您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 资本运营 > windows-2008-r2-组策略设置和应用
70-640系列课程组策略目录组策略简介组策略的应用组策略继承和应用规则实际使用举例注册表与组策略注册表是windows系统中保存系统、应用软件配置的数据库,随着系统丌同版本里的功能越来越丰富,注册表里的配置项目也越来越多,很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置就会非常困难和繁杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。注册表是Windows程序员建造的一个复杂的信息数据库,它是多层次式的。在丌同系统上注册表的基本结构相同。其中的复杂数据会在丌同方式上结合,从而产生出一个绝对唯一的注册表。其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。组策略简介“组策略”其实和“组”并没有关系,它是一组策略的集合。组策略加强了管理员通过活劢目录数据库在站点、域、或组织单位中配置用户和计算机的能力,在WindowsServer2008中,通过应用组策略,管理员可以很方便地管理ActiveDirectory中的计算机和用户的工作环境,例如,用户桌面环境、计算机启劢/关机不用户登陆/注销时所执行的脚本文件、软件安装、安全设置等。组策略可以用来实现对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境;降低布置用户和计算机环境的总费用,因为只需要设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户丌正确配置环境的可能性;推行公司使用计算机规范,包括桌面环境规范以及安全策略等内容。例如:1)软件分发2)软件限制3)安全设置(如密码策略、管理模板下相关设置等)4)基于注册表的设置(管理模板)5)IE维护6)脱机文件夹7)漫游配置文件和文件夹重定向8)计算机和用户脚本组策略组件ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObjectStoredinsharedSYSVOLfolderProvidesGroupPolicysettingsGroupPolicyTemplateStoredinActiveDirectoryProvidesversioninformationGroupPolicyContainer组策略对象的工具默认组策略工具ActiveDirectory用户和计算机域和组织单位组策略对象ActiveDirectory站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象组策略对象链接组织单位GPO组织单位GPO站点GPO域GPO站点域OUOUOU组策略的应用用顺序本地策略站点策略域策略父OU策略子OU策略组策略权限的继承域OUOUOUOUOU用户或计算机账户OUGPO1OUGPO3OUGPO2阻止策略继承要阻止策略在域或组织单位中继承ActiveDirectory用户和计算机管理工具要阻止策略在站点上继承ActiveDirectory站点和服务管理工具销售生产域组策略对象没有组策略对象设置应用强制组策略强制链接冲突组策略筛选销售生产域MengphKimyo组应用组策略拒绝读取和应用组策略允许GPO什么是WMI过滤器?500MBfreediskspace?WMIFilterAdministratorInstallOfficeXP?10GB400MB35GB750MBGPOWMI过滤Windows2000WindowsXPWindowsXPWMI过滤域控制器只套用XPProfessional查询是使用WMI查询语言(WQL)编写的仅运行WindowsXPProfessional的目标计算机Root\CimV2;Select*fromWin32_OperatingSystemwhereCaption=MicrosoftWindowsXPProfessional组策略什么时候应用?ComputerstartsComputersettingsappliedStartupscriptsrunRefreshIntervalUserlogsonUsersettingsappliedLogonscriptsrunRefreshInterval将组策略应用于新用户和计算机帐户默认情况下,新用户和计算机帐户是在CN=Users和CN=Computers容器中创建的。Redirusr.exe(用于用户帐户)和Redircomp.exe(用于计算机帐户)是WindowsServer2008附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置,以便更轻松地为新创建的用户和计算机对象直接指定GPO作用域组策略使用——发布软件软件部署概述将软件发布、指派给用户或计算机软件升级与重新部署修改部署的软件发布“非-MSI”的软件什么是WindowsInstallerWindowsInstaller是Windows操作系统的组件,可以简化应用程序安装的过程,通过安装应用程序时集中定义的一组安装规则,可以管理应用程序的安装和删除,还可使用此项服务修改、修复现有应用程序.由用于Windows操作系统的WindowsInstaller服务以及包含有关部门应用程序设置和安装信息的程序包.msi组成.