第16章 組策略

1、Windows Server 2008教程課件電子工業(yè)出版社 課件制作人聲明n本課件共 18個 Powerpoint 文件（每章一個）。教師可根據(jù)教學(xué)要求自由修改此課件（增加或刪減內(nèi)容），但不能自行出版銷售。 n對于課件中出現(xiàn)的缺點和錯誤，歡迎讀者提出寶貴意見，以便及時修訂。第16章 組策略16.1 組策略介紹16.2 組策略管理計算機(jī)和用戶16.3 組策略設(shè)置和應(yīng)用順序16.4 軟件部署詳解16.5 使用組策略部署軟件第16章 組策略（續(xù)）16.6 使用腳本管理16.7 使用組策略管理工具管理組策略16.8 監(jiān)控組策略應(yīng)用16.1 組策略介紹組策略的作用n定義組策略的方式及組策略的作用，包含

2、以下幾點：n通過在站點或域級別為整個組織設(shè)置組策略來集中管理，或在組織單位的級別為每個部門設(shè)置組策略來管理此部門。n組策略可以確保用戶有適合完成他們工作的環(huán)境?？梢酝ㄟ^組策略控制注冊表中的應(yīng)用程序和系統(tǒng)設(shè)置，可以修改計算機(jī)和用戶環(huán)境的腳本，可以自動軟件安裝，可以更改本地計算機(jī)、域和網(wǎng)絡(luò)的安全設(shè)置，還可以控制用戶數(shù)據(jù)文件的存儲位置。n降低控制用戶和計算機(jī)環(huán)境的總費用，減少用戶需要的技術(shù)支持級別和由于用戶錯誤而引起的生產(chǎn)損失。例如，通過使用組策略可以阻止用戶對系統(tǒng)設(shè)置做出讓計算機(jī)無法正常工作的修改，同時還可以阻止用戶安裝他們不需要的軟件。n推行公司策略，包括商業(yè)準(zhǔn)則、目標(biāo)和保密需求。例如，可以確保

3、所有用戶的保密需求和公司的保密需求一致，或所有用戶有一套特定安裝需求。16.2 組策略管理計算機(jī)和用戶n首先我們介紹使用域級別組策略管理整個域中的賬戶策略，然后創(chuàng)建一個新的組策略鏈接到“銷售部”組織單位，以管理該部門中的計算機(jī)。域級別組策略創(chuàng)建部門組策略驗證組策略設(shè)置組策略管理用戶驗證用戶設(shè)置16.3 組策略設(shè)置和應(yīng)用順序n組策略可以集中管理整個域也可以單獨管理一個組織單位中的用戶和計算機(jī)。創(chuàng)建組織單位可以對域中的用戶和計算機(jī)進(jìn)行分組管理。組策略對象GPO組策略對象和活動目錄容器組策略應(yīng)用順序和優(yōu)先級n每個組策略都包含兩部分，即計算機(jī)配置和用戶配置。當(dāng)我們在域及組織單位上定義了不同級別的GPO

4、時，它們的應(yīng)用原則如下：n計算機(jī)啟動時，根據(jù)計算機(jī)帳戶所在的組織單位，確定應(yīng)用的組策略，應(yīng)用組策略中計算機(jī)配置部分。n域用戶登錄時，根據(jù)用戶帳戶所在的組織單位，確定應(yīng)用的組策略，應(yīng)用組策略中用戶配置部分。n組策略中用戶配置部分，對域中計算機(jī)的本地帳戶無法應(yīng)用。n計算機(jī)啟動后，已經(jīng)應(yīng)用了組策略中計算機(jī)配置部分，不管登錄該計算機(jī)的是本地用戶還是域用戶，組策略對計算機(jī)的管理已經(jīng)完成。強(qiáng)制應(yīng)用組策略阻止組策略繼承16. 4 軟件部署詳解n軟件的生命周期包含四個階段：預(yù)備，部署，維護(hù)，刪除。使用組策略可以統(tǒng)一部署軟件的安裝，這樣當(dāng)用戶工作需要時能夠直接使用統(tǒng)一部署的軟件而不用單獨安裝。組策略軟件安裝使用

5、Microsoft Windows安裝技術(shù)管理安裝的過程。軟件安裝和維護(hù)過程n軟件的安裝和維護(hù)過程包含以下幾項：n預(yù)備n是指使一個應(yīng)用程序成為能用組策略部署的文件。為完成這個工作，需要將用于應(yīng)用程序安裝的Windows安裝程序包文件復(fù)制到一個軟件分發(fā)點，該發(fā)發(fā)點可能是一個共享文件夾或服務(wù)器?？梢詮膽?yīng)用程序供應(yīng)商那里獲取Windows安裝程序包文件，也可以使用第三方工具創(chuàng)建一個包文件。n部署n是指管理員創(chuàng)建一個在計算機(jī)上安裝軟件的GPO并將該GPO鏈接到相應(yīng)的活動目錄容器上。操作完成后，軟件在計算機(jī)啟動時或是用戶激活應(yīng)用程序時會自動安裝。軟件安裝和維護(hù)過程（續(xù)）n維護(hù)n是指用新版本的軟件升級或是

