域网络构建教程（4）组策略（献给还在2003上奋斗的穷人们） - 服务器操作系统交流 - ...

组策略（献给还在2003上奋斗的穷人们）
古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！
作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。
实际上组策略的设置工具在我们常用的XP系统上一直存在，通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下：

马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。
有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负哈）。
闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory用户和计算机”。截图如下：

在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组策略。现在你就会看到默认域策略——Default Domain Policy，截图如下：

单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。
默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。
注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。
为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组织单位移入其中。截图如下：



现在打开“用户和计算机”组织单位的属性对话框，并进入组策略编辑界面，新建一个作用于该组织单位的组策略对象并命名为——通用策略（当然你也可以其别的名字）。截图如下：


下面让我们与组策略近距离亲密接触一下。别害怕只是接触一下，看看我们都可以对最终用户施放那些魔法和大招。进入编辑模式，截图如下：

组策略分为两大部分：计算机配置和用户配置，这也是为什么我建立两个组织单位分别放置用户和计算机，这样设置起来比较清楚。当然你要想难得糊涂，放一起我也不拦着。
配置给计算机还是用户有什么区别呢？首先计算机配置应用于计算机（看起来象废话哈），因此对所有使用计算机的用户都起作用；其次计算机配置所使用的权限是系统级的（这里的权限是指的配置被应用到计算机上时用到的权限），就是说Administrator账户能做的它都能做（这句不理解没关系，记住它接着往下看）。而用户配置是针对我们在域控制器上建立的用户，就是说不管用户使用哪台计算机它都产生作用。已经被绕蒙了的同志听我通俗的说一下：计算机配置跟着机器走，谁用都这样；用户配置跟着人走，用谁都这样。再不懂那啥……别难为自己换个活干干吧！呵呵！
以后再看到这两部分中有重复的就明白是怎么回事了吧！当然还要注意设置的时候，尽量不要引起使用中的冲突。虽然重复的配置项大多都在描述中说明了冲突的配置项哪一部分会最终起作用，但是让傻实在的计算机玩自相矛盾，恐怕会在使用中出怪毛病。
一、计算机配置
1、软件设置
这里面就一个项目——软件安装，而且没有描述，因为要完全搞定这个问题足可以写篇文章了，还不一定能给你整明白了。这里我只说明重要的几点内容如下：
设置软件安装的属性对话框。使用本机或网络共享的UNC路径设置软件安装包的位置，以免每次添加软件包都要查找。安装用户界面选项设为基本就可以实现透明安装，用户不会见到任何提示或设置窗口。截图如下：


右击软件安装，选择新建——程序包即可。当然你要先把软件安装包放到上面设置的路径下才行。包的格式必须是MSI的，这是最困难和复杂的部分，这种包大多需要自己做，我发过制作五笔安装包的帖子，自己找找看吧。如果使用EXE的文件需要写一个以“.zap”结尾的特殊格式的文本文件（网上有，自己搜），而且EXE安装包还要支持静默模式，否则会弹出设置对话框，那你就等着接用户的电话吧。
XP的计算机需要启动两次才能够安装软件包，因为默认有登录优化设置。
这里安装的软件包只在客户机上运行一次，而且可以供任何一个使用此计算机的用户使用。后面用户配置里还有一个软件安装，那里安装的就不一样了。
注意，实践证明：如果在网络路径上存放安装包，要放到速度较快的服务器上，不然会出现找得到装不上的怪毛病。
2、Windows设置（项目太多只说常用的）
项目：脚本（启动/关机）
此项目中可以放置Windows系统能够运行的一切文件。我一般使用批处理或vbs脚本，不要太复杂否则会拖慢系统启动速度。合理有效的使用这一功能，发挥你的想象，只有想不到没有做不到哦。举个简单的例子——自动添加网络打印机。使用记事本输入代码如下并保存为vbs脚本
On Error Resume Next
Set WshNetwork = WScript.CreateObject("WScript.Network")
'Add the network printer 1 & 2
WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer1"
WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer2"
'Default printer1
WshNetwork.SetDefaultPrinter "\\printerserver\printer1"
注意：\\printerserver\printer1、\\printerserver\printer2这种东东要换成你的打印机共享路径。
放置方法如图所示：


