我們先了解下組策略知識:
1、組策略中包含兩部分:
1 計算機配置:針對計算機的配置,只在計算機上生效。計算機啟動的時候應用,在出現登錄界面前。
2 用戶配置:針對用戶的配置,只在所有用戶帳戶上生效。用戶登錄後應用。
2、根據應用范圍將組策略分為三類:
1 域的組策略:設置對於整個域都生效。在“AD用戶和計算機”中,右擊域名-〉屬性-〉組策略。
2 OU的組策略:設置對於這個的OU生效。在“AD用戶和計算機”中,右擊OU名-〉屬性-〉組策略。
3 站點的組策略:設置對於這個站點生效。在“AD站點和服務”中,右擊站點名-〉屬性-〉組策略。
注意:“運行”中鍵入gpedit.msc,啟動的是本地組策略,我們要的是“域組策略”!所以必須右擊“AD用戶和計算機”中才能進入。
3、組策略的執行順序:
1 站點-〉域-〉組織單元(OU)
2 計算機配置-〉用戶配置
4、組策略的沖突:
1 在不同組策略中的同一項目的設置相反,就是組策略沖突。如:在站點組策略中,“隱藏桌面上的網上鄰居圖標”設置為“啟用”,而域的組策略上設置的是“禁用”。再如:在域的組策略中“密碼長度”設置為“7”,而OU的組策略中設置的是“6”。
2 沖突的結果:後執行的是結果。
5、組策略中的設置內容:
1 軟件安裝:自動安裝應用軟件。計算機配置和用戶配置下都有。准備工作:軟件的源安裝文件,在安裝文件中要有.msi為後綴的可執行文件。將軟件的源安裝文件放到一個共享文件夾中。(網絡路徑)
A、已發行:由用戶決定是否安裝。如果軟件包是已發行方式,用戶登錄後,系統會在添加/刪除程序-〉添加新程序中顯示已發行的軟件包。在計算機配置中不能實現。
B、已指派:強制性安裝,自動安裝。
2 WINDOWS設置:
A、計算機配置:腳本(啟動和關機),安全設置。
B、用戶配置:IE維護,腳本(登錄和注銷),安全設置(密鑰),遠程安裝服務(為客戶機安裝WIN2000 PRO),文件夾重定向(把用戶的一些重要文件夾重定向到文件服務器中)。
3 管理模板:
A、計算機配置:WINDOWS組件、系統、網絡、打印機。
B、用戶配置:WINDOWS組件、系統、網絡、任務欄和開始菜單、桌面、控制面板。
6、“組策略”選項卡下的操作:
刪除:刪除組策略對象。
注意:
A 非永久刪除:“從列表中移除連接”。只是在列表中刪除,還可以在系統中找到,並添加回來或添加到其他容器上。
B 永久性刪除:“移除連接並將組策略永久刪除”。徹底的刪除掉,在系統中無法找到了。
1/新建:新建一個組策略。
3 編輯:編輯指定組策略的設置。
4 添加:將系統中已有的組策略應用到指定容器(域、OU、站點)中。
5 選項:
A 禁止替代:禁止後執行的組策略中的項目更改這個組策略的項目。如:在域的組策略中“密碼長度”設置為“7”,而OU的組策略中設置的是“6”,並且在域的組策略中選擇了“禁止替代”。那麼最終結果為“密碼長度”是“7”。
B 被禁用:指定組策略不在容器上應用。
6 屬性:
A 禁止計算機配置:指定組策略的計算機配置在容器上不生效。
B 禁止用戶配置:指定組策略的用戶配置在容器上不生效。
C “安全”選項卡:對於指定組策略的控制權限的設置。
7 如果在一個容器上有多個組策略,在組策略列表中上端的先執行,依次向下執行。
A “向上”/“向下”按鈕:修改容器上的組策略在列表中的位置,從而修改了容器上組策略的執行順序。
8 “阻止策略繼承”選項:從更高級站點、域或組織單位繼承的策略可以在該站點、域或組織單位級別被拒絕。禁止更高級別的組策略在該容器上執行。
A “阻止策略繼承”如果已啟用“禁止替代”,則不會阻止“組策略”對象。
B “阻止策略繼承”只能在站點、域和組織單位上設置,而不能在單個“組策略”對象上設置。
7、最佳操作
1 組策略:
A 禁用組策略對象的未使用部分。
B 使用阻止策略繼承和禁止替代部分功能。
C 最小化與域中或組織單位中的用戶關聯的組策略對象的數量。應用於用戶的組策略越多,它登錄的時間越長。
D 避免交叉域組策略對象分配。如果從其他域獲得組策略,那麼組策略對象的處理將減慢登錄和啟動。
軟件安裝和管理
A 在 Windows 安裝程序包發行或指派之前確定它們已正確轉換。.msi或 .mst文件。
B 每個組策略對象只指派或發行一次:例如,如果將 Microsoft Office 指派給受組策略對象影響的計算機,則不能再將它指派或發行給受組策略對象影響的用戶。
C 重新打包現有軟件。
D 使用DFS。
E 在 Active Directory 層次結構中的高層指派或發行。
3 文件夾重定向
A 讓“My Picture”文件夾始終跟隨“我的文檔”文件夾。
上一頁12 3 下一頁 閱讀全文