6、用一個補(bǔ)丁包來重新部署軟件。當(dāng)計算機(jī)啟動時或用戶激活應(yīng)用程序時將自動升級或重新部署軟件。n刪除n是指針對不再需要的軟件，從部署軟件的GPO中刪除這些軟件包的設(shè)置。當(dāng)計算機(jī)啟動或是用戶登錄時軟件將被自動刪除。Windows安裝程序軟件部署概述n在用組策略部署應(yīng)用程序前，必須擁有該應(yīng)用程序的Windows安裝程序包文件。然后可以根據(jù)自己的要求，配置GPO來為用戶賬戶或計算機(jī)賬戶部署軟件。n組策略的軟件安裝功能只支持msi和zap格式的軟件包，不直接支持exe包的安裝。同時需要注意的是，msi格式的軟件包既可以發(fā)布，又可以分配，且不需擔(dān)心普通用戶安裝的權(quán)限問題，而zap格式的軟件包只能發(fā)布，不能分配

7、，且發(fā)布給普通用戶時，有可能因為權(quán)限問題而無法安裝。軟件分發(fā)點n為查找方便和簡化管理，所有的包文件都保存在一個公共位置。這個公共位置就是軟件分發(fā)點，即軟件分發(fā)點為某個共享文件夾。n另外，請確保安裝程序包和軟件文件在軟件分發(fā)點上是可用的，以便在本地安裝軟件時，計算機(jī)可以從這個點復(fù)制文件。分配軟件nGPO通過分配或發(fā)布兩種方式來部署軟件。通常，分配的軟件只有在用戶工作需要時才安裝。n當(dāng)使用分配的方式部署軟件后，會在用戶計算機(jī)的開始菜單中顯示該軟件的快捷方式，和在桌面上顯示該軟件的圖標(biāo)。分配軟件能夠確保只有用戶需要的應(yīng)用程序才被安裝到他們的計算機(jī)上。發(fā)布軟件n和分配軟件不同的是，不管用戶是否使用，用

8、戶都必須安裝發(fā)布的軟件。但要注意的是，發(fā)布的軟件并沒有添加快捷方式到用戶的桌面或開始菜單中，也沒有在本地注冊表中注冊。用戶需要采用下面兩種方法之一來安裝發(fā)布的軟件：n使用Add/Remove Programsn用戶可以打開控制面板雙擊Add/Remove Programs來顯示可用的應(yīng)用程序組。然后選擇需要的應(yīng)用程序單擊Install。n使用文檔激活的方法n當(dāng)一個應(yīng)用程序發(fā)布在活動目錄中時，它所支持的文檔擴(kuò)展文件名在活動目錄中注冊了。如果用戶雙擊一個未知類型文件，計算機(jī)就會向活動目錄發(fā)出查詢以確定有沒有與該文件擴(kuò)展名相關(guān)的應(yīng)用程序。如果活動目錄包含這樣一個應(yīng)用程序，計算機(jī)就安裝它。n。16.5

9、 使用組策略部署軟件為計算機(jī)部署軟件為用戶部署軟件使用組策略進(jìn)行軟件升級使用組策略卸載軟件16.6 使用腳本管理n為了管理方便，可以在組策略中定義自動運行的腳本，包括計算機(jī)配置腳本和用戶配置腳本。這樣在計算機(jī)啟動、關(guān)閉或用戶登錄、退出的時候，都可以使用組策略運行相應(yīng)的腳本，以進(jìn)行管理。組策略腳本設(shè)置腳本執(zhí)行順序nWindows Server 2008按下列順序處理并運行指定腳本的組策略：n當(dāng)用戶啟動計算機(jī)、進(jìn)行登錄時n啟動腳本通過缺省，隱藏、同步運行。當(dāng)腳本同步運行時，每個腳本必須在下一個腳本開始運行之前結(jié)束或暫停運行。n登錄腳本通過缺省，隱藏、非同步運行。當(dāng)腳本非同步運行時，即使先前的腳本正