这样，用户不需要做任何设置就可以直接打印了。
启动里的脚本是在开机时执行，关机里的脚本是在关机时执行，其他设置方法都一样。
项目：安全设置
账户策略设置对密码长度及格式的要求以及输错密码后账户的锁定状态。每个选项打开后都有解释，建议认真阅读后再进行设置。对于不同安全级别的用户和计算机要区别对待。一刀切的结果要么是服务器很快被攻破，要么是电脑超菜的BOOS怒气冲冲的质问你为什么打不开自己的计算机。这就是为什么要逐级建立组织单位，按层级模式设置组策略。一般原则是保障关键设备账户的安全（比如服务器和域管理员），保证对普通用户的简单友好（空密码都是允许的）。
本地策略的本地指的是组织单位里的计算机账户所代表的机器。在这里甚至可以监控用户对文件的建立、删除等操作，审核对象访问就可以了，不过对于操作频繁的位置开启审核会产生大量的日志文件。如果你一年半载的也不看回日志的话，只开如图的几个就可以了。截图如下：

用户权限分配中，我常用的是网络访问和本地登录（指坐在机器面前使用），注意拒绝优先于允许，同时设置允许不起作用。还有一个要说明的是域中添加工作站，默认每个域用户可以添加10个计算机账户，即把10台计算机加入域。安全要求不高的地方可以让用户自己做（偷个懒呵呵），控制欲较高的就设置自己一个（如果自己不是域管理员，要记着加上域管理员账户）。
安全选项如图所示：



系统服务设置客户机上各种服务的状态。比如Terminal Services设为自动就会开启客户机的终端服务，然后就可以通过远程桌面使用管理员账户进行操作控制。截图如下：

XP的防火墙我直接禁用了，设置截图如下：

2
评分人数
qianhui602: 原创其他积分 + 1
lianggj: 原创加分论坛资产 + 20 wb
收藏分享 0
0
0
顶
踩
回复引用
报告使用道具
发短消息
加为好友
hfxxly
UID
61440
帖子
97
主题
0
精华
2
积分
6
阅读权限
50
在线时间
39 小时
注册时间
2008-3-12
最后登录
2010-1-13


中级会员

技术积分
4
论坛资产
408 wb
其他积分
2
2楼
hfxxly 发表于 2009-12-18 16:10 |只看该作者
继续哈
本帖最后由 hfxxly 于 2009-12-23 16:10 编辑
书接前文
3、管理模板（选项太多了，只说我用到的）
Windows组件——终端服务——允许用户使用终端服务远程连接，启用这一选项与上文中的终端服务配合就可以自动启用远程桌面访问功能了。截图如下：

Windows组件——Windows Update——配置自动更新，如图设置可以强制安装补丁包。截图如下：

如果你在内网中建立了WSUS服务，可以在这里指定Intranet Microsoft更新服务位置。截图如下：

Internet Explorer中的选项——禁用显示初始屏幕的功能很有趣，当XP系统的IE版本有IE6自动更新为IE7时，首次使用的如果是USER权限的用户，IE窗口就会一闪而过无法打开。然而如果首次使用的是更高级别用户，就会看到初始屏幕并能够进行设置进而使用。我据此判断是IE初始屏幕的问题，当把禁用显示初始屏幕的选项启用后问题果然解决了。设置如图：

管理模板——系统——指定Windows安装文件位置，启用后输入网络共享的UNC路径，以后系统添加个设备、服务什么的就不用满世界的找系统盘了，即便没光驱的机器也照样搞定。截图如下：

在上文中我们直接禁用了Windows防火墙服务，如果觉得不太安全可以通过管理模板——网络——网络连接——Windows防火墙中的具体配置选项进行细粒度的调整，而不必完全关闭防火墙。截图如下：

