒng)就不會再要求用戶提供關(guān)機(jī)的理由以域控制器為例進(jìn)行設(shè)置。 步驟 1 請到域控制器上利用系統(tǒng)管理員身份登錄。 步驟 2 選擇【開始管理工具組策略管理】。打開組策略管理器控制臺。 步驟 3

26、 如圖6-7所示，【展開到Domdn Controllers選中右側(cè)的Default Domain Controllers Policy并單擊右鍵編輯】。圖6-7 組策略管理 步驟 4 如圖6-8所示，【展開計算機(jī)配置計算機(jī)配置策略策略管理模板管理模板系統(tǒng)系統(tǒng)雙擊顯示顯示“關(guān)關(guān)閉事件追蹤程序閉事件追蹤程序”】。圖6-8 組策略管理編輯器 步驟 5 在圖6-9中，選中“已禁用已禁用”單選按鈕，單擊【應(yīng)用】按鈕后，單擊【確定】按鈕。圖6-9 禁用：顯示“關(guān)閉事件追蹤程序” 步驟 6 重啟計算機(jī)使策略生效；或者在命令行輸入：gpupdate /force，強(qiáng)制應(yīng)用組策略生效。（后面的例子都需要使組策

27、略生效后再驗(yàn)證結(jié)果，不再一一贅述。后面的例子都需要使組策略生效后再驗(yàn)證結(jié)果，不再一一贅述。） 步驟 7當(dāng)再次關(guān)閉dc1或重啟dc1時，直接關(guān)閉或重啟，不再出現(xiàn)提示信息對話框。2. 目標(biāo)：顯示用戶以前交互式登錄的信息 步驟 1 重復(fù)上面的步驟13。 步驟 2如圖6-10所示，【展開計算機(jī)配置計算機(jī)配置策略策略管理模板管理模板Windows組件Windows登錄選項(xiàng)雙擊在用戶登錄期間顯示以前登錄信息在用戶登錄期間顯示以前登錄信息】。步驟三：在圖6-11中，選中“已啟用已啟用”單選按鈕，單擊【應(yīng)用】按鈕后，單擊【確定】按鈕。步驟五：當(dāng)注銷dc1或重啟dc1時，登錄成功后顯示“以前登錄信息”。如圖6-

28、12所示。步驟四：重啟計算機(jī)使策略生效；或者在命令行輸入：gpupdate /force，強(qiáng)制應(yīng)用組策略生效。圖6-12 在用戶登錄期間顯示以前登錄信息 思考：如果上述組策略應(yīng)用到“Default Domain Policy”上，有何不同嗎?請讀者思考。特別注意：若您在客戶端計算機(jī)上通過本地計算機(jī)策略本地計算機(jī)策略來啟用此策略，但是此計算機(jī)并未加入域功能等級為Wlndows Server 2008（含）以上的域，則用戶在這臺計算機(jī)登錄時將無法獲取登錄信息，也無法登錄。4.3.2 任務(wù)任務(wù)2 管理管理“用戶配置的管理模板策略用戶配置的管理模板策略”域內(nèi)有一個組織單位sales，而且已經(jīng)限定它們需

29、通過企業(yè)內(nèi)部的代理服務(wù)器上網(wǎng)（代理服務(wù)器proxy server的設(shè)置請參考后面的說明），而為了避免用戶自行修改這些設(shè)置值，下面要將其瀏覽器Internet Explorer的連接選項(xiàng)卡內(nèi)更改代理服務(wù)器設(shè)置的功能禁用。由于目前并沒有任何GPO被鏈接到組織單位sales，因此我們將先建立一個鏈接到sales的GPO，然后通過修改此GPO設(shè)置值的方式來達(dá)到目的。1. 目標(biāo)：指定組織單位的用戶無法更改代理設(shè)置步驟1：到域控制器上利用系統(tǒng)管理員身份登錄。步驟2：選擇【開始管理工具組策略管理】。步驟3：如圖6-13所示【展開到組織單位sales選中sales并單擊右鍵在這個域中創(chuàng)建在這個域中創(chuàng)建GPO并

