組策略是Active Directory中非常重要的一項技術.doc

組策略是Active Directory中非常重要的一項技術，很多朋友都聽說過組策略對于管理的重要意義，也明白有些疑難問題可以用傳說中的“策略”來解決。但并不清楚組策略該如何理解，如何部署，如何管理。今天起我們將組織一系列的博文為大家介紹組策略的來龍去脈，力爭讓大家可以更好地利用組策略來完善管理工作。我們首先從組策略的概念談起，什么是組策略呢？組策略是一個允許執(zhí)行針對用戶或計算機進行配置的基礎架構。這個概念聽起來有些晦澀，不太容易理解。其實通俗地說，組策略和注冊表類似，是一項可以修改用戶或計算機設置的技術。那組策略和注冊表的區(qū)別在哪兒呢？注冊表只能針對一個用戶或一臺計算機進行設置，但組策略卻可以針對多個用戶和多臺計算機進行設置。這個你明白組策略的優(yōu)點了吧，在一個擁有1000用戶的企業(yè)中，如果我們用注冊表來進行配置，我們可能需要在1000臺計算機上分別修改注冊表。但如果改用組策略，那只要創(chuàng)建好組策略，然后通過一個合適的級別部署到1000臺計算機上就可以了。組策略和Active Directory結合使用，可以部署在OU，站點和域的級別上，當然也可以部署在本地計算機上，但部署在本地計算機并不能使用組策略中的全部功能，只有和Active Directory配合，組策略才可以發(fā)揮出全部潛力。組策略部署在不同級別的優(yōu)先級是不同的，本地計算機站點域OU。我們可以根據(jù)管理任務，為組策略選擇合適的部署級別。組策略對象存儲在兩個位置，鏈接GPO的Active Directory容器和域控制器上的Sysvol文件夾。GPO是組策略對象的縮寫，GPO是組策略設置的集合，是 存儲在Active Directory中的一個虛擬對象。GPO由組策略容器(GPC) 和組策略模板(GPT)組成，GPC包含GPO的屬性信息，存儲在域中每臺域控制器活動目錄中；GPT 包含GPO 的數(shù)據(jù)，存儲在Sysvol 的 /Policies 子目錄下。組策略管理可以通過組策略編輯器和組策略管理控制臺（GPMC），組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具，可以修改GPO中的設置。GPMC則是功能更強大的組策略編輯工具，GPMC可以創(chuàng)建，管理，部署GPO，最新的GPMC可以從微軟網(wǎng)站下載。至此，我們對組策略的功能，結構和管理工具都有了一定的了解，下篇博文中我們將通過實例為大家介紹如何對組策略進行部署及管理。在IT工程師的運維工作中，有很多沒有技術含量的事務性操作是很令人頭疼的，例如為客戶機安裝軟件。有些朋友看到這里估計會很不以為然，想我等IT專業(yè)人士，縱橫江湖多年，無論國內(nèi)國外，正版盜版，安裝個小小軟件還不是手到擒來！其實不然，在一臺機器上安裝軟件當然不難，要是讓你在一千臺機器上安裝Office呢？想想看，要是用傳統(tǒng)的方式一臺一臺地安裝，操作者是很需要有一番直面慘淡人生的勇氣的。 因此，為客戶機選擇一種快速部署軟件的解決方案就成了工程師們面臨的一個問題。解決這個問題有多種備選方案，例如微軟的SCCM，它在功能上非常令人滿意，但是價格嘛.本文將為大家介紹一種性價比較高的軟件部署解決方案利用AD的組策略完成客戶機軟件部署。 組策略部署軟件的思路是把要部署的軟件存儲在文件服務器的共享文件夾中，然后通過組策略告知用戶用戶或計算機，某某服務器的某某文件夾有要安裝的軟件，趕緊去下載安裝。這樣一來，我們只要設置好組策略，就可以等待客戶機自動進行軟件安裝了，完全不用在客戶機上一一進行部署了。 組策略進行軟件安裝有自己的特點，那就是組策略支持安裝的軟件不能是EXE格式。EXE是我們平時使用最多的可執(zhí)行程序格式，組策略不支持EXE是個很大的遺憾，話又說回來了，要是組策略什么格式都支持，那SCCM的銷售就要受影響了，呵呵。組策略支持的軟件格式最好是MSI格式，ZAP或MST也是可以的。 今天我們將通過一個實例為大家介紹如何通過組策略進行軟件部署，拓撲如下圖所示，F(xiàn)lorence是域控制器，Istanbul是文件服務器，Perth是測試用的客戶機。 首先，我們要準備測試用的軟件。我們準備的軟件是微軟的LiveWriter，這個軟件想必各位博友是非常熟悉的，非常著名的離線博客工具。如圖1所示，我們把LiveWriter存儲在istanbul的一個共享文件夾中，大家可以看到程序的擴展名是MSI。圖1準備好了軟件，我們就可以來設置組策略了。在Florence上打開Active Directory用戶和計算機，如圖2所示，右鍵點擊人事部OU，準備為此OU創(chuàng)建一個組策略。人事部OU內(nèi)有一個張建國用戶，張建國用戶使用的客戶機就是Perth。