windows_XXXX_组策略管理16189.docx

《windows_XXXX_组策略管理16189.docx》由会员分享，可在线阅读，更多相关《windows_XXXX_组策略管理16189.docx（42页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Windows2008组策略管理 目 录Windoows20008组策策略管理1一、导读读1二、组策策略概述2三、组策策略基础架架构21计算机机配置部分分32用户配配置部分5四、本地地组策略和和域组策略略61.本地地组策略62.域组组策略7五、组策策略的管理理和维护81.创建建组策略82.链接接组策略103组策略略应用顺序序114组策略略的阻止和和强制继承承125组策略略备份13六、组策策略应用场场景举例151.应用用组策略设设置用户工工作环境152.应用用组策略配配置高级安安全Winndowss防火墙223.应用用组策略实实现软件部部署264.应用用组策略实实现QoSS带宽管理理30七、组策

2、策略管理控控制台使用用进阶361.使用用策略结果果分析策略略应用情况况362.使用用组策略建建模模拟策策略应用结结果39八、参考考资料43一、 导读组策略的构构成组策略的生生效规则及及顺序组策略在实实际管理环环境中的应应用举例检查策略结结果二、 组策略概述述在Winddows Servver 22008和和Winddows Vistta的环境境中,组策策略在功能能特性都有有了不少的的扩大与加加强。目前前已有了超超过50000个设置置，拥有更更多的管理理能力。使使组策略来来简化ITT环境管理理，已成为为用户必须须了解的技技术。实际上组策策略是一种种让管理员员集中计算算机和用户户的手段或或方法。组

3、组策略适用用于众多方方面的配置置，如软件件、安全性性、IE、注注册表等等等。在活动动目录中利利用组策略略可以在站站点、域、OOU等对象象上进行配配置，以管管理其中的的计算机和和用户对象象，可以说说组策略是是活动目录录的一个非非常大的功功能体现。通过此章的的学习，将将让您更擅擅长、高效效的管理组组策略的设设计、实施施、应用和和排错。三、 组策略基础础架构如图所示组组策略分为为两大部分分：计算机机配置和用用户配置。每每一个部分分都有自己己的独立性性，因为他他们配置的的对象类型型不同。计计算机帐户户部分控制制计算机帐帐户，同样样用户配置置部分控制制用户帐户户。其中有有部分配置置在计算机机部分拥有有在

4、用户部部分也有同同样的配置置，他们是是不会跨越越执行的。假假设某个配配置选项你你希望计算算机帐户启启用、用户户帐户也启启用，那么么就必须在在计算机配配置和用户户配置部分分都进行设设置。总之之计算机配配置下的设设置仅对计计算机对象象生效，用用户配置下下的设置仅仅对用户对对象生效。1 计算机配置置部分展开计算机机配置部分分你会看到到如图有三个主要要的部分: 软件设置 这一部分分相对简单单,它可以以让你实现现MSI、ZZAP等软软件部署分分发。 Windoows设置置这一部分更更复杂一些些，包含很很多子项，如如图子项都提供供很多选择择，账户策策略能够对对用户账户户密码等进进行管理控控制；本地地策略则

5、提提供了更多多的控制如如审核、用用户权利、以以及安全设设置。特别别是安全设设置包括了了超过755个的策略略配置项。还还有其它的的地一些设设置，如防防火墙设置置、无线网网络设置、PPKI设置置、软件限限制等等。 管理模板这一部分使使设置项最最多的，包包含各式各各样的对计计算机的配配置。如图图这里有五个个主要的配配置管理方方向，Wiindowws组件、打打印机、控控制面板、网网络、系统统。其中包包含了超过过12500个设置选选项，涵盖盖了一台计计算的非常常多的配置置管理信息息。 2 用户配置部部分用户配置部部分类似于于计算机配配置，主要要不同在于于这一部分分配置的目目标是用户户账户的，而而相对于用

