第 15 章 组策略

1. 第15章 组策略

2. 本章的任务 了解什么是组策略，有多个组策略时，组策略的应用顺序 了解组策略的创建方法 根据企业需要，创建或修改不同级别的组策略 使用组策略为企业用户或者计算机制定统一的环境 使用组策略统一发布、升级、修改软件

3. 15.1 组策略介绍

4. 15.1.1 理解组策略 Windows组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。 安装了活动目录后，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置等，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。组策略仍然允许用户在保持标准的系统配置的同时，也能定制自己的配置。

5. 15.1.2各种组策略 本地安全策略与本地策略:本地安全策略只是本地策略的一部分 。

6. 查看本地策略

7. 查看本地策略

8. 查看本地策略

9. 默认域策略 默认域策略 ：域策略会应用到整个域，域策略存储在域控制器上

10. 默认域控制器策略 默认域控制器策略是应用到域中的域控制器的 Default Domain Controllers Policy”策略，这个策略就是默认域控制器策略，是安装Windows Server 2008时自动创建的、仅应用到域控制器上的策略。

11. 组织单元上的策略 组策略也常常在组织单元上实施，如果我们在这个组织单元上实施组策略，那么这个策略将对这个组织单元中的计算机和用户起作用。

12. Active Directory环境中的各组策略的作用范围 • 默认或创建的域策略：作用于整个域中的计算机和用户 • 默认或创建的域控制器策略：作用于整个域中的全部域控制器 • 组织单元上的策略：作用于整个组织单元的计算机和用户 • 本地策略：所有的计算机和用户

13. 15.1.3 策略的应用顺序 首先是本地策略，然后是域策略，最后是组织单元或者域控制器上的策略，如果组织单元下还有组织单元则从上级到下级应用各个组织单元上的策略。 组策略是可以继承的，组织单元或域控制器会继承域的组策略，下一级组织单元会继承上一级组织单元上的策略。

14. 15.1.4 组策略规划 如果是针对所有计算机或者用户的策略，应该在域这一级的策略上设置。 如果是针对各部门的策略，应该在组织单元这一级的策略上设置。

15. 15.2 组策略的管理

16. 15.2.1 创建新的组策略 每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略；而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略。 选择域或者要创建组策略的组织单元，右击鼠标，选择菜单中的“在这个域中创建GPO并在此处链接”

17. 15.2.1 创建新的组策略 一个是新创建的组策略，该策略优先级为1，优先级最高；另一个组策略是从域继承下来的，优先级为2，优先级较低。

18. 15.2.1 创建新的组策略

19. 15.2.2 编辑组策略 组策略的属性 计算机配置”是针对计算机做的配置，而不管是哪个用户在该计算机上登录都会生效的；“用户配置”是针对用户做的配置，而不管用户是在哪台计算机上登录都会生效的。

20. 组策略的属性 单击“立即查找”按钮可以查找该策略被应用在域中的何处，这对于维护组策略来说是非常重要的。

21. 组策略的属性 可以控制哪些用户对该组策略的控制权限，例如创建子对象，单击“高级”按钮可以控制对组策略的审核

22. 设置策略项

23. 设置策略项

24. 策略项的三种选择

25. 刷新策略 在域控制器上配置了组策略后，普通的计算机90 分钟刷新组策略，新的组策略才生效；对于域控制器，5 分钟刷新。 可以手工进行刷新，语法为： gpupdate [/Target:{Computer | User}] [/Force]

26. 策略的结果集 组策略是如此复杂，以至于我们在设置组策略时可能无法准确知道最后的结果会是怎样，好在微软提供查看组策略结果集的工具

27. 策略的结果集

28. 策略的结果集

29. 策略的结果集

30. 策略的结果集

31. 15.2.3 管理组策略 在Active Directory环境中，我们介绍过组策略的应用顺序是：本地策略、域策略、组织单元策略、子组织单元策略；在同一级的组织单元上也可以有多个组策略存在。我们可以管理这些组策略之间的关系。

32. 改变组策略的排列顺序 改变组策略的排列顺序:排在列表上面的组策略具有较高的优先级，也就是说上面的组策略会替代下面的组策略。选中相应的策略，单击“▲”和“▼”可以改变这些组策略的排列顺序，从而改变组策略的优先级。

33. 改变策略的继承关系 默认时，组织单元会继承域上的组策略，子组织单元会继承父组织单元的组策略，然而我们可以改变这一行为。在图选中“阻止继承”菜单，则该组织单元就不会继承域上的组策略 。

34. 强制策略的继承关系 可以强制策略的继承 ，则组织单元上采取阻止措施也不能阻止该组策略被继承了 。

35. 组策略的设置举例

36. 15.3 使用组策略定制用户环境、安全设置

37. 15.3.1 设置IE浏览器的主页

38. 15.3.2 设置密码策略

39. 15.3.3 帐户锁定策略

40. 15.3.4 Windows防火墙设置

41. 15.3.5 时间提供程序

42. 15.3.6 禁止安装可移动设备

43. 15.4 使用组策略发布软件

44. 15.4.1 软件部署简介 将软件分配给用户 ： 当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装： 开始运行此软件： 例如用户登录后执行操作：“开始”“所有程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。 利用“文件启动”功能： 例如假设这个被“通告”的程序为Microsoft Excel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，此时用户只要双击扩展名为.xls的文件，系统就会自动安装Microsoft Excel。

45. 将软件分配给计算机 当将一个软件通过组策略分配给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and Settings\All Users文件夹内。任何用户登录后，都可以使用此软件。

46. 将软件发布给用户 当将一个软件通过组策略发布给域内的用户后，该软件不会自动安装到用户的计算机内，用户需要通过以下两种方式来安装这个软件： 执行操作：“开始” “控制面板” “添加或删除程序”“添加程序”。 利用“文件启动”功能：举例说，假设这个被发布的软件为,Microsoft Excel，虽然在Active Directory内会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，可是用户登录时，他的计算机不会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，也就是对此计算机来说，扩展名为.xls的文件是一个“未知文件”，不过只要用户双击扩展名为.xls的文件，他的计算机就会通过Active Directory得知扩展名为.xls的文件是与Microsoft Excel关联在一起，因此会自动安装Microsoft Excel。

47. 自动修复软件 一个被发布或分配的软件，在安装完成后，如果此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常现象，并且会自动修复、重新安装此软件。

48. 删除软件 一个被发布或分配的软件，在用户将其安装完成后，如果不想再让用户使用此软件，只要将该程序从组策略内发布或分配的软件清单删除，并设置下次用户登录或计算机启动时删除，系统会自动删除这个软件。

49. 15.4.2 发布或分配软件 发布或分配软件前的准备工作 ： 步骤1：在服务器上创建共享文件夹把文件夹共享出来，确保组策略会影响到的各用户对目录至少具有读的权限。 步骤2：在一客户端测试是否可以正常访问共享文件夹。 步骤3：准备合适的被部署软件，把软件拷贝到共享文件夹下，可以根据需要建立子文件夹。组策略对被部署的软件有一定的要求，通常是MSI文件，如果是EXE文件，请按照后面小节介绍的方法打包。

50. 发布或分配软件