圖2如圖3所示，我們在人事部OU的屬性中切換到“組策略”標簽，創(chuàng)建一個名為LiveWriter的組策略。圖3如圖4所示，編輯新創(chuàng)建的LiveWriter組策略屬性，準備在組策略中設置軟件安裝。組策略可以針對用戶或計算機進行軟件安裝設置，本例中我們將針對用戶。在組策略中定位到用戶配置軟件設置軟件安裝，選擇新建一個程序包。圖4如圖5所示，我們?yōu)樾聞?chuàng)建的程序包選擇路徑，instanbullivewriterwriter.msi是我們要用組策略進行部署的軟件。圖5接下來要選擇部署方式，可以選擇發(fā)布或指派。發(fā)布和指派的區(qū)別在于，發(fā)布只能針對用戶，而指派則既能針對用戶也能針對計算機；而且指派有一定的強制性，但發(fā)布則不具有強制性。本文中我們選擇的部署方式是發(fā)布，下篇博文中將為大家舉一個指派的例子。圖6組策略部署完畢，如圖7所示，組策略已經(jīng)從MSI文件中識別出了軟件的版本。圖7組策略設置完畢后，我們在客戶機Perth上測試一下。由于此次組策略軟件安裝針對的是用戶，因此我們需要讓張建國用戶注銷后重新登錄，這樣策略才能生效。如圖8所示，張建國登錄后打開控制面板中的添加或刪除程序，點擊“添加新程序”，就可以看到有一個Windows Live Writer程序可供選擇，點擊“添加”就可以開始安裝了。圖8軟件安裝過程基本上沒有什么提示，很快軟件安裝完畢，如圖9所示，我們在Perth的程序組中看到了利用組策略部署的LiveWriter。圖9組策略不僅能快速安裝軟件，也可以用于卸載軟件。如圖10所示，我們在組策略中找到新創(chuàng)建的程序包，在任務中選擇“刪除”。圖10如圖11所示，我們選擇立即刪除軟件，但實際上必須等到用戶注銷重新登錄后，軟件的卸載策略才可以生效。圖11我們在Perth上讓用戶張建國注銷系統(tǒng)后重新登錄，如圖12所示，我們可以看到系統(tǒng)正在自動刪除軟件。圖12如圖13所示，LiveWriter已經(jīng)被組策略成功卸載。從這個例子中，我們可以看到，組策略這種集中管理的思想用于實現(xiàn)軟件安裝還是相當?shù)姆奖?，下篇博文中我們將再為大家舉一個軟件指派的例子。圖13上篇博文中我們介紹了如何利用組策略在客戶機上安裝軟件，我們用分發(fā)的部署方式為大家舉了一個軟件安裝的實例，本文中我們將為大家介紹如何用組策略通過指派的方法實現(xiàn)軟件安裝。指派可以針對用戶，也可以針對計算機，相比較分發(fā)的部署方式更為靈活。實驗拓撲如下圖所示，我們這次準備部署的軟件是Office2003。查看原圖（大圖）如圖1所示，在文件服務器Istanbul的Office共享文件夾中，我們看到了Office2003的安裝文件。由于組策略不能支持EXE文件，因此我們需要使用PRO11.MSI文件進行組策略指派。查看原圖（大圖）圖1和上文類似，我們在域控制器上打開Active Directory用戶和計算機，如圖2所示，在人事部OU上創(chuàng)建一個名為Office2003的組策略。圖2如圖3所示，我們在Office2003組策略內(nèi)選擇新建一個程序包，這個程序包仍然針對的是人事部OU內(nèi)的用戶。查看原圖（大圖）圖3我們指定Istanbul服務器上Office共享文件夾內(nèi)的PRO11.MSI是要進行安裝的程序包。查看原圖（大圖）圖4本次部署方式我們選擇指派，和發(fā)布相比，指派具有一定的強制性。圖5如圖6所示，Office2003的程序包已經(jīng)準備完畢。當啟動作為域成員的基于 Windows 2000 的計算機時，系統(tǒng)將處理鏈接的組策略對象 (GPO) 的“計算機設置”部分的組策略設置，并應用于該計算機。此外，當您登錄到域時，系統(tǒng)將處理和應用每個鏈接的 GPO 的“用戶配置”部分的所有組策略設置。由于 Windows 花費時間應用每個策略設置，因此策略設置可能減緩登錄過程，這導致啟動計算機到能夠使用計算機之間出現(xiàn)時間間隔。您可以使用本文介紹的方法將這一間隔減至最小。 如何減少已處理的 GPO 的數(shù)目Windows 2000 的啟動和登錄時間直接與需要處理的 GPO 數(shù)量成比例。鏈接到站點、域或組織單元的 GPO 由這些站點、域或組織單元的所有計算機和用戶進行處理。要減少這些組策略設置的處理時間，請使用下列任意一種方法： 使用組織單元。 合并組策略設置。 基于安全組成員身份篩選組策略。 禁用部分組策略設置。 如何使用組織單元使用組織單元以更加詳細的形式分配組策略設置。將 GPO 鏈接到組織單元時，您可以將對不必要的 GPO 的處理減少到最小。要為組織單元創(chuàng)建一個 GPO，請按照下列步驟操作： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。 