6、用户账户而而言会有更更多对用户户使用上的的控制。如如图所示这一部分同同样也包含含三大部分分 软件设置我们可以通通过在这里里配置实现现针对用户户进行软件件部署分发发。 Windoows设置置这一部分就就与计算机机配置里的的Winddows设设置有了很很多的不同同，如图可以看到其其中多了“远程安装装服务”“”、“文件夹重重定向”、“IE维护护”等，而在在安全设置置中只有“公钥策略略”和“软件限制制”“。 管理模板在这一部分分展开后，你你会发现比比起计算机机配置里的的管理模板板这里有更更多的配置置，如图：用户部分的的管理模板板可以用来来管理控制制用户配置置文件，而而用户配置置文件是可可以影响用用户对

7、计算算机使用体体验，所以以这里面出出现了“开始菜菜单”“、”桌面“、”“任务栏栏”、“共享文件件夹”等配置。四、 本地组策略略和域组策策略1. 本地组策略略Windoows 22000、wwindoows xxp、wiindowws viista、wwindoows 22003、wwindoows 22008等等等计算机机都有且只只有一份本本地组策略略。本地组组策略的设设置都存储储在各个计计算机内部部，不论该该计算机是是否属于某某个域。本本地组策略略包含的设设置要少于于非本地组组策略的设设置，像在在“安全设置置”上就没有有域组策略略那么多的的配置，也也不支持“文件夹重重定向”和“软件安装装”这

8、些功能能。在任意一台台非域控制制器的计算算机上编辑辑管理本地地组策略步步骤如下：1）在开始始菜单中运运行，输入入MMC2）在MMMC控制台台点击“文件”“，再点点击“添加删除除管理单元元”3）在列表表中选择“组策略对对象编辑器器”，并点击击添加4）在向导导界面上默默认出现“本地计算机机策略“，点击完完成，点击击确定5）展开“本地计算算机策略“，展开”计算机配配置“、”用户配置置“如图：2. 域组策略与本地组策策略的一机机一策略不不同,在域域环境内可可以有成百百上千个组组策略能够够创建和存存在于活动动目录中。并并且能够通通过活动目目录这个集集中控制技技术实现整整个计算机机、用户网网络的基于于组策

9、略的的控制管理理。在活动动目录中我我们可以为为站点、域域、OU创创建不同管管理要求的的组策略，而而且允许每每一个站点点、域、OOU能同时时设施多套套组策略。我们可以使使用winndowss serrver 20088自带组策策略管理工工具来查看看管理组策策略，步骤骤如下：1）开始菜菜单中点运运行，输入入gpmcc.mscc2）在GPPMC管理理界面展开开森林和域域节点3）在域节节点展开组组策略对象象节点这样就能看看到如下图图所示的组组策略列表表。从上图的列列表中，我我们可以去去创建更多多的组策略略，并且能能够根据需需求将组策策略应用到到相应的站站点、域、OOU去，实实现对整个个站点、整整个域、

10、或或某个特定定OU的计计算机和用用户的管理理控制。五、 组策略的管管理和维护护1. 创建组策略略在域环境中中已经有了了一套默认认的域组策策略,我们们可以通过过对默认域域策略进行行配置,实实现我们对对全域里的的计算机和和用户管理理配置。但但这不是一一种好的做做法。通常常我们需要要进行配置置管理时都都将新建一一套组策略略来进行配配置实现管管理。要新新建立一个个组策略步步骤如下：在开始菜单单运行gppmc.mmsc或者者从开始菜菜单导向到到”管理工具具”,然后选选择”组策略管管理”快捷方式式,打开“组策略管管理”控制台在组策略管管理控制台台,右键点点选”组策略对对象”，点“新建”在新建GPPO对话框

11、框输入要新新建的组策策略名称，一一般推荐命命名时体现现该组策略略将要实现现的管理功功能以及应应用的范围围，如下图图“财务部门门软件部署署策略”，这样有有利于将来来对大量的的组策略进进行管理，甚甚至排错。输入完成后后点击确定定，这样就就创建好了了，接下来来就可以点点选创建好好的组策略略进行编辑辑配置。2. 链接组策略略在我们建立立好了一些些新的组策策略后，还还需要将组组策略与容容器对象链链接起来，以以实现管理理目的。我我们可以链链接的容器器有站点、域域和OU，通通过对不同同的容器进进行链接，可可以达到对对管理范围围的控制。比比如我们只只需要对SSaless部门的计计算机或用用户进行一一些基于组组