30、在此處鏈接并在此處鏈接】。步驟4：您也可以先通過【選中組策略對象并單擊右鍵新建】的方法來建立GPO，然后再通過【選中組織單位sales并單擊右鍵鏈接現(xiàn)有GPO】的方法來將上述GPO鏈接到組織單位sales。步驟5：在圖6-14中為此GPO命名（例如sales的的GPO）后單擊【確定】按鈕。圖6-14 新建GPO步驟6：如圖6-15所示，選中這個新建的GPO并單擊右鍵編輯。圖6-14 組策略管理-編輯步驟7：如圖6-15所示，【展開用戶配置策略管理模板Windows組件lnternet Explorer將右側(cè)“阻止更改代理設(shè)置”設(shè)置為已啟用已啟用】。圖6-15 組策略管理編輯器-阻止更改代理設(shè)置

31、步驟8：請利用sales內(nèi)的任何一個用戶賬戶，例如jane，到任何一臺域成員計算機(jī)（ms1）上登錄。（登錄前重啟設(shè)置組策略的計算機(jī)或者運(yùn)行：gpupdate /force，使設(shè)置的組策略生效。）步驟9：運(yùn)行瀏覽器Internet Explorer按Alt鍵單擊工具菜單lnternet選項(xiàng)如圖6-16所示單擊【連接】選項(xiàng)卡下【局域網(wǎng)設(shè)置】按鈕，從圖中可知無法修改代理服務(wù)器設(shè)置。圖6-16 sales成員jane無法更改代理服務(wù)器設(shè)置2. 【用戶配置用戶配置策略策略管理模板管理模板】的其他設(shè)置的其他設(shè)置限制用戶只可以或不可以執(zhí)行指定的限制用戶只可以或不可以執(zhí)行指定的Windows應(yīng)用程序應(yīng)用程序：

32、其設(shè)置方法為【系統(tǒng)系統(tǒng)雙擊右側(cè)的只運(yùn)行指定的只運(yùn)行指定的Windows應(yīng)用程序應(yīng)用程序或不運(yùn)行指定的不運(yùn)行指定的Windows應(yīng)用程序應(yīng)用程序】。在添加程序時，請輸入該應(yīng)用程序的執(zhí)行文件名稱，例如eMule.exe。 思考：如果用戶利用資源管理器更改此程序的文件名，這個策略是否就無法發(fā)揮作用？ 是的，不過您可以利用項(xiàng)目6的軟件限制策略來達(dá)到限制用戶執(zhí)行此程序的 目的，即使其文件名被改名。隱藏或只顯示在控制面板內(nèi)指定的項(xiàng)目：隱藏或只顯示在控制面板內(nèi)指定的項(xiàng)目：用戶在控制面板內(nèi)將看不到被隱藏起來的項(xiàng)目或只看得到被指定要顯示的項(xiàng)目。操作方法：【控制面板雙擊右邊的隱藏指定的“控制面板”項(xiàng)或只顯示指定的

33、”控制面板“項(xiàng)】。在添加項(xiàng)目時，請輸入項(xiàng)目名稱，例如鼠標(biāo)、用戶賬戶等。禁用按禁用按Ctrl+Alt+Del鍵后所出現(xiàn)界面中的選項(xiàng)：鍵后所出現(xiàn)界面中的選項(xiàng)：用戶按這3個鍵后，將無法使用界面中被您禁用的選項(xiàng)，例如更改密碼、啟動任務(wù)管理器（或任務(wù)管理器）、注銷等。其設(shè)置方法為：【系統(tǒng)CtrI+Alt+Del項(xiàng)】。隱藏和禁用桌面上所有的項(xiàng)目：隱藏和禁用桌面上所有的項(xiàng)目：其設(shè)置方法為【桌面隱藏和禁用桌面上的所有項(xiàng)目】。用戶登錄后的傳統(tǒng)桌面上（非Modern UI）所有項(xiàng)目都會被隱藏，選中桌面按鼠標(biāo)右鍵也無效。刪除刪除Internet Explorer的的Internet選項(xiàng)中的部分選項(xiàng)卡：選項(xiàng)中的部分選

