组策略与组策略管理.docVIP

组策略与组策略管理 教学提示：组策略是Windows server 2003系统中功能最为强大的基础技术，也是在实际中应用最广泛的技术；网络管理人员最得力的助手。通过组策略可以很方便地对系统进行管理，尤其是在域模式下组策略的功能更加如虎添翼。 教学目标：本章目的是学习组策略的基本操作；熟练运用组策略来实现域模式下多计算机软件分发任务。熟练使用组策略对系统进行安全加固的方法。 组策略概述 何谓组策略 所谓策略（Policy），是Windows中的一种自动配置桌面设置的机制。所谓组策略（Group Policy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大您只需单击选择开始→【运行命令，在运行对话框的打开栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。）在打开的组策略窗口中（如组策略图所示），可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的本地计算机策略是由计算机配置和用户配置两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有软件设置、Windows设置等。那么在不同子键下进行相同项目的设置有何区别呢？这里的计算机配置是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而用户配置则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在计算机配置中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在用户配置中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 图13-2 活动目录用户和计算机窗口 可在此选择整个域或者某组织单元，右击选择【属性】，在【组策略】页中，点【新建】组策略，命名为“软件分发”。 图13-3 为域新建名为“软件分发”的组策略 然后点“编辑”，即打开“组策略编辑器”。 图13-4 “软件分发”组策略编辑器 在组策略编辑器的计算机配置里，点【软件设置】前“+”号展开，选择【软件安装】后在右边空白处右击，如图13-5所示，在弹出菜单里选择【新建】→【程序包】。 图13-5 新建软件安装程序包 点开“程序包”后会出来让你选择程序包位置的窗口，如图13-6所示，程序包文件是MSI后缀的文件，MSI文件是Windows Installer的数据包，它实际上是一个数据库，包含安装一种产品所需要的信息和在很多安装情形下安装（和卸载）程序所需的指令和数据。如果希望用户决定是否安装应用程序则可以利用发布的方式，操作步骤同上，只是在选择部署类型的时候选择已发布。修改后后，如果是在计算机配置里指派给计算机，客户机执行策略刷新命令gpupdate后重启时安装，所有用户在客户机上都可使用该软件；如果是在用户配置里指派或者发布给用户，用户在客户机执行策略刷新命令gpupdate后生效，“发布”的可以在【控制面板】【添加/删除程序】添加程序中选择安装，“指派”的软件则注销或重启后重新登录后，程序在【开始】菜单中，用户第一次使用该软件时安装。通配符?”表示任意单个字符*”表示任意多个字符**”或*?” 表示零个或多个含有反斜杠的字符即包含子文件夹%USERPROFILE%”表示C:\Documents and Settings\当前用户名“%ALLUSERSPROFILE%”表示C:\Documents and Settings\All Users”；“%APPDATA%”表示C:\Documents and Settings\当前用户名\Application Data“%ALLAPPDATA%”表示C:\Documents and Settings\All Users\Application Data”；“%SYSTEMDRIVE%”表示C:”；“%HOMEDRIVE%”表示C:\”；“%SYSTEMROOT%”表示C:\WINDOWS”；“%WINDIR%”表示C:\WINDOWS”；