12、策略的管管理配置，那那么我们就就可以将某某个新建立立的组策略略与Salles部门门的OU进进行链接。链链接组策略略步骤如下下：在开始菜单单运行gppmc.mmsc或者者从开始菜菜单导向到到”管理工具具”,然后选选择”组策略管管理”快捷方式式,打开“组策略管管理”控制台，在在控制台上上选择好需需要链接策策略站点、域域或者OUU，右键后后选择“链接现有有GPO”，下图以以财务部OOU链接“财务部门门软件部署署策略”组策略为为例。3 组策略应用用顺序组策略由于于应用范围围划分可以以分为站点点级别组策策略、域级级别组策略略、OU级级别组策略略以及本地地计算机策策略。对于于一台客户户端一定是是属于某一一

13、个站点、某某一个域、某某一个OUU的，那么么各个级别别的组策略略客户端都都将应用，它们的应用生效的顺序是最接近目标计算机的组策略 优先于组织结构中更远一点的组策略。如下图：该顺序意味味着首先会会处理本地地组策略，最最后处理链链接到计算算机或用户户直接所属属的组织单单位的组策策略，后处处理的组策策略会覆盖盖先处理的的组策略中中有冲突的的设置。（如如果不存在在冲突，则则只是将之之前的设置置和之后的设置置进行结合合。）4 组策略的阻阻止和强制制继承从上一节我我们了解到到的组策略略应用顺序序，其实就就是一个默默认继承的的规则。在在域内次一一级的容器器会默认继继承使用上上一级的容容器链接的的组策略。假假

14、设在域策策略中我们们设置了用用户不允许许更改桌面面的策略配配置，那么么该域内的的财务部门门OU中的的用户默认认情况下都都会应用该该策略配置置。但是我我们可以根根据实际应应用需求去去人为的干干预默认的的继承规则则，可以阻阻止或强制制继承。阻止继承：在“组策略管管理”控制台中中，右键选选择要不继继承上一级级容器组策策略的容器器，选择阻阻止。如图图：强制继承：在实际应应用中有时时我们需要要上一级容容器的组策策略配置被被应用到子子容器中去去，并且要要求在冲突突时不被子子容器的策策略覆盖，我我们这时就就可以使用用强制继承承。同样在在“组策略管管理控制台台”上，右键键点选上一一级的组策策略对象，然然后选择

15、“强制”，如图：5 组策略备份份打开组策略略管理控制制台,在控控制台树中中，展开“组策略对对象”。 要备份单个个 GPOO，右键单单击该 GGPO，然然后单击“备份”。要备份份域中的所所有 GPPO，右键键单击“组策略对对象”，然后单单击“全部备份份”。 在“备份组组策略对象象”对话框中中，输入您您想保存备备份的路径径到“位置”框，或单单击“浏览”定位到您您想保存备备份的文件件夹，然后后单击“确定”。在“描述”框中，输输入您要备备份的 的的描述，然然后单击“备份”。操作完成后后，单击“确定”。六、 组策略应用用场景举例1. 应用组策略略设置用户工作环境在这类场景景中我们假假定要对整整个域内的的

16、用户工作作环境做一一些统一的的设定，因因此新建了了一套组策策略“全域用户户工作环境境策略”并链接到到了域级别别容器上，而而后开逐项项配置（好好的做法是是在逐项配配置完成后后再链接到到相应容器器），如图图：应用组策略略来设定工工作环境的的配置项非非常之多，在在本节我们们以四个场场景为例：场景1实现“我的的文档”文件夹重重定向，确确保用户在网络中中任意节点点登陆，都都可访问各各自的数据据，且确保保不因为客客户端故障障导致“我的文档档”中文件丢丢失。步骤1：在在域内文件件服务器上上新建一个个共享文件件夹，并赋赋予此文件件所有用户户都有通过过网络访问问的读写权权限。这里里假定共享享文件夹的的访问路径径