34、項(xiàng)卡：用戶將無法選擇【工具菜單lnternet選項(xiàng)】中被刪除的選項(xiàng)卡，例如安全性、連接、高級等選項(xiàng)卡。其設(shè)置方法為【W(wǎng)indows組件lnternet Explorer雙擊右邊的Internet控制面板】。刪除開始萊單中的關(guān)機(jī)、重新啟動、睡眠及休眠命令刪除開始萊單中的關(guān)機(jī)、重新啟動、睡眠及休眠命令：其設(shè)置方法為【開始菜單和任務(wù)欄雙擊右側(cè)刪除并阻止訪問“關(guān)機(jī)”、“重新啟動”、“睡眠”及“休眠”命令】。在用戶的開始菜單中，這些功能的圖標(biāo)會被刪除或無法使用，按CtrI+Alt+Del鍵后也無法選擇它們。4.3.3 任務(wù)任務(wù)3 配置賬戶策略配置賬戶策略 可以通過賬戶策略來設(shè)置密碼的使用規(guī)則與賬戶鎖定方

35、式在設(shè)置賬戶策略時請?zhí)貏e注意下面說明： 針對域用戶所設(shè)置的賬戶策略需通過域扳刪的GPO來設(shè)置才有效，例如通過域的Default Domain Policy GPO未設(shè)置，此策略會被應(yīng)用到域內(nèi)所有用戶。通過站點(diǎn)或組織單位的GPO所設(shè)置的賬戶策略，對域用戶沒有作用。 賬戶策略不但會被應(yīng)用到所有的域用戶賬戶，也會被應(yīng)用到所有域成員計算機(jī)內(nèi)的本地用戶賬戶。 若您針對某個組織單位（圖6-17中的sales）來設(shè)置賬戶策略，則這個賬戶策略只會被應(yīng)用到位于此組織單位的計算機(jī)（例如圖中的ms1）的本機(jī)用戶賬戶而已，但是對位于此組織單位內(nèi)的域用戶賬戶（例如圖中的jane等）卻沒有影響。圖6-17 sales組織

36、單位 要設(shè)置域賬戶策略步驟:【選中Default Domain Policy GPO（或其他域級別的GPO）并單擊右鍵選擇編輯，如圖6-18所示展開計算機(jī)配置策略Windows設(shè)置安全設(shè)置賬戶策略】。圖6-18 賬戶策略1密碼策略密碼策略如圖6-19所示，單擊密碼策略后就可以設(shè)置下面策略。圖6-19 密碼策略用可還原的加密來存儲密碼用可還原的加密來存儲密碼：如果有應(yīng)用程序需要讀取用戶的密碼，以便驗(yàn)證用戶身份的話，就可以啟用此功能，不過它相當(dāng)于用戶密碼沒有加密，因此不安全。默認(rèn)為禁用。密碼必須符合復(fù)雜性要求密碼必須符合復(fù)雜性要求：若啟用此功能，則用戶的密碼有下面規(guī)范。不可包含用戶賬戶名稱（指用戶

37、SamAccountName）或全名長度至少為6個字符。至少包含A-Z、az、09、特殊符號（例如！、$、#、%）4組字符中的3組。因此123ABCdef是有效的密碼，然而87654321是無效的，因它只使用數(shù)字這一種字符。又例如若用戶賬戶名稱為Alice，則123ABCAlice是無效密碼，因?yàn)榘脩糍~戶名稱。AD DS域與獨(dú)立服務(wù)器默認(rèn)是啟用此策略的。密碼最長使用期限密碼最長使用期限：用來設(shè)置密碼最長的使用期限（可為0999天）。用戶在登錄時，若密碼使用期限已到，系統(tǒng)會要求用戶更改密碼。若此處為0表示密碼沒有使用期限限制。AD DS域與獨(dú)立服務(wù)器默認(rèn)值都是42天。密碼最短使用期限密碼最短

38、使用期限：用來設(shè)置用戶密碼的最短使用期限（可為0-998天），在期限未到前，用戶不得更改密碼。若此處為0表示用戶可以隨時變更密碼。AD DS域的默認(rèn)值為1，獨(dú)立服務(wù)器的默認(rèn)值為0。強(qiáng)制密碼歷史強(qiáng)制密碼歷史：用來設(shè)置是否要記錄用戶曾經(jīng)使用過的舊密碼，以便決定用戶在修改密碼時，是否可以重復(fù)使用舊密碼。此處可被設(shè)置為如下的值。 1-24:表示要保存密碼歷史記錄。例如若設(shè)置為5，則用戶的新密碼不可與前5次所使用過的舊密碼相同。 0：表示不保存密碼歷史記錄，因此密碼可以重復(fù)使用，也就是用戶更改密碼時，可以將其設(shè)置為以前曾經(jīng)使用過的任何一個舊密碼。 AD DS域的默認(rèn)值為24，獨(dú)立服務(wù)器的默認(rèn)值為0。密碼