2. 單擊以擴展該域，右鍵單擊要配置的組織單元，然后單擊屬性。 3. 單擊組策略選項卡，然后單擊新建。 4. 在新建組策略對象框中鍵入 GPO 的描述性名稱，然后按 ENTER 鍵。 5. 單擊屬性，然后單擊安全選項卡。 6. 對于您不希望應用此策略設置的安全組，單擊清除允許列中的應用組策略復選框；對于您希望應用此策略設置的安全組，則單擊選中允許列中的應用組策略復選框；然后單擊確定。 7. 單擊編輯，然后配置您想要使用的策略設置。 8. 當您配置完策略設置后，請退出“組策略”管理單元，然后單擊關閉。 9. 退出“Active Directory 用戶和計算機”管理單元。 如何合并組策略設置Windows 處理大量小 GPO 比處理少量大 GPO 要花費更長的時間。要減少登錄到域所花的時間，請合并若干個 GPO 的設置以創(chuàng)建一個大的策略設置。 如何基于安全組成員身份篩選組策略Windows 處理所有鏈接的組策略設置，來確定要應用于登錄到域的計算機或用戶帳戶的有效策略設置。如果某個 GPO 與特定的用戶或組無關，您可以編輯安全權限，這樣將不處理您選擇的 GPO： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。 4. 單擊安全選項卡。 5. 對于您不希望應用此策略設置的安全組，單擊以清除允許列中的應用組策略復選框，對于您希望應用此策略設置的安全組，則單擊選中允許列中的應用組策略復選框。備注：要基于安全組成員身份限制 GPO 的應用程序，您必須從“名稱”列表中刪除 Authenticated Users 組和 Everyone 組（如果它們存在）。如果啟用了環(huán)回處理，請單擊下面的文章編號，查看 Microsoft 知識庫中相應的文章，并閱讀其他說明。查找以“The machine account of the terminal server”開頭的句子。 260370 (/kb/260370/EN-US/ ) How to Apply Group Policy Objects to Terminal Services Servers 6. 單擊確定，然后單擊確定。 7. 退出“Active Directory 用戶和計算機”管理單元。 如何禁用組策略設置的未使用部分GPO 包含“計算機配置”部分和“用戶配置”部分。如果您希望應用的策略設置僅包含對該 GPO 的一個部分的配置更改，您可以配置該 GPO 以使系統(tǒng)不處理未使用的部分。此時，您可以減少 Windows 處理 GPO 所花的時間。 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。 2. 執(zhí)行下列步驟之一： o 如果您想要編輯鏈接到域的 GPO 的安全設置，則右鍵單擊該域，然后單擊屬性。 o 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。 3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。 4. 執(zhí)行下列步驟之一或都執(zhí)行： o 單擊以選中“禁用計算機配置設置”復選框，然后，當收到“確認禁用”消息時單擊是。 o 單擊以選中“禁用用戶配置設置”復選框，然后，當收到“確認禁用”消息時單擊是。 5. 單擊確定，單擊應用，然后單擊確定。 6. 退出“Active Directory 用戶和計算機”管理單元。 如何將組策略設置配置為異步運行啟動 Windows 時，系統(tǒng)將按以下順序同步處理每個 GPO 的計算機配置部分的策略設置： 1. 本地策略設置 2. 站點策略設置 3. 域策略設置 4. 組織單元策略設置 處理計算機配置策略設置后，系統(tǒng)將提示您登錄到域。登錄到域時，系統(tǒng)將按以下順序同步處理每個 GPO 的用戶配置部分的策略設置： 1. 本地策略設置 2. 站點策略設置 3. 域策略設置 4. 組織單元策略設置 要減少登錄所花的時間，請配置組策略設置的異步處理。此時，系統(tǒng)將下載策略設置并且不按順序處理，并且您就可以在應用所有策略設置之前登錄到域。要配置組策略設置的異步處理，請執(zhí)行下列步驟： 1. 創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO。 2. 配置異步 GPO 處理。 下面各部分介紹如何完成這一過程。如何為異步處理創(chuàng)建 GPO要創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO，請執(zhí)行以下步驟： 1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory