Windows 2003 组策略概念

组策略作用

1. 对域设置组策略影响整个域的工作环境,对OU设置组策略影响OU下的工作环境.
2. 降低布置用户和计算机环境的总费用,因为只需要设置一次,相应的用户或计算机即可全部使用规定的设置.减少用户不正确配置环境的可能性.
3. 推行公司使用计算机规范,包括桌面环境规范以及安全策略等

 

组策略结构

组策略的具体设置数据保存在GPO(Group Policy Object,组策略对象)中,被视为AD中一种特殊对象.

1.默认GPO

2003域刚建好时,默认有两个GPO,一个是DDP(Default Domain Polioy,默认域策略),另一个是(Default Domain Controller Policy,默认域控制器策略)

DDP影响域中所有的计算机和用户;DDCP影响组织单位Domain Controller中的所有计算机用户.

2.SDOU(Site、Domain、Organizational Unit)

站点、域与组织单位,统称为SDOU,即活动目录的容器,容器中包含的用户和计算机这两种活动目录对象,受组策略的控制.

站点是物理上抽象的概念,由一个或几个通过高速连接在一起的IP子网组成.

站点是物理结构,域是逻辑结构.活动目录的物理结构和逻辑结构是彼此独立的.

1. 一个站点可以有多个域.如,一个局域网办公网络可以看成一个站点,在这个站点中可以创建多个域.
2. 一个域中也可以有多个站点.如,一个公司在北京和上海都有网络,而这两个站点中的计算机可以在一个域中.

 

创建站点的两个基本原因

1. 优化复制
2. 使用户能够使用可靠、高速的连接登陆到域控上.AD站点和服务----Site----Default First Site Name ---- 属性

 

GPC(组策略容器)与GPT(组策略模版)

    GPO组件存储在GPC和GPT

1. GPC是包含GPO属性和版本信息的活动目录对象
2. GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构.它包含所有的组策略设置和信息,如,管理模版、安全性、软件安装、脚本等,它的文件夹名称是创建的GPO的全局唯一标识(GUID),GPT默认路径在域控制器的%systemroot%SYSVOL\sysvol中

 

计算机配置与用户配置

1.计算机配置

1. 软件设置：该文件夹包含"软件安装",可在此项中设置为计算机安装软件.
2. Windows设置:包括脚本和安全设置两个子项.脚本可在计算机启动或关机时运行,以执行特殊的程序和设置.安全设置主要包括安全策略的内容,主要是计算机系统安全内容相关的设置
3. 管理模板:管理模板中包括Windows组件、系统、网络和打印机4个部分。主要影响注册表中"HKEY_LOCAL_MACHINE"的设置.

2.用户配置

如果用户配置应用到某个容器上,那么,此容器中的用户在任何一台计算机上登录都会受此策略影响.

1. 软件设置:该文件夹包含"软件安装",可在此项中设置为计算机安装软件.
2. Windows设置：包括远程安装服务、脚本(登陆/注销)安全设置、文件夹重定向和IE浏览器维护.
3. 管理模板:包括Windows组件、任务栏和"开始"菜单、桌面、控制面板、共享文件夹、网络、系统.主要影响注册表中"HKEY_CURRENT_USER"的设置。

 

计算机配置一般重启生效，用户配置一般重新登陆生效.也可用"gpupdate"进行更新即时生效.

 

组策略应用规则

1.继承与阻止继承

  类似于NTFS权限

2.累加

容器的多个组策略如不冲突,则最终的有效策略是所有组策略的总和

容器的多个组策略如冲突,则后应用的策略覆盖先启用的策略

3.应用顺序

LSDOU:Local(本地)、Site(站点)、Domain(域)、Organizational Unit(组织单位),后面策略优先于前面所应用策略生效.

gpedit.msc------本地GPO

应用顺序

   1.首先应用本地组策略对象；2.如果有站点组策略对象，则应用之；3.然后应用域组策略对象；4.如果计算机或用户属于某个OU，则应用之；5.如果计算机或用户属于某个OU的子OU，则应用之。

4.强制生效

  1.组织单位"XX部"---"属性"---"组策略","选择"XX部GPO"

  2.单击"选项"勾选"禁止替代"

5.筛选

筛选可实现阻止一个GPO应用于容器内部的特定计算机和用户

 

利用GPO实现软件设置

1.分发软件

1. 获得Windows安装程序包文件；该软件包包含一个msi文件以及必要的相关安装软件
2. 将软件安装文件放到一个软件分发点；分发点为服务器上的一个共享文件夹(\\ServerName\ShareName)
3. 创建或修改GPO。该GPO包含软件安装内容

指派与发布的区别

       1.指派，可将程序指派到用户或计算机。如果用户必须用软件则采用"指派"方式分发软件。（强制性的分发软件方式）

       2.发布，可将以个程序发布给用户。在"控制面板"---"添加或删除程序"中安装.如果用户对该软件是可选使用,则采用"发布"方式.(可选择性的分发软件方式)

2.修复软件

组策略编辑器,选择源文件已更新的程序包,执行"重新部署应用程序",强制所有装过此软件的用户端重新再安装一次

3.删除软件

立即从用户和计算机卸载软件

允许用户继续使用软件,但禁止新的安装

4.升级软件

  1.保留原软件包;2.新建新软件包;3新软件包---属性---升级---添加,选择升级的包.

1. 强制升级:选择"卸载现有程序包,然后安装升级程序包",会强制用户将当前软件升级
2. 可选升级:选择"程序包可以升级现有程序包".

原文链接 windows优化大师 windows清理助手 windows xp windows installer windows vista windows xp sp3 windows live windows主题 Windows 加入收藏 关 闭