39、長度最小值密碼長度最小值：用來設(shè)置用戶賬戶的密碼最少需要幾個字符。此處可為0-14，若為0，表示用戶賬戶可以沒有密碼。AD DS域的默認(rèn)值為7，獨(dú)立服務(wù)器的默認(rèn)值為0。2賬戶鎖定策略賬戶鎖定策略您可以通過圖6-20中的賬戶鎖定策略來設(shè)置鎖定用戶賬戶的方式。賬戶鎖定閾值賬戶鎖定閾值：我們可以讓用戶在多次登錄失敗后（密碼錯誤），就將該用戶賬戶鎖定，在未被解除鎖定之前，用戶無法再利用此賬戶來登錄。此處用來設(shè)置登錄失敗次數(shù)，其值可為0-999。默認(rèn)值為0，表示賬戶永遠(yuǎn)不會被鎖定。賬戶鎖定時間賬戶鎖定時間：用來設(shè)置鎖定賬戶的時間，時間過后會自動解除鎖定。此處可為0-99999分鐘，若為0分鐘表示永久鎖定

40、，不會自動被解除鎖定，此時需由系統(tǒng)管理員手動來解除鎖定（賬戶被鎖定后會在賬戶屬性里會有有此“解除鎖定解除鎖定”選項(xiàng)）。重置賬戶鎖定計數(shù)器重置賬戶鎖定計數(shù)器：“鎖定計數(shù)器”用來記錄用戶登錄失敗的次數(shù)，其初始值為0，用戶若登錄失敗，則鎖定計數(shù)的值就會加1，若登錄成功，則鎖定計數(shù)器的值就會歸零。若鎖定計數(shù)器的值等于賬戶鎖定閾值，該賬戶就會被鎖定。4.3.4 任務(wù)任務(wù)4 配置用戶權(quán)限分配策略配置用戶權(quán)限分配策略系統(tǒng)默認(rèn)只有某些組（例如administrators）內(nèi)的用戶，才有權(quán)在扮演域控制器角色的計算機(jī)上登錄，而普通用戶alice在域控制器上登錄時，屏幕上會出現(xiàn)類似圖6-21所示的警告信息，且無法登

41、錄，除非他們被賦予允許本地登錄的權(quán)限。圖6-21 不允許本地登錄域控制器1在域控制器上開放在域控制器上開放“允許本地登錄允許本地登錄”權(quán)限權(quán)限 下面假設(shè)要讓域long內(nèi)Domain Users組內(nèi)的用戶可以在域控制器上登錄。我們將通過默認(rèn)的Default Domain Controllers Policy GPO來設(shè)置，也就是說要讓這些用戶在域控制器上擁有允許本地登錄的權(quán)限。 注意： 一般來說，域控制器等重要的服務(wù)器不應(yīng)該開放普通用戶登錄。 要在成員服務(wù)器、Windows 8、Windows 10等非域控制器的客戶端計算機(jī)上練習(xí)，則下面步驟可免，因?yàn)镈omain Users默認(rèn)已經(jīng)在這些計算機(jī)

42、上擁有允許本地登錄的權(quán)限。 步驟 1 請到域控制器dc1上利用系統(tǒng)管理員身份登錄。步驟 2 選擇【開始管理工具組策略管理】。 步驟 3 如圖6-22所示，【展開到Domdn Controllers選中右側(cè)的Default Domain Controllers Policy并單擊右鍵編輯】。圖6-22 組策略管理 步驟 4 如圖6-23所示，【展開計算機(jī)配置策略Windows設(shè)置安全設(shè)置本地策略用戶權(quán)限分配雙擊允許本地登錄允許本地登錄】。圖6-23 組策略管理-用戶權(quán)限分配 步驟 5 如圖6-24所示，【單擊“添加用戶和組”按鈕輸入或選擇域long內(nèi)的Domain Users組按兩次“確定”按鈕