软件部署概论可以利用AD的组策略功能来为公司域内的计算机部署(deploy)软件,也就是替这些计算机安装、维护与删除软件。软件部署分为“指派(assign)”与“发布(publish)”两种。这些软件应为“WindowsInstallerPackage”,也就是软件包内包含着一个扩展名为.msi的文件。注:也可以部署扩展名为.exe的软件,或是将其他类型的软件包装成.msi的“WindowsInstallerPackage”。指派和发布软件的区别指派:可以通过组策略将软件指派给用户和计算机,软件是有弹性的,若用户在某计算机登陆时删除了此软件,下次登陆并激活应用程序时,将重新安装软件。发布:只能针对用户设置,发布的应用程序会在AD中存储发布的属性,信息就会显示给容器中的用户,若删除了软件也可以重新安装。删除软件删除维护软件升级发布或指派安装软件准备软件包软件部署概论部署软件将软件发布给用户将软件指派给用户和计算机自动修复软件删除软件将软件发布给用户将软件通过OU组策略发布给OU下的某个用户,不会自动安装到用户的计算机内,需要通过以下方式安装:开始-控制面板-添加或删除程序-添加程序利用“文件启动”功能发布软件具体操作发布软件:1.建立软件发布点:用于存储WindowsInstallerPackage的共享文件夹(可在域中任何一台服务器内)在共享文件夹内(例software)建立一个用来存放软件的子文件夹,把准备发布的软件复制过来2.设置默认封装位置AD用户和计算机-“业务部OU”-属性-组策略-编辑-用户配置-软件设置-“软件安装”-属性在“默认程序包位置”处输入存储位置(必须是网络路径-UNC路径)3.发布软件右击“软件安装”-新建-程序包-选择.MSI文件设置默认封装位置:发布软件发布软件具体操作安装被发布的软件通过控制面板--添加或删除程序--添加新程序--从网络添加(可在域内任何一台计算机来安装被发布的软件)选择要安装的软件后单击“添加”,接下来会由WindowsInstallerservice来负责安装此软件。发布软件具体操作测试自动修复软件的功能一个被发布的软件在安装完成后,如果有关键性文件损坏、遗失或被用户不小心删除等,系统会自动探测到并自动修复、重新安装。注销用户,利用管理员帐户登陆(只有具备管理员的权限用户才可以删除此软件内的文件)并删除某一个文件注销管理员,重新用此用户登陆,执行开始--所有程序--公布的软件,因为系统检测到此软件文件被删除,会自动重新再安装此软件。发布软件具体操作取消发布软件(删除软件)一个被发布的软件,在完成安装后,如果不想再让用户使用此软件,只要将该程序从GPO内发布的软件清单中删除,并设置下次用户登陆或计算机启动自动将此软件删除即可。删除发布软件右击该软件-所有任务-删除,两种选择:立即从用户及计算机卸载软件:当用户下次登录时或计算机启动时,此软件将被自动删除允许用户继续使用软件,但禁止新的安装:用户已经安装的软件不会被删除,可以继续使用,不过新用户登录时,此软件就不能使用了。强制删除可选删除指派给用户或计算机指派给用户指派给计算机:可以将软件指派给整个域或某个OU内的计算机在“计算机配置”里设置需另外设置“默认程序包位置”:软件安装—属性—默认程序包位置选择“已指派”将软件指派给用户将软件指派给整个域或某个OU内的用户,过程类似于发布给用户。当将一个软件通过组策略的GPO指派给域内的用户后,则用户在域内的任何一台计算机登录时,这个软件都会被“通告”给该用户,但是没有真正的安装,只是安装了与这个软件有关部门的部分信息,需要通过以下方式安装:开始运行此软件:开始-所有程序-双击该软件快捷方式自动安装。利用“文件启动”功能:例如指派的是Excel,则用户登录时,计算机会自动将扩展名为.xls的文件与Excel关联在一起,此时只要用户双击.xls的文件,系统会自动安装Excel。将软件指派给计算机当将一个软件通过组策略的GPO指派给域内的计算机后,在这些计算机启动时,会自动安装,而且是安装到公用程序组内,也就是安装到DocumentsandSettings\AllUsers文件夹内。任何用户登录后,都可以使用此软件。通过“计算机配置”来设置,而不是“用户配置”需另外设置“默认程序包位置”,设置方法:软件安装--属性-默认程序包位置选择已指派注:只能对软件指派给计算机,无法将软件发布给计算机。被指派软件的计算机,在启动时就会自动安装这个软件。任务五发布“非-MSI”软件发布“非-MSI”软件的限制“非-MSI”软件只能被发布(给用户),无法指派给用户或计算机“非-MSI”软件不能自动修复大部分应用程序安装过程需要用户介入用户必须具有安装软件的权限,例如系统管理员可以通过建立一个扩展名为.zap的文件,来将非.msi的软件部署给用户。在部署时候、注意以下事项:实例将.exe的运行文件发布给用户1.在软件发布点建立一个文件夹,将.exe的运行文件复制到此文件夹内2.在此文件夹内,利用“记事本”建立一个扩展名为.zap的文件,内容中SetupCommand是用来指定.exe运行文件的路径和文件名。注:若.zap文件与软件运行文件位于同一个文件夹内,则处直接输入软件运行文件,可以不输入路径。3.选择GPO-属性-用户配置-软件设置-右击软件安装-新建-程序包4.在“文件类型”中选择“ZAW早期版本应用程序包”,然后选择建立的.zap文件5.选择“已发行”
本文标题:windows-2008-r2-组策略设置和应用
链接地址:https://www.777doc.com/doc-4238468 .html