WindowsServer2012R2組策略

1、Windows Server 2012R2 組策略一、什么是組策略    組策略（GroupPolicy）是Microsoft Windows系統(tǒng)管理員為計算機(jī)和用戶定義的，用來控制應(yīng)用程序、系統(tǒng)設(shè)置和管理模板的一種機(jī)制。通俗一點(diǎn)說，是介于控制面板和注冊表之間的一種修改系統(tǒng)、設(shè)置程序的工具。二、為什么需要組策略    注冊表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫，而隨著Windows功能越來越豐富，注冊表里的配置項目也越來越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊表的各個角落，如果是手工

2、配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達(dá)到方便管理計算機(jī)的目的。    其實(shí)簡單地說，組策略設(shè)置就是在修改注冊表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強(qiáng)大。三、組策略的兩種配置    Ø  計算機(jī)配置：        當(dāng)計算機(jī)開機(jī)時，系統(tǒng)會根據(jù)計算機(jī)配置的內(nèi)容來設(shè)置

3、計算機(jī)環(huán)境。包括桌面外觀、安全設(shè)置、應(yīng)用程序分配和計算機(jī)啟動和關(guān)機(jī)腳本運(yùn)行等。    Ø  用戶配置：        當(dāng)用戶登錄時，系統(tǒng)會根據(jù)用戶配置的內(nèi)容來設(shè)置計算機(jī)環(huán)境。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計算機(jī)啟動和關(guān)機(jī)腳本運(yùn)行等。四、組策略類型    Ø  域內(nèi)的組策略：（優(yōu)先級從上到下依次降低）    域內(nèi)的策略會被應(yīng)用到域內(nèi)的所有計算機(jī)和用

4、戶        1. 站點(diǎn)策略        2. 域策略        3. 組織單元策略    Ø  本地計算機(jī)策略：        1. 計算機(jī)配置只會應(yīng)用在此計算機(jī)

5、60;       2. 用戶策略將應(yīng)用到在此計算機(jī)登錄的所有用戶五、計算機(jī)本地策略本地計算機(jī)組策略控制臺1.計算機(jī)配置實(shí)例1.1.不顯示關(guān)機(jī)理由1.2.賬號密碼策略1.3.賬戶鎖定策略1.4.用戶權(quán)限分配1.5.安全選項2.用戶配置實(shí)例2.1.刪除“開始”菜單中的“運(yùn)行”運(yùn)行取消成功2.2.將“控制面板”中的“Windows防火墻”隱藏起來六、組策略對象（GPO）Ø  組策略有繼承性、累加性Ø  當(dāng)組策略有沖突時，則以處理順序在后的GPO為優(yōu)先，而系統(tǒng)處理GPO的

6、順序是：站點(diǎn)GPO域組織單位的GPO本地計算機(jī)策略最低。Ø  計算機(jī)配置優(yōu)于用戶配置Ø  多個配置應(yīng)用到同一處，排在前面的組策略優(yōu)先1.組策略管理AD DS中兩個內(nèi)置GPO第一個是默認(rèn)域控制器策略第二個是默認(rèn)域策略2.策略設(shè)置與首選項設(shè)置！策略設(shè)置是強(qiáng)制的，首選項設(shè)置是非強(qiáng)制的！策略設(shè)置針對整個GPO來過濾，首選項設(shè)置可針對單一項目來過濾！策略設(shè)置優(yōu)先首選項設(shè)置！ 應(yīng)用首選項設(shè)置須安裝CSE軟件3.計算機(jī)配置的應(yīng)用時限Ø  計算機(jī)配置的應(yīng)用時限       

7、0;ü  計算機(jī)開機(jī)時        ü  計算機(jī)開機(jī)后，域控制器每5分鐘自動應(yīng)用一次        ü  計算機(jī)開機(jī)后，非域控制器每90120分鐘自動應(yīng)用一次        ü  計算機(jī)開機(jī)后，系統(tǒng)每16小時自動運(yùn)行一次     

8、;   ü  手動應(yīng)用Ø  用戶配置的應(yīng)用時限        ü  用戶登錄時會自動應(yīng)用        ü  用戶登錄后，系統(tǒng)每90120分鐘自動應(yīng)用一次，系統(tǒng)每16小時自動運(yùn)行一次        ü  手動應(yīng)用4.計算機(jī)配置實(shí)例

9、4.1.允許普通用戶在域控制器登陸依次是賬戶管理員、管理員（必須添加）、備份管理員、打印管理員、服務(wù)管理員、用戶應(yīng)用后更新4.2.設(shè)置密碼策略4.3.賬戶鎖定策略防火墻設(shè)置計算機(jī)配置策略管理模板網(wǎng)絡(luò)網(wǎng)絡(luò)連接Windows 防火墻域配置文件4.5.時間提供程序4.6.禁止安裝可移動設(shè)備計算機(jī)配置策略管理模板系統(tǒng)設(shè)備安裝設(shè)備安裝限制5.用戶配置實(shí)例要求指定用戶只能通過企業(yè)內(nèi)的代理服務(wù)器上網(wǎng)新建Internet設(shè)置（按你IE版本來選）注意下面的虛線，代表著配置了沒有更新按F5進(jìn)行更新后確認(rèn)應(yīng)用確定禁用用戶IE瀏覽器自動配置設(shè)置域用戶測試更新策略（已經(jīng)登陸了域用戶打cmd命令更新，沒有的在登陸時會自動

