组策略的配置 课程内容: 什么是组策略 组策略的应用 组策略的组成 使用GPMC来管理组策略 创建组策略 应用组策略 备份还原组策略 创建组策略 应用组策略 备份还原组策略 组策略的作用 管理模板 文件夹重定向 软件分发 WMI筛选器 软件限制

什么是组策略 组策略是一类功能，必须是在部署好AD环境下应用组策略 能够帮我们去做网络管理，包括统一管理网络中全部部分计算机，全部部分用户的某些属性，比如桌面显示状况，控制面板的显示状况， IE的设置，windows media的设置，各种软件的设置，还有能不能装某些软件，能不能卸某些软件，能不能使用某些软件，所有能在计算机上对客户端调整的工作，都可以用组策略来实现 能够充分利用好组策略，管理员的工作量大大减少

组策略可以： 集中化管理 管理用户环境 降低管理用户的开销 强制执行企业策略

组策略的应用 站点 域 组策略和哪个 容器连接起来 就在那个容器 生效。 组策略只能 给这三中容器 做设置 OU OU OU GPO1

组策略的组成 Group Policy Container 存储在ＡＤ中 保存组策略版本信息 Group Policy Object 包括组策略设置 存储在两个位置 Group Policy Template 存储在SYSVOL文件夹 保存组策略的设置

使用GPMC管理组策略 GPMC是一个组策略管理的强大软件 运行--gpmc.msc 默认域控制器策略和默认域策略 在详细信息选项卡中可以查看该组策略的唯一ID（GUID）--- 查看C:\WINDOWS\SYSVOL\SYSVOL\contoso.COM\POLICIES存放是该组策略的模板 想知道在组策略中设置了什么---设置--生成报告---以web方式显示

演示: 1.新建一个组策略 组策略对象---右--新建---test 2.编辑组策略 test--右--编辑（组策略编辑器） 计算机配置和用户配置有什么区别？ 3.让test策略应用于一个OU 在gpmc中把test拖到那个OU上面 则在test里面对用户的配置会对bob生效（注销再登陆），对计算机配置会对计算机帐户生效（重启）.

4.备份，还原组策略 test--右--备份--选择一个位置--新建一个文件夹---开始备份 删除test---组策略对象--右--管理备份---选择备份的文件---还原

5.组策略的继承关系 默认继承：子OU默认可以继承父OU的所 有组策略 阻止继承 强制继承 设置权限

(1)☻删除test--新建1组策略和2组策略--把1拖到OU上 查看: OU---组策略继承--两个组策略1和defualt domain（域级别默认组策略，从域上继承过来的组策略） 那么OU上的用户计算机，登陆或开机生效的组策略是两个组策略的和 ☻把2拖到域级别上 查看: OU---组策略继承---三个组策略 OU同时应用了三条组策略，如果之间有了冲突,则列表中顺序上面的优先级最高

(2).不希望OU继承来自域的组策略--OU--右--阻止继承 (3).让默认域级别组策略强制继承---default domain policy--右--强制 强制继承和阻止继承冲突时听强制继承的 (4).组策略只对某一个用户alice不生效 组策略1---委派---高级---添加alice---拒绝应用组策略（权限控制用户应用组策略）

组策略的作用 管理模板 脚本 文件夹重定向 软件分发 WMI筛选器 软件限制

管理模板 编辑组策略1---用户配置---管理模板: 主要作用通过图形化设置界面可以改客户端的注册表 例如:IE禁止更改主页---任务栏和开始菜单中删除运行---桌面从桌面删除回收站---控制面板--显示(隐藏设置选项卡） 查看: OU中任意一个用户来登陆会发现所有的设置都已经修改了

脚本 计算机下启动和关机脚本 用户下登陆和注销脚本 两者生效时间不一样 1.建一个脚本logon.vbs，所有能在windows下做的操作都能用脚本实现,写入: msgbox “hello” 调用函数---调用一个简单的windows对话框 让这个脚本在OU用户登陆时生效 2. 脚本---登陆--添加---浏览（脚本必须放在默认位置）