二、用户配置
1、软件设置
这个项目极少使用，不要忘了这里的所有东东是跟着用户走的。除非是用户以前用过的电脑，否则他换台机器软件就会安装一次。用户崩溃了，离你崩溃也就不远了。再有一点就是这里的权限和用户的级别一致，Users也确实装不了太复杂的东东。
2、Windows设置
远程安装服务需要非常复杂的配套服务支持。配套服务需要自己另行建立，其难度足以单独写本书了。在实际使用中感觉不如同样是支持网络启动的赛门铁克网络Ghost服务好用。建议大家试试网络Ghost，它比较简单（至少是比微软的简单）。
脚本（登录/注销）项目的使用与计算机配置中的大同小异。牢记一点即可，这里的执行权限是跟用户一样的，不要让脚本执行超出权限的命令就可以了。
Windows设置——安全设置——软件限制策略是控制狂的最爱。计算机配置里的那个是通过限制机器进而限制所有使用该机器的人，换台机器就没问题了。这里的是直接限制人（实际是对应的账户），用所有机器都一样除非换个人（就是换个登录账户）。控制太过，没实践经验，有兴趣的自己试。
文件夹重定向功能强悍，建议网络环境稳定的使用。我的用法是将用户的桌面和我的文档重定向的服务器存储，在服务器上设置定期备份并开启卷影副本的功能。卷影副本可以将用户的数据形成快照以便随时恢复，服务器的功能够强悍的话，卷影副本可以设置为每一小时备份一次（最高了）。每小时啊！以后还怕什么误操作、误删除啊！文件夹重定向在项目上用右键菜单设置。桌面重定向设置的截图如下：



我的文档的设置与此类似不再赘述。文件夹重定向后可以为客户数据提供有效的保护，客户机系统崩溃也不会对用户存储在这些位置的个人数据造成破坏。因为电脑上的软件环境不会完全相同所以其他两项建议不设置重定向。
Internet Explorer维护中的浏览器用户界面项一般不用改动。浏览的页面良莠不齐，标题和徽标都带有单位的标志有时会让人啼笑皆非。
URL选项是我经常用到的，使用方法截图如下：

回复引用
报告使用道具TOP
发短消息
加为好友
hfxxly
UID
61440
帖子
97
主题
0
精华
2
积分
6
阅读权限
50
在线时间
39 小时
注册时间
2008-3-12
最后登录
2010-1-13


中级会员

技术积分
4
论坛资产
408 wb
其他积分
2
3楼
hfxxly 发表于 2009-12-18 16:11 |只看该作者
over了
本帖最后由 hfxxly 于 2009-12-24 09:09 编辑
这一篇over了。
3、管理模板
Windows组件——Windows资源管理器项目比较常用。这个项目中的大多数选项都会直接影响用户的使用操作。比如隐藏指定的驱动器、启用经典外观等。
Windows Components——Internet Explorer项目中的丰富选项可以实现对IE的颗粒级控制。通过合理的设置可以将IE打造为真正的铜头铁臂，甚至不借助其他辅助工具也可以实现安全无忧的上网冲浪。
最后在特别介绍一下系统——用户配置文件——不包括漫游配置文件中的目录这个选项。这一项可以手动指定需要排除在漫游配置之外文件夹，以便在同步时减轻网络及服务器的压力。截图如下：

其他的各种选项功能上各具特色，因为我的工作中不常用，就不一一说明了。
因为组策略的强大与复杂，微软为其组策略专门设计了管理单元，2003的系统需要单独安装这个组件（网上搜索吧）。这个管理单元不但将域环境中使用的所有组策略按层级集中在一个统一的使用界面下，而且提供了组策略建模和生成结果的功能，可以让你清楚的看到组策略在客户机上的应用情况。如图所示：


神兵利器在手，接下来就请大家尽情施展绝世武功吧！