组策略是Active Directory中非常重要的一项技术

《组策略是Active Directory中非常重要的一项技术》由会员分享，可在线阅读，更多相关《组策略是Active Directory中非常重要的一项技术（30页珍藏版）》请在装配图网上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.组策略是Active Directory中非常重要的一项技术，很多朋友都听说过组策略对于管理的重要意义，也明白有些疑难问题可以用传说中的“策略”来解决。但并不清楚组策略该如何理解，如何部署，如何管理。今天起我们将组织一系列的博文为大家介绍组策略的来龙去脉，力争让大家可以更好地利用组策略来完善管理工作。我们首先从组策略的概念谈起，什么是组策略呢？组策略是一个允许执行针对用户或计算机进行配置的基础架构。这个概念听起来有些晦涩，不太容易理解。其实通俗地说，组策略和

2、注册表类似，是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢？注册表只能针对一个用户或一台计算机进行设置，但组策略却可以针对多个用户和多台计算机进行设置。这个你明白组策略的优点了吧，在一个拥有1000用户的企业中，如果我们用注册表来进行配置，我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略，那只要创建好组策略，然后通过一个合适的级别部署到1000台计算机上就可以了。组策略和AActiive Dirrecttoryy结合使使用，可可以部署署在OUU，站点点和域的的级别上上，当然然也可以以部署在在本地计计算机上上，但部部署在本本地计算算机并不不能使用用组策略略中

3、的全全部功能能，只有有和Acctivve DDireectoory配配合，组组策略才才可以发发挥出全全部潜力力。组策策略部署署在不同同级别的的优先级级是不同同的，本本地计算算机站站点域域OUU。我们们可以根根据管理理任务，为为组策略略选择合合适的部部署级别别。组策略对象象存储在在两个位位置，链链接GPPO的AActiive Dirrecttoryy容器和和域控制制器上的的Syssvoll文件夹夹。GPPO是组组策略对对象的缩缩写，GGPO是是组策略略设置的的集合，是是 存储储在Acctivve DDireectoory中中的一个个虚拟对对象。GGPO由由组策略略容器(GPCC) 和和组策略略模

4、板(GPTT)组成成，GPPC包含含GPOO的属性性信息，存存储在域域中每台台域控制制器活动动目录中中；GPPT 包包含GPPO 的的数据，存存储在SSysvvol 的 /Polliciies 子目录录下。组策略管理理可以通通过组策策略编辑辑器和组组策略管管理控制制台（GGPMCC），组组策略编编辑器是是Winndowws操作作系统中中自带的的组策略略管理工工具，可可以修改改GPOO中的设设置。GGPMCC则是功功能更强强大的组组策略编编辑工具具，GPPMC可可以创建建，管理理，部署署GPOO，最新新的GPPMC可可以从微微软网站站下载。至此，我们们对组策策略的功功能，结结构和管管理工具具都有

5、了了一定的的了解，下下篇博文文中我们们将通过过实例为为大家介介绍如何何对组策策略进行行部署及及管理。在IT工程程师的运运维工作作中，有有很多没没有技术术含量的的事务性性操作是是很令人人头疼的的，例如如为客户户机安装装软件。有有些朋友友看到这这里估计计会很不不以为然然，想我我等ITT专业人人士，纵纵横江湖湖多年，无无论国内内国外，正正版盗版版，安装装个小小小软件还还不是手手到擒来来！其实实不然，在在一台机机器上安安装软件件当然不不难，要要是让你你在一千千台机器器上安装装Offficee呢？想想想看，要要是用传传统的方方式一台台一台地地安装，操操作者是是很需要要有一番番直面惨惨淡人生生的勇气气的。

6、 因此此，为客客户机选选择一种种快速部部署软件件的解决决方案就就成了工工程师们们面临的的一个问问题。解解决这个个问题有有多种备备选方案案，例如如微软的的SCCCM，它它在功能能上非常常令人满满意，但但是价格格嘛.本文将将为大家家介绍一一种性价价比较高高的软件件部署解解决方案案利用用AD的组组策略完完成客户户机软件件部署。 组策策略部署署软件的的思路是是把要部部署的软软件存储储在文件件服务器器的共享享文件夹夹中，然然后通过过组策略略告知用用户用户户或计算算机，某某某服务务器的某某某文件件夹有要要安装的的软件，赶赶紧去下下载安装装。这样样一来，我我们只要要设置好好组策略略，就可可以等待待客户机机自

