域網(wǎng)絡(luò)構(gòu)建教程（4）組策略（獻(xiàn)給還在2003上奮斗的窮人們） - 服務(wù)器操作系統(tǒng)交流 - ...

2010.01.14

域網(wǎng)絡(luò)構(gòu)建教程（4）組策略（獻(xiàn)給還在2003上奮斗的窮人們）

本帖最后由 hfxxly 于 2009-12-18 16:56 編輯

古人云：運(yùn)籌帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！
作為一個(gè)生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒戲了。不過在域環(huán)境的幫助下，這個(gè)決勝千里的最高境界努力一下倒是可以體會(huì)體會(huì)的。所借助的神兵利器就是——組策略。
實(shí)際上組策略的設(shè)置工具在我們常用的XP系統(tǒng)上一直存在，通過在運(yùn)行欄中輸入gpedit.msc就可以啟動(dòng)本地計(jì)算機(jī)的組策略編輯器。截圖如下：

馬馬虎虎的講我們可以把組策略編輯器看作是微軟提供的一個(gè)圖形化的注冊表編輯器，所見即所得一直都是微軟的看家本領(lǐng)啊。
有了域環(huán)境之后，通過使用相關(guān)管理工具在域控制器上設(shè)置組策略就可以實(shí)現(xiàn)對(duì)所有加入域中的用戶和計(jì)算機(jī)的管理與控制。在實(shí)際使用中，我感覺這種管理與控制幾乎覆蓋了使用中的方方面面，反正現(xiàn)在我只要在域控制器上動(dòng)動(dòng)手指頭，就可以讓全校的網(wǎng)絡(luò)環(huán)境產(chǎn)生天翻地覆的變化——比如讓所有人都無法使用計(jì)算機(jī)。理論上這是完全可以實(shí)現(xiàn)的，有興趣的可以在看完本文后自己實(shí)踐一下（后果自負(fù)哈）。
閑話少說，書歸正傳。按前文所講我們已經(jīng)具備了使用組策略統(tǒng)一管控用戶和計(jì)算機(jī)的域環(huán)境。現(xiàn)在在域控制器上打開組策略編輯器，注意這里不能使用gpedit.msc（那是編輯本機(jī)策略的），而要打開“開始——程序——管理工具——Active Directory用戶和計(jì)算機(jī)”。截圖如下：

在打開的窗口中選擇你的域名，并在其上右擊選擇屬性，然后在彈出的屬性對(duì)話框中選擇組策略?，F(xiàn)在你就會(huì)看到默認(rèn)域策略——Default Domain Policy，截圖如下：

單擊編輯按鈕就可以打開組策略編輯器。更改其中的選項(xiàng)就會(huì)對(duì)所有加入域中的用戶和計(jì)算機(jī)產(chǎn)生影響。這是因?yàn)橛?jì)算機(jī)啟動(dòng)以及用戶登錄時(shí)都會(huì)查詢域控制器并使用這里的組策略設(shè)置。不過建議大家一般不要改動(dòng)默認(rèn)域策略——Default Domain Policy，這樣便于我們隨時(shí)恢復(fù)到系統(tǒng)默認(rèn)的設(shè)置。呵呵，留條出迷宮的路，是所有操作前的必修課。
默認(rèn)的不讓動(dòng)，那我們怎么編輯組策略呢？答案就是通過組織單位上次我們在建立用戶和計(jì)算機(jī)時(shí)就已經(jīng)新建了兩個(gè)組織單位——全部用戶和全部計(jì)算機(jī)，注意組織單位將是一個(gè)我們經(jīng)常使用的劃分方式，組策略可以按層次模式很好的在其上運(yùn)行，這樣也便于對(duì)今后一定會(huì)日趨復(fù)雜的組策略進(jìn)行有效的管理。
注意這里我提到了層次模式，組策略是可以按層次逐級(jí)繼承的。這不但可以使策略設(shè)置簡潔明了，出了問題還便于排查錯(cuò)誤。
為了演示這種層次模式，我新建一個(gè)名為“用戶和計(jì)算機(jī)”的組織單位，并將原來的兩個(gè)組織單位移入其中。截圖如下：

現(xiàn)在打開“用戶和計(jì)算機(jī)”組織單位的屬性對(duì)話框，并進(jìn)入組策略編輯界面，新建一個(gè)作用于該組織單位的組策略對(duì)象并命名為——通用策略（當(dāng)然你也可以其別的名字）。截圖如下：

