組策略的配置與排錯技巧

1、組策略的配置,課程內(nèi)容:什么是組策略組策略的應(yīng)用組策略的組成使用GPMC來管理組策略創(chuàng)建組策略 應(yīng)用組策略 備份還原組策略組策略的作用管理模板 文件夾重定向 軟件分發(fā) WMI篩選器軟件限制,什么是組策略,組策略是一類功能，必須是在部署好AD環(huán)境下應(yīng)用組策略能夠幫我們?nèi)プ鼍W(wǎng)絡(luò)管理，包括統(tǒng)一管理網(wǎng)絡(luò)中全部部分計算機(jī)，全部部分用戶的某些屬性，比如桌面顯示狀況，控制面板的顯示狀況， IE的設(shè)置，windows

2、media的設(shè)置，各種軟件的設(shè)置，還有能不能裝某些軟件，能不能卸某些軟件，能不能使用某些軟件，所有能在計算機(jī)上對客戶端調(diào)整的工作，都可以用組策略來實現(xiàn)能夠充分利用好組策略，管理員的工作量大大減少,,組策略可以：集中化管理管理用戶環(huán)境降低管理用戶的開銷強(qiáng)制執(zhí)行企業(yè)策略,組策略的應(yīng)用,,站點,域,OU,OU,OU,,GPO2,GPO1,GPO3,,,,,,,,,,組策略只能給這三中容器做設(shè)置,組策略和哪個容器連接起來就在

3、那個容器生效。,組策略的組成,,Group Policy Object包括組策略設(shè)置存儲在兩個位置,Group Policy Container存儲在ＡＤ中保存組策略版本信息,Group Policy Template存儲在SYSVOL文件夾保存組策略的設(shè)置,,,使用GPMC管理組策略GPMC是一個組策略管理的強(qiáng)大軟件運(yùn)行--gpmc.msc默認(rèn)域控制器策略和默認(rèn)域策略在詳細(xì)信息選項卡中可以查看該組策略的唯一

4、ID（GUID）--- 查看C:\WINDOWS\SYSVOL\SYSVOL\contoso.COM\POLICIES存放是該組策略的模板想知道在組策略中設(shè)置了什么---設(shè)置--生成報告---以web方式顯示,演示: 1.新建一個組策略 組策略對象---右--新建---test2.編輯組策略test--右--編輯（組策略編輯器）計算機(jī)配置和用戶配置有什么區(qū)別？3.讓test策略應(yīng)用于一個OU

5、在gpmc中把test拖到那個OU上面則在test里面對用戶的配置會對bob生效（注銷再登陸），對計算機(jī)配置會對計算機(jī)帳戶生效（重啟）.,4.備份，還原組策略test--右--備份--選擇一個位置--新建一個文件夾---開始備份 刪除test---組策略對象--右--管理備份---選擇備份的文件---還原,,5.組策略的繼承關(guān)系默認(rèn)繼承：子OU默認(rèn)可以繼承父OU的所 有組策略阻止繼承強(qiáng)制繼承設(shè)置權(quán)限,(1)?刪除t

6、est--新建1組策略和2組策略--把1拖到OU上查看: OU---組策略繼承--兩個組策略1和defualt domain（域級別默認(rèn)組策略，從域上繼承過來的組策略）那么OU上的用戶計算機(jī)，登陸或開機(jī)生效的組策略是兩個組策略的和 ?把2拖到域級別上查看: OU---組策略繼承---三個組策略 OU同時應(yīng)用了三條組策略，如果之間有了沖突,則列表中順序上面的優(yōu)先級最高,(2).不希望OU繼承來自域的組策略--OU--右--阻

7、止繼承(3).讓默認(rèn)域級別組策略強(qiáng)制繼承---default domain policy--右--強(qiáng)制強(qiáng)制繼承和阻止繼承沖突時聽強(qiáng)制繼承的(4).組策略只對某一個用戶alice不生效組策略1---委派---高級---添加alice---拒絕應(yīng)用組策略（權(quán)限控制用戶應(yīng)用組策略）,組策略的作用,管理模板腳本文件夾重定向軟件分發(fā)WMI篩選器軟件限制,管理模板,編輯組策略1---用戶配置---管理模板: 主要作用通過

8、圖形化設(shè)置界面可以改客戶端的注冊表例如:IE禁止更改主頁---任務(wù)欄和開始菜單中刪除運(yùn)行---桌面從桌面刪除回收站---控制面板--顯示(隱藏設(shè)置選項卡）查看: OU中任意一個用戶來登陸會發(fā)現(xiàn)所有的設(shè)置都已經(jīng)修改了,腳本,計算機(jī)下啟動和關(guān)機(jī)腳本用戶下登陸和注銷腳本兩者生效時間不一樣1.建一個腳本logon.vbs，所有能在windows下做的操作都能用腳本實現(xiàn),寫入: msgbox “hello” 調(diào)用函數(shù)---調(diào)用