文件夹重定向 文件夹重定向---可以把客户端这四个文件夹重定向到任意一个共享文件夹 1.DC的E盘下创建一个doc文件夹---共享---权限放到最大（添加everyone给完全控制权限） 2.文件夹重定向---我的文档--右--属性---\\192.168.1.4\doc 会在这个文件夹下创建一个以该用户名字的文件夹，然后把客户端的我的文档里的文件存到这里

3.在客户端查看---我的文档--属性---目标文件夹的路径 4.查看--DC的E盘下的doc---里面有一个用户文件夹（但只有用户本人自己可以访问） 注意：组策略刷新需要时间，为了刷新快点 gpupdate /force可以在客户端刷新服务器端的组策略

软件分发 在网络管理经常需要给客户端装很多软件，有了组策略不需要跑到客户端，只要在服务器端就可以给他装软件了 1.在DC软件gpmc---共享 2软件设置---软件安装---新建一个程序包（虽然在本地，必须通过网络路径去找）---gpmc.msi---发布方式---指派 3.查看：客户端登陆---该软件已经装上 其实当第一次运行时它才真正安装上

注意: 如用组策略来把软件安装在客户端上，必须是msi的安装程序（只有windows操作系统是兼容的），wininstallle可以将exe安装程序转成这个格式。 还有一个SMS软件可以将所有的软件(任何格式)发到客户端上面

WMI筛选器 组策略能做软件分发，来装OFFICE，有的机器好有的机器坏，P4的装office 2003，P2的机器装offcie 97 原来做软件分发，把p4放在一个OU，P2机器放一个OU 做一个wmi筛选器和一个组策略连接起来，然后组策略利用筛选器自己判断生效的客户端的CPU，是p3 以上就装office 2003，如果以下就装office 97 根据另一个参数，office要500M，组策略在应用到所有客户端上时，先检查一下计算机C盘够不够500M，如果不够就不应用，否则装一半就报错

演示： 1.查看组策略1---WMI筛选器--没有 2. WMI筛选器（作用查询客户端的某些参数，返回结果，两种0和1：磁盘空间大于500M，返回真，则组策略生效，假不生效） 新建筛选器---disk--查询语句---保存 Select * FROM Win32LogicalDisk WHERE (Name="C:" or Name="D:" or Name="E:") AND DriveType=3 AND FreeSpace>10485760 AND FileSysytem="NTFS"

客户端必须满足这三个条件才会返回真，就可以应用该组策略，如果为假则不应用 3. 和组策略1做连接---WMI筛选器---disk

什么是软件限制策略 软件限制策略可以控制电脑上运行什么样的程序 只允许用户在多用户电脑上运行指定类型的文件 控制哪些用户运行软件时有限制 防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑 可以通过组策略来限制客户端能使用的软件

控制不同web Application在不同 软件限制策略的规则 哈希规则 利用文件的MD5或SHA1的hash来 做比较 当您有一个多版本的文件时，来防 止有些版本的运行 证书规则 利用程序上的数码签名来做比较 防止有些win32的程序或含有 Active X的程序运行 internet区域规则 控制不同web Application在不同 的Internet区域里 路径规则 利用路径来做比较 当您的文件夹里含有许多要被 运行程序所用到的文件

组策略1--编辑---安全设置----软件限制策略---创建软件策略---其他规则--新建路径规则--- c：\windows\system32\notepad.exe---不允许（不受限--允许） 但是客户端可以把这个可执行程序拷贝到另一个地方就可以运行了 2. 删除路径规则---新建哈希规则---文件路径--自动算出哈希值--不允许 文件不管放在哪都不能运行

如果一个程序有多个规则，怎么办？？ 比如: 给calc.exe做了三条规则 路径规则 不限制 哈系规则 不允许 证书规则 不允许 优先级： 1.哈系规则 2.证书规则 3.路径规则 4.Internet 区域规则