17、为：FileeServverddocrooot步骤2：打打开编辑“全域用户户工作环境境策略”，定位到到“用户配置置”“文件夹重重定向”“文档”，右键选选择属性，如如图：步骤3：进进行属性配配置编辑，如如下图：步骤4：设设置完成，对对客户端测测试，本书书略。场景2控制客户端端显示统一一桌面壁纸纸设定，实实现企业工工作环境统统一的VII形象。步骤1：打打开编辑“全域用户户工作环境境策略”，定位到到“用户配置置”“管理模板板”“桌面面”，如图：步骤2：设设定统一的的桌面墙纸纸文件，双双击上图中中右边“桌面墙纸纸”，进行配配置，如下下图：步骤3：设设定用户不不能自行修修改桌面，双双击“桌面墙纸纸”之上

18、的配配置项“不允许更更改”进行启用用配置。如如图：步骤4：配配置完成，对对客户端进进行测试，本本书略。场景3实现客户端端驱动器不不自动播放放，有时由由于光驱的的自动播放放文件不好好读取时会会导致系统统资源占用用甚至死机机，还有些些时候只是是系统刚认认到一个UU盘就让机机器中毒了了，这些现现象全都可可以通过禁禁止驱动器器自动播放放的策略得得到终结。步骤1：打开编辑辑“全域用户户工作环境境策略”，定位到到“用户配置置”“管理模板板”“wiindowws组件”“自动播播放策略”步骤2：在右边工工作区双击击“关闭自动动播放”进行配置置，如图：场景4限制移动磁磁盘使用加加强企业文文件安全性性。这项功功能

19、比起在在winddows22003中中用组策略略实现来说说,winndowss 20008实现起起来就简单单太多了。步骤1：打开编辑辑“全域用户户工作环境境策略”，定位到到“用户配置置”“管理模板板”“系统统”“可移移动存储访访问”步骤2：在右边工工作区选择择相应需求求的配置进进行启用设设定，如图图2. 应用组策略略配置高级安安全Winndowss防火墙Windoows SServeer 20008中的的高级安全全防火墙(WFASS)有了较较大的改进进，支持双双向保护，可可以对出站站、入站通通信进行过过滤,而且且还集成了了”连接安全全规则”设定。可以以实现企业业所需的方方式配置密密钥交换、数数

20、据保护以以及身份验验证设置。更有实用价值的是,如果你使用组策略来在一个企业网络中配置高级安全Windows防火墙的话，可以配置一个域中所有计算机使用相同的防火墙设置,并且本地系统管理员是无法修改这个规则的属性的。 场景:某企企业所有计计算机都在在统一域环环境内,并并且该企业业要求较高高的安全网网络通讯，希希望做到非非域内的计计算机或者者非域内的的用户无法法正常访问问域内数据据。使用组组策略步骤骤如下：步骤1：打打开组策略略管理控制制台，定位位到“组策略对对象”，新建“域内安全全网络通讯讯策略”步骤2：打打开“域内安全全网络通讯讯策略”进行编辑辑，定位到到“计算机配配置”“wiindwoos设置

21、”“安全设设置”“高级级安全Wiindowws防火墙墙”“连接接安全规则则”右键点“新规则”如图：步骤3：编编辑新规则则，选择“隔离”“入站站和出站连连接要求身身份验证”“计算机机和用户（kkerbeeros V5）”“计算机机连接到域域时应用规规则”如图：步骤4：输输入规则名名称，这里里取名为“安全的域域内连接规规则”步骤5：将将编辑好的的“域内安全全网络通讯讯策略”链接到域域，完成配配置。3. 应用组策略略实现软件件部署在企业中常常常会有批批量的软件件安装需求求，有时是是所有客户户端需要，有有时是某个个部门需要要。更有特特殊情况是是要求某些些用户无论论在哪个计计算机上登登录都可使使用某个软