10、在運行，還可以開始運行另一個腳本。多個腳本可以同時運行。n當(dāng)用戶退出、關(guān)閉計算機(jī)時：n退出腳本運行。n關(guān)閉腳本運行。使用登錄腳本管理用戶環(huán)境nAdministrator：使用內(nèi)置Administrator賬戶可以對整臺計算機(jī)或域配置進(jìn)行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機(jī)、分配允許用戶訪問資源的權(quán)限等。作為管理員，應(yīng)該創(chuàng)建一個普通用戶賬戶，在執(zhí)行非管理任務(wù)時使用該用戶賬戶，僅在執(zhí)行管理任務(wù)時才使用Administrator賬戶。Administrator賬戶可以更名，但不可以刪除。nGuest：一般的臨時用戶可以使用內(nèi)置Guest賬戶進(jìn)行登錄并訪問資源。在默認(rèn)情況下，為了保證

11、系統(tǒng)的安全，Guest賬戶是禁用的，但在安全性要求不高的網(wǎng)絡(luò)環(huán)境中，可以使用該賬戶，且通常分配給它一個口令。16.7 使用組策略管理工具管理組策略n組策略管理控制臺（GPMC）為管理組策略提供了新的框架。通過GPMC，系統(tǒng)管理員可以更容易地使用組策略，公司也能夠更好地利用活動目錄服務(wù)，從其強(qiáng)大的管理特性中獲益。例如，GPMC能夠備份和恢復(fù)GPO，導(dǎo)入/導(dǎo)出和復(fù)制/粘貼GPO等。n組策略管理包括創(chuàng)建組策略、刪除組策略、查看組策略設(shè)置、備份全部組策略、備份單個組策略、還原組策略等。安裝組策略管理工具在GPMC中創(chuàng)建組策略查看組策略設(shè)置指定組策略的狀態(tài)查看組策略作用域備份組策略刪除/還原組策略16.

12、8 監(jiān)控組策略應(yīng)用n系統(tǒng)管理員在實施組策略時可能會遇到問題，如域中的計算機(jī)應(yīng)用完組策略后計算機(jī)設(shè)置沒有達(dá)到預(yù)期的設(shè)置，或用戶登錄后應(yīng)用完組策略中用戶設(shè)置后沒有達(dá)到預(yù)期的效果等。這就需要管理員能夠快速找到組策略沒有正確應(yīng)用的原因。n在解決組策略問題時，必須考慮到各個組件之間的依賴關(guān)系，比如組策略依賴活動目錄，活動目錄依賴網(wǎng)絡(luò)服務(wù)的正確配置等。nWindows Server 2008提供了兩個新的組策略管理功能幫助系統(tǒng)管理員確定組策略對某個特定用戶或計算機(jī)的設(shè)置，即組策略建模和組策略結(jié)果。實施組策略時的常見問題n問題一、 在試圖打開或編輯組策略時，接收到錯誤信息稱組策略對象不能被訪問或打開。該問題

13、可能的原因和解決方案如下：n可能沒有訪問GPO的權(quán)限。檢查試圖打開或訪問的GPO的DACL，必須擁有打開或訪問的GPO的讀寫權(quán)限。n組策略試圖連接的域控制器不在線或域控制器不能用域名系統(tǒng)來解析。確認(rèn)域控制器在線，如果在線，確認(rèn)能夠使用域名系統(tǒng)來解析域控制器的域名。實施組策略時的常見問題（續(xù)）n問題二、 組策略設(shè)置不發(fā)揮預(yù)期功能。該問題的可能原因和解決方案如下：n繼承沖突 如果顯示組策略設(shè)置沒有應(yīng)用，問題可能是由繼承沖突引起的。從活動目錄繼承的頂端開始，檢查連接到每個域、站點、組織單位的GPO順序，這些GPO可能影響還沒有接受組策略設(shè)置的用戶或計算機(jī)。然后查看在計算機(jī)和用戶設(shè)置之間是否有沖突，記

14、住，在絕大多數(shù)情況下，如果發(fā)生沖突，計算機(jī)設(shè)置優(yōu)先于用戶設(shè)置；檢查禁止覆蓋的GPO連接以及檢查阻止繼承的域和組織單位。實施組策略時的常見問題（續(xù)）n權(quán)限問題 檢查希望應(yīng)用的GPO的DACL。確保用戶和計算機(jī)賬戶有需要應(yīng)用的所有GPO的讀和申請組策略設(shè)置的權(quán)限；同時，檢查計算機(jī)或用戶賬戶的安全組成員資格，確保賬戶是其成員之一的安全組在DACL中列出；同時，檢查拒絕ACE。記住拒絕優(yōu)先于所有的允許權(quán)限。n禁用GPO節(jié)點 檢查所有的GPO，查看計算機(jī)配置或用戶配置節(jié)點是否已經(jīng)禁用。n復(fù)制問題 確?；顒幽夸洀?fù)制和Sysvol復(fù)制的完成。記住如果GPO的GPC和GPT部分都沒有復(fù)制，組策略將無法運行。實施組策略時的常見問題（續(xù)）n域之間的GPO鏈接問題 如果一個站點、域或組織單位鏈接到另一個域的GPO上，可以通過