下面讓我們與組策略近距離親密接觸一下。別害怕只是接觸一下，看看我們都可以對(duì)最終用戶施放那些魔法和大招。進(jìn)入編輯模式，截圖如下：

組策略分為兩大部分：計(jì)算機(jī)配置和用戶配置，這也是為什么我建立兩個(gè)組織單位分別放置用戶和計(jì)算機(jī)，這樣設(shè)置起來比較清楚。當(dāng)然你要想難得糊涂，放一起我也不攔著。
配置給計(jì)算機(jī)還是用戶有什么區(qū)別呢？首先計(jì)算機(jī)配置應(yīng)用于計(jì)算機(jī)（看起來象廢話哈），因此對(duì)所有使用計(jì)算機(jī)的用戶都起作用；其次計(jì)算機(jī)配置所使用的權(quán)限是系統(tǒng)級(jí)的（這里的權(quán)限是指的配置被應(yīng)用到計(jì)算機(jī)上時(shí)用到的權(quán)限），就是說Administrator賬戶能做的它都能做（這句不理解沒關(guān)系，記住它接著往下看）。而用戶配置是針對(duì)我們在域控制器上建立的用戶，就是說不管用戶使用哪臺(tái)計(jì)算機(jī)它都產(chǎn)生作用。已經(jīng)被繞蒙了的同志聽我通俗的說一下：計(jì)算機(jī)配置跟著機(jī)器走，誰用都這樣；用戶配置跟著人走，用誰都這樣。再不懂那啥……別難為自己換個(gè)活干干吧！呵呵！
以后再看到這兩部分中有重復(fù)的就明白是怎么回事了吧！當(dāng)然還要注意設(shè)置的時(shí)候，盡量不要引起使用中的沖突。雖然重復(fù)的配置項(xiàng)大多都在描述中說明了沖突的配置項(xiàng)哪一部分會(huì)最終起作用，但是讓傻實(shí)在的計(jì)算機(jī)玩自相矛盾，恐怕會(huì)在使用中出怪毛病。
一、計(jì)算機(jī)配置
1、軟件設(shè)置
這里面就一個(gè)項(xiàng)目——軟件安裝，而且沒有描述，因?yàn)橐耆愣ㄟ@個(gè)問題足可以寫篇文章了，還不一定能給你整明白了。這里我只說明重要的幾點(diǎn)內(nèi)容如下：
設(shè)置軟件安裝的屬性對(duì)話框。使用本機(jī)或網(wǎng)絡(luò)共享的UNC路徑設(shè)置軟件安裝包的位置，以免每次添加軟件包都要查找。安裝用戶界面選項(xiàng)設(shè)為基本就可以實(shí)現(xiàn)透明安裝，用戶不會(huì)見到任何提示或設(shè)置窗口。截圖如下：

右擊軟件安裝，選擇新建——程序包即可。當(dāng)然你要先把軟件安裝包放到上面設(shè)置的路徑下才行。包的格式必須是MSI的，這是最困難和復(fù)雜的部分，這種包大多需要自己做，我發(fā)過制作五筆安裝包的帖子，自己找找看吧。如果使用EXE的文件需要寫一個(gè)以“.zap”結(jié)尾的特殊格式的文本文件（網(wǎng)上有，自己搜），而且EXE安裝包還要支持靜默模式，否則會(huì)彈出設(shè)置對(duì)話框，那你就等著接用戶的電話吧。
XP的計(jì)算機(jī)需要啟動(dòng)兩次才能夠安裝軟件包，因?yàn)槟J(rèn)有登錄優(yōu)化設(shè)置。
這里安裝的軟件包只在客戶機(jī)上運(yùn)行一次，而且可以供任何一個(gè)使用此計(jì)算機(jī)的用戶使用。后面用戶配置里還有一個(gè)軟件安裝，那里安裝的就不一樣了。
注意，實(shí)踐證明：如果在網(wǎng)絡(luò)路徑上存放安裝包，要放到速度較快的服務(wù)器上，不然會(huì)出現(xiàn)找得到裝不上的怪毛病。
2、Windows設(shè)置（項(xiàng)目太多只說常用的）
項(xiàng)目：腳本（啟動(dòng)/關(guān)機(jī)）
此項(xiàng)目中可以放置Windows系統(tǒng)能夠運(yùn)行的一切文件。我一般使用批處理或vbs腳本，不要太復(fù)雜否則會(huì)拖慢系統(tǒng)啟動(dòng)速度。合理有效的使用這一功能，發(fā)揮你的想象，只有想不到?jīng)]有做不到哦。舉個(gè)簡單的例子——自動(dòng)添加網(wǎng)絡(luò)打印機(jī)。使用記事本輸入代碼如下并保存為vbs腳本

On Error Resume Next
Set WshNetwork = WScript.CreateObject("WScript.Network")
'Add the network printer 1 & 2
WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer1"
WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer2"

'Default printer1
WshNetwork.SetDefaultPrinter "\\printerserver\printer1"

注意：\\printerserver\printer1、\\printerserver\printer2這種東東要換成你的打印機(jī)共享路徑。
放置方法如圖所示：

這樣，用戶不需要做任何設(shè)置就可以直接打印了。
啟動(dòng)里的腳本是在開機(jī)時(shí)執(zhí)行，關(guān)機(jī)里的腳本是在關(guān)機(jī)時(shí)執(zhí)行，其他設(shè)置方法都一樣。
項(xiàng)目：安全設(shè)置
賬戶策略設(shè)置對(duì)密碼長度及格式的要求以及輸錯(cuò)密碼后賬戶的鎖定狀態(tài)。每個(gè)選項(xiàng)打開后都有解釋，建議認(rèn)真閱讀后再進(jìn)行設(shè)置。對(duì)于不同安全級(jí)別的用戶和計(jì)算機(jī)要區(qū)別對(duì)待。一刀切的結(jié)果要么是服務(wù)器很快被攻破，要么是電腦超菜的BOOS怒氣沖沖的質(zhì)問你為什么打不開自己的計(jì)算機(jī)。這就是為什么要逐級(jí)建立組織單位，按層級(jí)模式設(shè)置組策略。一般原則是保障關(guān)鍵設(shè)備賬戶的安全（比如服務(wù)器和域管理員），保證對(duì)普通用戶的簡單友好（空密碼都是允許的）。
本地策略的本地指的是組織單位里的計(jì)算機(jī)賬戶所代表的機(jī)器。在這里甚至可以監(jiān)控用戶對(duì)文件的建立、刪除等操作，審核對(duì)象訪問就可以了，不過對(duì)于操作頻繁的位置開啟審核會(huì)產(chǎn)生大量的日志文件。如果你一年半載的也不看回日志的話，只開如圖的幾個(gè)就可以了。截圖如下：

用戶權(quán)限分配中，我常用的是網(wǎng)絡(luò)訪問和本地登錄（指坐在機(jī)器面前使用），注意拒絕優(yōu)先于允許，同時(shí)設(shè)置允許不起作用。還有一個(gè)要說明的是域中添加工作站，默認(rèn)每個(gè)域用戶可以添加10個(gè)計(jì)算機(jī)賬戶，即把10臺(tái)計(jì)算機(jī)加入域。安全要求不高的地方可以讓用戶自己做（偷個(gè)懶呵呵），控制欲較高的就設(shè)置自己一個(gè)（如果自己不是域管理員，要記著加上域管理員賬戶）。
安全選項(xiàng)如圖所示：

系統(tǒng)服務(wù)設(shè)置客戶機(jī)上各種服務(wù)的狀態(tài)。比如Terminal Services設(shè)為自動(dòng)就會(huì)開啟客戶機(jī)的終端服務(wù)，然后就可以通過遠(yuǎn)程桌面使用管理員賬戶進(jìn)行操作控制。截圖如下：

XP的防火墻我直接禁用了，設(shè)置截圖如下：

2 評(píng)分人數(shù)

qianhui602: 原創(chuàng)其他積分 + 1
lianggj: 原創(chuàng)加分論壇資產(chǎn) + 20 wb

0
0

頂
踩

回復(fù) 引用

報(bào)告 使用道具

中級(jí)會(huì)員

技術(shù)積分: 4
論壇資產(chǎn): 408 wb
其他積分: 2

2樓

hfxxly 發(fā)表于 2009-12-18 16:10 | 只看該作者

繼續(xù)哈

本帖最后由 hfxxly 于 2009-12-23 16:10 編輯

書接前文

3、管理模板（選項(xiàng)太多了，只說我用到的）
Windows組件——終端服務(wù)——允許用戶使用終端服務(wù)遠(yuǎn)程連接，啟用這一選項(xiàng)與上文中的終端服務(wù)配合就可以自動(dòng)啟用遠(yuǎn)程桌面訪問功能了。截圖如下：

Windows組件——Windows Update——配置自動(dòng)更新，如圖設(shè)置可以強(qiáng)制安裝補(bǔ)丁包。截圖如下：

如果你在內(nèi)網(wǎng)中建立了WSUS服務(wù)，可以在這里指定Intranet Microsoft更新服務(wù)位置。截圖如下：

Internet Explorer中的選項(xiàng)——禁用顯示初始屏幕的功能很有趣，當(dāng)XP系統(tǒng)的IE版本有IE6自動(dòng)更新為IE7時(shí)，首次使用的如果是USER權(quán)限的用戶，IE窗口就會(huì)一閃而過無法打開。然而如果首次使用的是更高級(jí)別用戶，就會(huì)看到初始屏幕并能夠進(jìn)行設(shè)置進(jìn)而使用。我據(jù)此判斷是IE初始屏幕的問題，當(dāng)把禁用顯示初始屏幕的選項(xiàng)啟用后問題果然解決了。設(shè)置如圖：

管理模板——系統(tǒng)——指定Windows安裝文件位置，啟用后輸入網(wǎng)絡(luò)共享的UNC路徑，以后系統(tǒng)添加個(gè)設(shè)備、服務(wù)什么的就不用滿世界的找系統(tǒng)盤了，即便沒光驅(qū)的機(jī)器也照樣搞定。截圖如下：

在上文中我們直接禁用了Windows防火墻服務(wù)，如果覺得不太安全可以通過管理模板——網(wǎng)絡(luò)——網(wǎng)絡(luò)連接——Windows防火墻中的具體配置選項(xiàng)進(jìn)行細(xì)粒度的調(diào)整，而不必完全關(guān)閉防火墻。截圖如下：

二、用戶配置
1、軟件設(shè)置
這個(gè)項(xiàng)目極少使用，不要忘了這里的所有東東是跟著用戶走的。除非是用戶以前用過的電腦，否則他換臺(tái)機(jī)器軟件就會(huì)安裝一次。用戶崩潰了，離你崩潰也就不遠(yuǎn)了。再有一點(diǎn)就是這里的權(quán)限和用戶的級(jí)別一致，Users也確實(shí)裝不了太復(fù)雜的東東。
2、Windows設(shè)置
遠(yuǎn)程安裝服務(wù)需要非常復(fù)雜的配套服務(wù)支持。配套服務(wù)需要自己另行建立，其難度足以單獨(dú)寫本書了。在實(shí)際使用中感覺不如同樣是支持網(wǎng)絡(luò)啟動(dòng)的賽門鐵克網(wǎng)絡(luò)Ghost服務(wù)好用。建議大家試試網(wǎng)絡(luò)Ghost，它比較簡單（至少是比微軟的簡單）。
腳本（登錄/注銷）項(xiàng)目的使用與計(jì)算機(jī)配置中的大同小異。牢記一點(diǎn)即可，這里的執(zhí)行權(quán)限是跟用戶一樣的，不要讓腳本執(zhí)行超出權(quán)限的命令就可以了。
Windows設(shè)置——安全設(shè)置——軟件限制策略是控制狂的最愛。計(jì)算機(jī)配置里的那個(gè)是通過限制機(jī)器進(jìn)而限制所有使用該機(jī)器的人，換臺(tái)機(jī)器就沒問題了。這里的是直接限制人（實(shí)際是對(duì)應(yīng)的賬戶），用所有機(jī)器都一樣除非換個(gè)人（就是換個(gè)登錄賬戶）?？刂铺^，沒實(shí)踐經(jīng)驗(yàn)，有興趣的自己試。
文件夾重定向功能強(qiáng)悍，建議網(wǎng)絡(luò)環(huán)境穩(wěn)定的使用。我的用法是將用戶的桌面和我的文檔重定向的服務(wù)器存儲(chǔ)，在服務(wù)器上設(shè)置定期備份并開啟卷影副本的功能。卷影副本可以將用戶的數(shù)據(jù)形成快照以便隨時(shí)恢復(fù)，服務(wù)器的功能夠強(qiáng)悍的話，卷影副本可以設(shè)置為每一小時(shí)備份一次（最高了）。每小時(shí)?。∫院筮€怕什么誤操作、誤刪除?。∥募A重定向在項(xiàng)目上用右鍵菜單設(shè)置。桌面重定向設(shè)置的截圖如下：