22、软件。在此此我们分两两个场景来来给大家介介绍用组策策略实现软软件部署。场景1财务部的人人员有大量量原始票据据扫描图片片需要查看看，因此需需要给财务务部门的电电脑都安装装上Acddsee这这个图片工工具。出于于以上需求求我们决定定用组策略略来实现对对财务部门门的软件部部署。步骤1：打打开组策略略管理控制制台，定位位到“组策略对对象”，新建“财务部门门软件部署署策略”步骤2：在在域中的文文件服务器器服务器新新建共享文文件夹允许许财务人员员访问，并并将需要安安装的软件件放入该文文件夹。步骤3：打打开“财务部门门软件部署署策略”进行编辑辑，定位到到“计算机配配置”“软件设设置”“软件件安装”右键后点点

23、选属性步骤4：进进行软件分分发站点的的设置，如如图设置步步骤2的共共享文件夹夹路径步骤5：添添加要安装装的软件，如如图步骤6：将将“财务部门门软件部署署策略”链接到“财务部PPC”OU，如如图步骤7：重重新启动财财务部门的的PC，完完成软件安安装。场景2继场景1的的环境，财财务部门的的PC都安安装了Accdseee软件，可可以财务部部门的工作作人员提出出有时候他他们需要到到其他机器器上也使用用这个软件件，但那些些机器的其其他用户并并不需要这这个软件。基基于这种需需求我们任任然可以用用上一场景景的“财务部门门软件部署署策略”来实现。步骤1：打打开“财务部门门软件部署署策略”进行编辑辑，定位到到“

24、用户配置置”“软件件设置”“软件安安装”右键后点点选属性步骤2：进进行软件分分发站点的的设置，配配置方式参参考场景11步骤4步骤3：添添加要安装装的软件，参参考场景11步骤5步骤4：将将“财务部门门软件部署署策略”链接到“财务部UUSER”OU步骤5：完完成设置，财财务人员登登录机器后后则可开始始安装使用用。综合分析说说明：在两两个场景中中我们使用用了同一套套“财务部门门软件部署署策略”，我们在在此策略的的计算机部部分和用户户部本均做做了配置，当当我们把它它链接到“财务部PPC”OU时，由由于“财务部PPC”OU内的的帐户都是是计算机帐帐户，所以以“财务部门门软件部署署策略”的用户部部分不会产

25、产生作用。反反之策略链链接到“财务部UUSER”OU时由由于此OUU内账户均均是用户帐帐户，也就就只有策略略的用户配配置部分会会产生作用用。此外需需说明的是是，在用户户部分配置置的软件安安装，在用用户登录时时软件并没没有真的被被安装上，策策略中设置置的安装方方式是“指派”时需要在在用户点击击了快捷方方式后才真真正安装；策略中设设置的安装装方式是“发布”时需要在在用户进入入”添加删除除程序“中进行安安装。提示：以上上场景用来来帮助大家家理解组策策略软件部部署，在实实际应用中中并不推荐把把同一个软软件既指派派给用户，又又指派给计计算机，这这样会造成成管理混乱乱。4. 应用组策略略实现QooS带宽管

26、管理QoS带宽宽管理是网网管在管理理网络中一一种必不可可少的手段段，可以有有效地提高高带宽的使使用率，特特别是针对对企业的关关键应用，使使之得到优优先的带宽宽保证。WWindoows SServeer 20008 提提供了以前前任何版本本Winddows服服务器都不不具备的QQoS带宽管理理策略。这这就使得我我们进行QQoS带宽宽管理可以以不再依赖赖于专用的的设备，而而且设置更更为灵活简简单。一般般的QoS带宽管理理设备都会会有一定并并发数量的的限制，而而用组策略略来控制就就没有这个个问题，因因为这些带带宽的控制制全都分布布到每一个个客户端自自己网卡上上去控制了了。场景：使用用组策略分分配域内