9、一個簡單的windows對話框讓這個腳本在OU用戶登陸時生效2. 腳本---登陸--添加---瀏覽（腳本必須放在默認(rèn)位置）,文件夾重定向,文件夾重定向---可以把客戶端這四個文件夾重定向到任意一個共享文件夾1.DC的E盤下創(chuàng)建一個doc文件夾---共享---權(quán)限放到最大（添加everyone給完全控制權(quán)限）2.文件夾重定向---我的文檔--右--屬性---\\192.168.1.4\doc 會在這個文件夾下創(chuàng)建一個以該用戶名字

10、的文件夾，然后把客戶端的我的文檔里的文件存到這里,,3.在客戶端查看---我的文檔--屬性---目標(biāo)文件夾的路徑4.查看--DC的E盤下的doc---里面有一個用戶文件夾（但只有用戶本人自己可以訪問）注意：組策略刷新需要時間，為了刷新快點 gpupdate /force可以在客戶端刷新服務(wù)器端的組策略,軟件分發(fā),在網(wǎng)絡(luò)管理經(jīng)常需要給客戶端裝很多軟件，有了組策略不需要跑到客戶端，只要在服務(wù)器端就可以給他裝軟件了1.在DC軟件gp

11、mc---共享2軟件設(shè)置---軟件安裝---新建一個程序包（雖然在本地，必須通過網(wǎng)絡(luò)路徑去找）---gpmc.msi---發(fā)布方式---指派3.查看：客戶端登陸---該軟件已經(jīng)裝上 其實當(dāng)?shù)谝淮芜\(yùn)行時它才真正安裝上,注意:,如用組策略來把軟件安裝在客戶端上，必須是msi的安裝程序（只有windows操作系統(tǒng)是兼容的），wininstallle可以將exe安裝程序轉(zhuǎn)成這個格式。還有一個SMS軟件可以將所有的軟件

12、(任何格式)發(fā)到客戶端上面,WMI篩選器,組策略能做軟件分發(fā)，來裝OFFICE，有的機(jī)器好有的機(jī)器壞，P4的裝office 2003，P2的機(jī)器裝offcie 97原來做軟件分發(fā)，把p4放在一個OU，P2機(jī)器放一個OU做一個wmi篩選器和一個組策略連接起來，然后組策略利用篩選器自己判斷生效的客戶端的CPU，是p3 以上就裝office 2003，如果以下就裝office 97根據(jù)另一個參數(shù)，office要500M，組策略在應(yīng)用到所

13、有客戶端上時，先檢查一下計算機(jī)C盤夠不夠500M，如果不夠就不應(yīng)用，否則裝一半就報錯,演示：1.查看組策略1---WMI篩選器--沒有2. WMI篩選器（作用查詢客戶端的某些參數(shù)，返回結(jié)果，兩種0和1：磁盤空間大于500M，返回真，則組策略生效，假不生效）新建篩選器---disk--查詢語句---保存 Select * FROM Win32LogicalDisk WHERE (Name="C:" or

14、 Name="D:" or Name="E:") AND DriveType=3 AND FreeSpace>10485760 AND FileSysytem="NTFS",,客戶端必須滿足這三個條件才會返回真，就可以應(yīng)用該組策略，如果為假則不應(yīng)用3. 和組策略1做連接---WMI篩選器---disk,什么是軟件限制策略,軟件限制策略可以控制電腦上運(yùn)行什么樣的程序只

15、允許用戶在多用戶電腦上運(yùn)行指定類型的文件控制哪些用戶運(yùn)行軟件時有限制防止指定程序在不同電腦上運(yùn)行 本地電腦 任何在域里的電腦可以通過組策略來限制客戶端能使用的軟件,軟件限制策略的規(guī)則,,哈希規(guī)則利用文件的MD5或SHA1的hash來做比較當(dāng)您有一個多版本的文件時，來防止有些版本的運(yùn)行,路徑規(guī)則利用路徑來做比較當(dāng)您的文件夾里含有許多要被運(yùn)行程序所用到的文件,證書規(guī)則利用程序上的數(shù)碼簽名來做比較

16、防止有些win32的程序或含有Active X的程序運(yùn)行,internet區(qū)域規(guī)則控制不同web Application在不同的Internet區(qū)域里,組策略1--編輯---安全設(shè)置----軟件限制策略---創(chuàng)建軟件策略---其他規(guī)則--新建路徑規(guī)則--- c：\windows\system32\notepad.exe---不允許（不受限--允許）但是客戶端可以把這個可執(zhí)行程序拷貝到另一個地方就可以運(yùn)行了2.