43、】。由此圖中可看出默認(rèn)只有Account Operators、Administrators等組才擁有允許本地登錄的權(quán)限。圖6-24 添加用戶和組（Domain Users） 6 完成后，必須等這個策略應(yīng)用到Domain Controllers內(nèi)的域控制器后才有效（見前面的說明）。待應(yīng)用完成后，就可以利用任何一個域用戶賬戶到域控制器上登錄，來測試允許本地登錄功能是否正常。另外，如果域內(nèi)有多臺域控制器，由于策略設(shè)置默認(rèn)會先被存儲到扮演PDC模擬器操作主機(jī)角色的域控制器（默認(rèn)是域中的第一臺域控制器），因此要等這些策略設(shè)置被復(fù)制到其他域控制器，然后再等這些策略設(shè)置值應(yīng)用到這些域控制器。 可以利用【開始

44、管理工具Active Directory用戶和計算機(jī)選中域名并單擊右鍵操作主機(jī)PDC選項(xiàng)卡】來查看扮演PDC模擬器操作主機(jī)的域控制器。系統(tǒng)可以利用下面兩種方式來將PDC模擬器操作主機(jī)內(nèi)的組策略設(shè)置復(fù)制到其他域控制器。 自動復(fù)制自動復(fù)制：PDC模擬器探作主機(jī)默認(rèn)15秒后會自動將其復(fù)制出去，因此其他的域控制器可能需要等15秒或更久的時間才會收到此設(shè)置值。 手動立即復(fù)制手動立即復(fù)制：假設(shè)PDC模擬器操作主機(jī)是DC1，而我們要將組策略設(shè)置手動復(fù)制到域控制器DC2。請在域控制器上單擊【開始管理工具Active Directory站點(diǎn)和服務(wù)SitesDefault-First-Site-NameServe

45、rs展開目標(biāo)域控制器（DC2）NTDS Settings在右側(cè)窗口選中PDC模擬器操作主機(jī)（DC1）并單擊右鍵立即復(fù)制】。2其他其他“用戶權(quán)限分配用戶權(quán)限分配” 您可以通過圖6-25中的用戶權(quán)限分配來將執(zhí)行特殊操作的權(quán)限分配紿用戶或組（此圖以Default Domain Controller Policy GPO為例）。 要分配圖6-25右側(cè)任何一個權(quán)限給用戶：【雙擊該權(quán)限在圖6-25中單擊“添加用戶和組”按鈕選擇用戶或組】。 下面列舉幾個比較常用的權(quán)限策略來說明。允許本地登錄允許本地登錄：允許用戶直接在本臺計算機(jī)上按Ctrl+Alt+Del鍵登錄（上例）。拒絕本地登錄拒絕本地登錄：與前一個權(quán)

46、限剛好相反。此權(quán)限優(yōu)先于前一個權(quán)限。將工作站添加到域?qū)⒐ぷ髡咎砑拥接颍涸试S用戶將計算機(jī)加入到域。注意：每一個域用戶賬戶默認(rèn)有10次將計算機(jī)加入域的機(jī)會，不過一旦擁有將工作站添加到域的權(quán)限后，其次數(shù)就沒有限制。關(guān)閉系統(tǒng)：關(guān)閉系統(tǒng)：允許用戶將此計算機(jī)關(guān)機(jī)。從網(wǎng)絡(luò)訪問此計算機(jī)：從網(wǎng)絡(luò)訪問此計算機(jī)：允許用戶通過網(wǎng)絡(luò)上其他計算機(jī)來連接、訪問此計算機(jī)。拒絕從網(wǎng)絡(luò)訪問此計算機(jī)：拒絕從網(wǎng)絡(luò)訪問此計算機(jī)：與前一個權(quán)限剛好相反。此權(quán)限優(yōu)先于前一個權(quán)限，從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)：從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)：允許用戶從遠(yuǎn)程計算機(jī)來將此臺計算機(jī)關(guān)機(jī)。備份文件和目錄：備份文件和目錄：允許用戶備份硬盤內(nèi)的文件與文件夾。還原文件和目錄：還

47、原文件和目錄：允許用戶還原所備份的文件與文件夾。管理審核和安全記錄：管理審核和安全記錄：允許用戶指定要審核事件，也允許用戶查詢與清除安全記錄。更改系統(tǒng)時問：更改系統(tǒng)時問：允許用戶更改計算機(jī)的系統(tǒng)日期與時間。加載和卸載設(shè)備驅(qū)動程序：加載和卸載設(shè)備驅(qū)動程序：允許用戶加載扣卸載設(shè)備的驅(qū)動程序。取得文件或其他對象的所有權(quán)：取得文件或其他對象的所有權(quán)：允許奪取其他用戶所擁有的文件、文件夾或其他對象的所有權(quán)。4.3.5 任務(wù)任務(wù)5 配置安全選項(xiàng)策略配置安全選項(xiàng)策略 您可以通過如圖6-26的安全選項(xiàng)來啟用計算機(jī)的一些安全設(shè)置。圖中以“sales的的GPO”為例，并列舉下面幾個安全選項(xiàng)策略。交互式登錄交互式登