我的文檔的設(shè)置與此類似不再贅述。文件夾重定向后可以為客戶數(shù)據(jù)提供有效的保護(hù)，客戶機(jī)系統(tǒng)崩潰也不會(huì)對(duì)用戶存儲(chǔ)在這些位置的個(gè)人數(shù)據(jù)造成破壞。因?yàn)殡娔X上的軟件環(huán)境不會(huì)完全相同所以其他兩項(xiàng)建議不設(shè)置重定向。
Internet Explorer維護(hù)中的瀏覽器用戶界面項(xiàng)一般不用改動(dòng)。瀏覽的頁面良莠不齊，標(biāo)題和徽標(biāo)都帶有單位的標(biāo)志有時(shí)會(huì)讓人啼笑皆非。
URL選項(xiàng)是我經(jīng)常用到的，使用方法截圖如下：

回復(fù) 引用

報(bào)告 使用道具 TOP

中級(jí)會(huì)員

技術(shù)積分: 4
論壇資產(chǎn): 408 wb
其他積分: 2

3樓

hfxxly 發(fā)表于 2009-12-18 16:11 | 只看該作者

over了

本帖最后由 hfxxly 于 2009-12-24 09:09 編輯

這一篇over了。

3、管理模板
Windows組件——Windows資源管理器項(xiàng)目比較常用。這個(gè)項(xiàng)目中的大多數(shù)選項(xiàng)都會(huì)直接影響用戶的使用操作。比如隱藏指定的驅(qū)動(dòng)器、啟用經(jīng)典外觀等。
Windows Components——Internet Explorer項(xiàng)目中的豐富選項(xiàng)可以實(shí)現(xiàn)對(duì)IE的顆粒級(jí)控制。通過合理的設(shè)置可以將IE打造為真正的銅頭鐵臂，甚至不借助其他輔助工具也可以實(shí)現(xiàn)安全無憂的上網(wǎng)沖浪。
最后在特別介紹一下系統(tǒng)——用戶配置文件——不包括漫游配置文件中的目錄這個(gè)選項(xiàng)。這一項(xiàng)可以手動(dòng)指定需要排除在漫游配置之外文件夾，以便在同步時(shí)減輕網(wǎng)絡(luò)及服務(wù)器的壓力。截圖如下：

其他的各種選項(xiàng)功能上各具特色，因?yàn)槲业墓ぷ髦胁怀Ｓ?，就不一一說明了。
因?yàn)榻M策略的強(qiáng)大與復(fù)雜，微軟為其組策略專門設(shè)計(jì)了管理單元，2003的系統(tǒng)需要單獨(dú)安裝這個(gè)組件（網(wǎng)上搜索吧）。這個(gè)管理單元不但將域環(huán)境中使用的所有組策略按層級(jí)集中在一個(gè)統(tǒng)一的使用界面下，而且提供了組策略建模和生成結(jié)果的功能，可以讓你清楚的看到組策略在客戶機(jī)上的應(yīng)用情況。如圖所示：

神兵利器在手，接下來就請大家盡情施展絕世武功吧！

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。

打開APP，閱讀全文并永久保存查看更多類似文章

巧妙解決Windows XP網(wǎng)絡(luò)訪問難題

從哪里找計(jì)算機(jī)管理員權(quán)限,windows10電腦管理員權(quán)限在哪里獲取

遠(yuǎn)程登陸（遠(yuǎn)程桌面連接）”和“同一工作組，共享文件”

不能訪問共享文件夾，沒有權(quán)限訪問共享文件夾

Windows XP文件夾和打印機(jī)共享問題圖解

網(wǎng)上鄰居打開需要訪問密碼問題！

更多類似文章 >>

中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

域網(wǎng)絡(luò)構(gòu)建教程（4）組策略（獻(xiàn)給還在2003上奮斗的窮人們）

繼續(xù)哈

over了