10、更新）測試成功6.使用組策略發(fā)布軟件Ø  將軟件分配給用戶：    當(dāng)將一個軟件通過組策略分配給域內(nèi)的用戶后，則用戶在域內(nèi)的任何一臺計算機(jī)登錄時，這個軟件都會被“通告”給該用戶，但這個軟件并沒有真正的被安裝，而只是安裝了與這個軟件有關(guān)的部分信息。只有在以下兩種情況下，這個軟件才會被自動安裝：    1. 開始運(yùn)行此軟件： 例如用戶登錄后執(zhí)行操作：“開始”“控制界面”“添加或刪除程序”“添加程序”單擊該軟件的快捷方式，或是雙擊桌面上的快捷方式后，就會自動安裝此軟件。  

11、;  2. 利用“文件啟動”功能： 例如假設(shè)這個被“通告”的程序為Microsoft Excel，當(dāng)用戶登錄后，他的計算機(jī)會自動將擴(kuò)展名為.xls的文件與Microsoft Excel關(guān)聯(lián)在一起，此時用戶只要雙擊擴(kuò)展名為.xls的文件，系統(tǒng)就會自動安裝Microsoft Excel。Ø  將軟件分配給計算機(jī)：    當(dāng)將一個軟件通過組策略分配給域內(nèi)的計算機(jī)后，在這些計算機(jī)啟動時，這個軟件就會自動安裝在這些計算機(jī)里，而且是安裝到公用程序組內(nèi)，也就是安裝到Documents and SettingsAll U

12、sers文件夾內(nèi)。任何用戶登錄后，都可以使用此軟件。6.1.自動修復(fù)軟件    一個被發(fā)布或分配的軟件，在安裝完成后，如果此軟件程序內(nèi)有關(guān)鍵的文件損壞、遺失或被用戶不小心刪除，系統(tǒng)會自動探測到此不正?，F(xiàn)象，并且會自動修復(fù)、重新安裝此軟件。    6.2.準(zhǔn)備工作步驟1：在服務(wù)器上創(chuàng)建共享文件夾把文件夾共享出來，確保組策略會影響到的各用戶對目錄至少具有讀的權(quán)限。步驟2：在客戶端測試是否可以正常訪問共享文件夾。步驟3：準(zhǔn)備合適的被部署軟件，把軟件拷貝到共享文件夾下，可以根據(jù)需要建立子文件夾。組策略對被部署的軟件有一定的

13、要求，通常是MSI文件，如果是EXE文件，請按照后面小節(jié)介紹的方法打包。6.3.實(shí)訓(xùn)項目提前準(zhǔn)備兩種格式的文件：.msl和.zap這里發(fā)布的是.zap文件測試在客戶端，以“行政部”組織單元下的用戶登錄到域，從“開始”à“程序”菜單中，應(yīng)該可以看到“MicrosoftActiveSync”菜單，如圖。該軟件并未實(shí)際安裝，單擊該菜單項可以開始安裝。應(yīng)該把域用戶加入到本地的管理員組中，否則安裝軟件會失敗。6.4.使用ZAP文件來包裝EXE文件步驟1：把被發(fā)布的文件（這里用的是“Winrar-x64-540scp.exe”）拷貝到共享文件夾下。步驟2：在和EXE同一目錄下，創(chuàng)建以“.ZAP”

14、為后綴的文件，內(nèi)容為：ApplicationFriendlyname="TEST"Setupcommand=Win2012-1新建文件夾winrar-x64-540scp.exe（被發(fā)布文件的地址）保存并修改文件的后綴名步驟3：發(fā)布ZAP文件。在組策略的編輯窗口中，依次展開“用戶配置”à“策略”à“軟件設(shè)置”à“軟件安裝”，右擊“軟件安裝”新建數(shù)據(jù)包。在如圖15-34窗口的右下角的列表框中選擇“ZAW與早期版本應(yīng)用程序數(shù)據(jù)包（*.ZAP）”，把ZAP文件進(jìn)行發(fā)布。步驟4：在客戶端上，從“控制面板”à“添加或刪除程序”à“添加新程序”窗口，可以看到新發(fā)布的程序，雙擊它就可以進(jìn)行安裝了。 6.5.升級軟件   使用組策略對軟件進(jìn)行升級有兩種方法：一種是軟件本身能夠識別版本，例如Microsoft  Office 2007能夠檢測計算機(jī)上安裝的Mic