48、錄：無須按Ctrl+Alt+Del鍵。讓登錄界面不要再顯示類似按Ctrl+Alt+Del鍵登錄的提示（這是Windows 8.1等客戶端的默認(rèn)值）。交互式登錄交互式登錄：不顯示最后的用戶名。讓客戶端的登錄界面上不要顯示上一次登錄的用戶名。交互式登錄交互式登錄：提示用戶在過期之前更改密碼。用來設(shè)置在用戶的密碼過期前幾天，提示用戶更改密碼。交互式登錄交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時）。域用戶登錄成功后，其賬戶信息會被存儲到用戶計算機(jī)的緩存區(qū)，若之后此計算機(jī)因故無法與域控制器連接，該用戶還可通過緩存區(qū)的賬戶數(shù)據(jù)來驗(yàn)證身份與登錄。您可以通過此策略來設(shè)置緩存區(qū)內(nèi)賬戶數(shù)據(jù)的數(shù)量，默認(rèn)為記

49、錄10個登錄用戶的賬戶數(shù)據(jù)。交互式登錄交互式登錄：試圖登錄的用戶的消息標(biāo)題、試圖登錄的用戶的消息文本。若用戶在登錄時按Ctrl+Alt+Del鍵后，界面上能夠顯示您希望用戶看到的提示信息，請通過這兩個選項(xiàng)來設(shè)置，其中一個用來設(shè)置提示信息標(biāo)題文字，一個用來設(shè)置提示信息的內(nèi)容。關(guān)機(jī)關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉。讓登錄界面的右下角能夠顯示關(guān)機(jī)圖標(biāo)，以便在不需要登錄的情況下就可直接通過此圖標(biāo)將計算機(jī)關(guān)機(jī)（這是Windows 8.1等客戶端的默認(rèn)值）。4.3.6 任務(wù)任務(wù)6 登錄登錄/注銷、啟動注銷、啟動/關(guān)機(jī)腳本關(guān)機(jī)腳本 可以讓域用戶登錄時，其系統(tǒng)就自動執(zhí)行登錄腳本登錄腳本( script)，而

50、當(dāng)用戶注銷時，就自動執(zhí)行注銷腳本注銷腳本；另外也可以讓計算機(jī)在開機(jī)啟動時自動執(zhí)行啟動腳本啟動腳本，而關(guān)機(jī)時自動執(zhí)行關(guān)機(jī)腳本關(guān)機(jī)腳本。1登錄腳本的設(shè)置登錄腳本的設(shè)置下面利用文件名為logon.bat的批處理文件來練習(xí)登錄腳本。請利用記事本（notepad）來建立此文件，該文件內(nèi)只有一條如下所示的命令，此命令會在C:下新建文件夾TestDir： Mkdir c:TestDir下面我們利用組織單位sales的GPO進(jìn)行說明。 步驟 1 單擊【開始管理工具組策略管理展開到組織單位sales選中sales的的GPO并單擊右鍵編輯】。 步驟 2 如圖6-27所示，【展開用戶配置策略Windows設(shè)置腳本（

51、登錄，注銷）雙擊右側(cè)的登錄單擊“顯示文件”安鈕】。圖6-27 腳本登錄 步驟 3出現(xiàn)圖6-28所示的界面時，請將登錄腳本logon.bat粘貼到界面中的文件夾內(nèi)，此文件夾位于域控制器的SYSVOL文件夾內(nèi)，其完整路徑為（其中的GUID是sales的GPO的GUID）:%systemroot%SYSVOLsysvol域名PoliciesGUIDUserScriptsLogon圖6-28 logon文件 步驟 4 請關(guān)閉圖6-28窗口，回到前面圖6-27時單擊“添加”按鈕。 步驟 5 圖6-29中通過“瀏覽”按鈕來從圖6-28的文件夾內(nèi)選擇登錄腳本文件logon.bat。完成后單擊“確定”按鈕。