27、所所有计算机机的出口带带宽步骤1：打开“组策略略管理”控制台，新新建组策略略名为“全域出口口带宽限制制策略”，并打开开进行配置置。步骤2：定定位到计算算机配置winddows设设置基于策略略的QoSS，右键点点击，选择择新建策略略，如图：步骤3：设设定策略名名称，指定定最高使用用带宽。如如图：步骤4：设设定相关的的应用程序序，也就是是说我们可可以把上一一步设定的的带宽绑定定到某个特特定的应用用程序上，比比如FTPP软件。我我们这里选选择选择所所有应用程程序。如图图：步骤5：设设定要控制制的数据流流量的来源源和方向，由由于我们是是要控制出出口带宽，那那么我们这这里只需要要配置上网网关服务器器的地

28、址作作为目标。如如图：步骤6：设设定需要参参与控制的的协议及端端口号，由由于我们是是要控制任任何到出口口网关的流流量所以我我们选择了了所有协议议和所有端端口。如图图：步骤7：将将配置好的的组策略对对象链接到到域，完成成配置。策略应用前前后网络带带宽使用对对比如下图图:通过以上的的配置过程程我们可以以发现，基基于策略的的QoS不不但可以控控制出口带带宽，还可可以应用到到更多场景景，比如某某些客户端端访问特定定服务器的的流量控制制，某些应应用程序在在网络中的的流量控制制。并且由由于这个策策略在组策策略的用户户配置部分分也有，那那么就可以以用来控制制不同的人人在不同的的计算机上上使用不同同的应用而而

29、被控制着着使用被管管理的带宽宽。七、 组策略管理理控制台使使用进阶在上述章节节中我们使使用GPMMC（组策策略管理控控制台）对对组策略对对象进行了了创建、编编辑、链接接、阻止、继继承等等操操作，接着着我们再来来了解一下下策略结果果分析和策策略应用结结果模拟测测试。1. 使用策略结结果分析策策略应用情情况我们可以使使用”Gpreesultt”或者是”组策略结结果”，可以知知道客户端端拿到了哪哪些策略。前前者是命令令行模式，后后者是图形形界面，功功能都是相相同的。下下面介绍”组策略结结果”的使用。步骤1: 在组策略略管理控制制台 (GGPMC) 控制台台树中，双双击要在其其中创建组组策略结果果查询

30、的林林，右键单单击“组策略结结果”，然后单单击“组策略结结果向导”。如图：步骤2: 在组策略略结果向导导中，单击击“下一步”，然后输输入相应的的信息，可可以选择需需要查看的的计算机或或用户如图图：步骤3:完完成向导后后，单击“完成”,开始查查看报告。可可以选择全全部显示，也也可以选择择逐项显示示，从而进进行检查改改计算机应应用了哪些些组策略对对象。如图图：步骤4：可可以选择将将结果打印印或保存文文件，右键键点击显示示界面即可可选择。如如图：2. 使用组策略略建模模拟拟策略应用用结果由于我们在在一个域环环境内可能能设置了多多条组策略略，其中有有一些继承承或者阻止止继承的策策略，那么么多条策略略最

31、终将会会对我们的的计算机和和用户产生生什么样的的影响，就就成为管理理员常常关关心的问题题。我们可可以使用GGPMC内内置的“组策略建建模”功能对相相应的某个个域内容器器做一个策策略应用结结果的综合合模拟。使使用步骤如如下：步骤1：打打开组策略略管理控制制台，定位位到“组策略建建模”，右键选选择“组策略建建模向导”步骤2：使使用向导建建模步骤3：选选择模拟的的域控制器器步骤4：选选择为那个个容器下的的计算机和和用户模拟拟策略应用用，如图：步骤5：根根据向导选选择完成安安全组、站站点等设置置如图：步骤6 完完成模拟察察看模拟结结果，如图图:八、 参考资料http:/http:/goo.miccrosooft.ccom/ffwlinnk/?LLinkIId=11118599http:/goo.miccrosooft.ccom/ffwlinnk/?LLinkIId=10007577