52、步驟 6 回到圖6-30所示的界面并單擊“確定”按鈕。圖6-29 添加腳本 圖6-30 登錄屬性 步驟 7 完成設(shè)置后，組織單位sales內(nèi)的所有用戶登錄時，系統(tǒng)就會自動執(zhí)行登錄腳本 logon.bat，它會在C:下建立文件夾TestDir，請自行利用文件資源管理器來檢查（如圖6-31所示）。本例使用jane，在成員服務(wù)器ms上登錄驗(yàn)證。圖6-31 利用文件資源管理器來檢查結(jié)果2注銷腳本的設(shè)置注銷腳本的設(shè)置 下面利用文件名為logoff.bat的批處理文件來練習(xí)注銷腳本。請利用記事本（notepad）來建立此文件，其內(nèi)只有一條命令，此指令會將C:TestDir文件夾刪除：rmdir c : T

53、estDir下面利用組織單位sales的GPO進(jìn)行說明。 步驟 1 請先將前一個登錄腳本設(shè)置刪除，也就是單擊圖6-30中的logon.bat后單擊“刪除”按鈕，以免干擾驗(yàn)證本實(shí)驗(yàn)的結(jié)果。 步驟 2 下面演示的步驟與前一個登錄腳本的設(shè)置類似，不再重復(fù)，不過在圖6-27中選擇注銷、文件名改為logoft:bat。 步驟 3 在客戶端計算機(jī)【使用命令：gpupdate /force】以便立即應(yīng)用上述策略上的設(shè)置或在客戶端計算機(jī)上利用注銷、再重新登錄的方式來應(yīng)用上述策略設(shè)置。 步驟 4 再注銷，這時候就會執(zhí)行注銷腳本logofLbat來刪除C:TestDir，請再登錄后利用文件資源管理器來確認(rèn)C:Te

54、stDir已被刪除（請先確認(rèn)logon.bat已經(jīng)刪除，否則它又會建立此文件夾）。3啟動啟動/關(guān)機(jī)腳本的設(shè)置關(guān)機(jī)腳本的設(shè)置我們可以利用圖6-32中組織單位sales的GPO為例來說明，以圖中計算機(jī)名稱為的計算機(jī)來練習(xí)啟動/關(guān)機(jī)腳本。若您要練習(xí)的計算機(jī)不是位于組織單位sales內(nèi)，而是位于容器Computers內(nèi)，則請通過域級別的GPO來練習(xí)（例如Default Domain Policy GPO），或?qū)⒂嬎銠C(jī)賬戶移動到組織單位sales內(nèi)。 由于啟動/關(guān)機(jī)腳本的設(shè)置步驟與前一個登錄，注銷腳本的設(shè)置類似，故此處不再重復(fù)，不過在圖6-33中改為使用計算機(jī)配置。您可以直接利用前面的登錄、注銷腳本的示

55、例文件來練習(xí)。4.3.7 任務(wù)任務(wù)7 文件夾重定向文件夾重定向 您可以利用組策略來將用戶的某些文件夾的存儲位置重定向到網(wǎng)絡(luò)共享文件夾內(nèi)，這些文件夾包括文件、圖片、音樂等，如圖6-34所示，此圖為用戶Jane在MS計算機(jī)上的個人文件夾，可以通過【打開文件資源管理器單擊左上方的桌面單擊右側(cè)的Jane來獲取此界面】。圖6-34 Jane的個人文件夾 這些文件夾平常存儲在本地用戶配置文件內(nèi)，也就是%SystemDrive%用戶用戶名（或%SystemDrive%Users用戶名）文件夾內(nèi)，例如圖6-35為用戶Jane（此處顯示其登錄賬戶Jane，不是其顯示名稱Jane）的本地用戶配置文件文件夾，因此用

56、戶換到另外一臺計算機(jī)登錄，就無法訪問到這些文件夾，而如果能夠?qū)⑵浯鎯ξ恢酶臑椋ㄖ囟ㄏ虻剑┚W(wǎng)絡(luò)共享文件夾，則用戶到任何一臺域成員計算機(jī)上登錄時，都可通過此共享文件夾來訪問這些文件夾內(nèi)的文件。圖6-35 用戶Jane的本地用戶配置個人文件夾1將將“文檔文檔”文件夾重定向文件夾重定向 用戶Jane可以通過【選中圖6-35中的文檔并單擊右鍵屬性如圖6-36所示】的方法來得知其文檔當(dāng)前存儲在本地用戶配置文件文件夾C:Usersjane下。 我們利用將組織單位sales內(nèi)所有用戶（包含jane）的文檔文件夾重定向，來說明如何將此文件夾重定向到另外一臺計算機(jī)上的共享文件夾。 步驟 1 在任何一臺域成員計算機(jī)

57、上建立一個文件夾，例如我們將在服務(wù)器dc1上建立文件夾C: StoreDoc，然后要將組織單位業(yè)務(wù)部內(nèi)所有用戶的文檔文件夾重定向到此數(shù)據(jù)內(nèi)。 步驟 2 將此文件夾設(shè)置為共享文件夾，將共享權(quán)限讀取，寫入賦給Everyone（系統(tǒng)會同時將完全控制的共享權(quán)限與NTFS權(quán)限賦予Everyone）。其共享名默認(rèn)為文件夾名稱StoreDoc，建議將共享文件夾隱藏起來，也就是將共享名最后一個字符設(shè)置為$符號，例如StoreDoc$。 步驟 3 到域控制器上選擇【開始管理工具組策略管理展開到組織單位sales選中sales的的GPO并單擊右鍵編輯】。 步驟 4 如圖6-37所示，【展開用戶配置策略Window

58、s設(shè)置文件夾重定向單擊文檔單擊上方的屬性圖標(biāo)】。 步驟 5 參照圖6-38來設(shè)置，完成后單擊“確定”按鈕。圖中的根路徑指向我們所建立的共享文件夾dc1storedoc（一定是UNC路徑，否則客戶端無法訪問），系統(tǒng)會在此文件夾下自動為每一位登錄的用戶分別建立一個專用文件夾，例如賬戶名稱為jane的用戶登錄后，系統(tǒng)會自動在dc1storedoc下，建立一個名稱為jane的文件夾。 圖中在設(shè)置處共有下面幾種選擇。 基本-將每個人的文件夾重定向到同一個位置：它會將組織單位sales內(nèi)所有用戶的文件夾都重定向。 高級-為不同的用戶組指定位置：它會將組織單位sales內(nèi)隸屬于特定組的用戶的文件夾重定向。未

59、配置：也就是不執(zhí)行重定向。另外圖中的目標(biāo)文件夾位置有下面的選項(xiàng)。 定向到用戶的主目錄：若用戶賬戶內(nèi)有指定主目錄，則此選擇可將文件夾重定向到其主目錄。 在根目錄路徑下為每一用戶創(chuàng)建一個文件夾：如前面所述，它讓每一個用戶各有一個專用的文件夾。重定向到下列位置：將所有用戶的文件夾重定向到同一個文件夾。重定向到本地用戶配置文件位置：重定向回原來的位置。 步驟 1 請利用組織單位sales內(nèi)的任何一個用戶賬戶到域成員計算機(jī)（以為例）登錄，例如jane（假設(shè)其顯示名稱為jane），則jane的文檔（在Windows 7內(nèi)被稱為我的文檔）將被重定向到dc1storedocjanedocuments文件夾（也

60、就是dc1storedocjane文檔文件夾）?？梢浴敬蜷_文件資源管理器單擊jane如圖6-39所示選中文檔并單擊右鍵屬性】來查看文檔文件夾是位于重定向后的新位置dc1storedocjane。幾點(diǎn)說明： 用戶可能需要登錄兩次后，文件夾才會成功地被重定向：用戶登錄時，系統(tǒng)默認(rèn)并不會等待網(wǎng)絡(luò)啟動完成后再通過域控制器來驗(yàn)證用戶，而是直接讀取本地緩存區(qū)的賬戶數(shù)據(jù)來驗(yàn)證用戶，以便讓用戶快速登錄。之后等網(wǎng)絡(luò)啟動完成，系統(tǒng)就會自動在后臺應(yīng)用策略。不過因?yàn)槲募A重定向策略文件夾重定向策略與軟件安裝策略軟件安裝策略需在登錄時才有作用，因此本實(shí)驗(yàn)?zāi)赡苄枰卿泝纱尾庞凶饔谩?若用戶賬戶內(nèi)被指定使用漫游用戶配置文