7、动进进行软件件安装了了，完全全不用在在客户机机上一一一进行部部署了。 组策策略进行行软件安安装有自自己的特特点，那那就是组组策略支支持安装装的软件件不能是是EXEE格式。EEXE是是我们平平时使用用最多的的可执行行程序格格式，组组策略不不支持EEXE是是个很大大的遗憾憾，话又又说回来来了，要要是组策策略什么么格式都都支持，那那SCCCM的销销售就要要受影响响了，呵呵呵。组组策略支支持的软软件格式式最好是是MSII格式，ZZAP或或MSTT也是可可以的。 今天天我们将将通过一一个实例例为大家家介绍如如何通过过组策略略进行软软件部署署，拓扑扑如下图图所示，Florence是域控制器，Istanbu

8、l是文件服务器，Perth是测试用的客户机。 首先先，我们们要准备备测试用用的软件件。我们们准备的的软件是是微软的的LivveWrriteer，这这个软件件想必各各位博友友是非常常熟悉的的，非常常著名的的离线博博客工具具。如图图1所示，我我们把LLiveeWriiterr存储在在isttanbbul的的一个共共享文件件夹中，大大家可以以看到程程序的扩扩展名是是MSII。图1准备好了软软件，我我们就可可以来设设置组策策略了。在在Floorennce上上打开AActiive Dirrecttoryy用户和和计算机机，如图图2所示，右右键点击击人事部部OU，准准备为此此OU创建建一个组组策略。人人事

9、部OOU内有有一个张张建国用用户，张张建国用用户使用用的客户户机就是是Perrth。图2如图3所示示，我们们在人事事部OUU的属性性中切换换到“组策略略”标签，创创建一个个名为LLiveeWriiterr的组策策略。图3如图4所示示，编辑辑新创建建的LiiveWWritter组组策略属属性，准准备在组组策略中中设置软软件安装装。组策策略可以以针对用用户或计计算机进进行软件件安装设设置，本本例中我我们将针针对用户户。在组组策略中中定位到到用户配配置软软件设置置软件件安装，选选择新建建一个程程序包。图4如图5所示示，我们们为新创创建的程程序包选选择路径径，insstannbullliivewwri

10、tterwriiterr.mssi是我我们要用用组策略略进行部部署的软软件。图5接下来要选选择部署署方式，可可以选择择发布或或指派。发发布和指指派的区区别在于于，发布布只能针针对用户户，而指指派则既既能针对对用户也也能针对对计算机机；而且且指派有有一定的的强制性性，但发发布则不不具有强强制性。本本文中我我们选择择的部署署方式是是发布，下下篇博文文中将为为大家举举一个指指派的例例子。图6组策略部署署完毕，如如图7所示，组组策略已已经从MMSI文文件中识识别出了了软件的的版本。图7组策略设置置完毕后后，我们们在客户户机Peerthh上测试试一下。由由于此次次组策略略软件安安装针对对的是用用户，因因

11、此我们们需要让让张建国国用户注注销后重重新登录录，这样样策略才才能生效效。如图图8所示，张张建国登登录后打打开控制制面板中中的添加加或删除除程序，点点击“添加新新程序”，就可可以看到到有一个个Winndowws LLivee Wrriteer程序序可供选选择，点点击“添加”就可以以开始安安装了。图8软件安装过过程基本本上没有有什么提提示，很很快软件件安装完完毕，如如图9所示，我我们在PPertth的程程序组中中看到了了利用组组策略部部署的LLiveeWriiterr。图9组策略不仅仅能快速速安装软软件，也也可以用用于卸载载软件。如如图100所示，我我们在组组策略中中找到新新创建的的程序包包，在

12、任任务中选选择“删除”。图10如图11所所示，我我们选择择立即删删除软件件，但实实际上必必须等到到用户注注销重新新登录后后，软件件的卸载载策略才才可以生生效。图11我们在Peerthh上让用用户张建建国注销销系统后后重新登登录，如如图122所示，我我们可以以看到系系统正在在自动删删除软件件。图12如图13所所示，LLiveeWriiterr已经被被组策略略成功卸卸载。从从这个例例子中，我我们可以以看到，组组策略这这种集中中管理的的思想用用于实现现软件安安装还是是相当的的方便，下下篇博文文中我们们将再为为大家举举一个软软件指派派的例子子。图13上篇博博文中我我们介绍绍了如何何利用组组策略在在客户

13、机机上安装装软件，我我们用分分发的部部署方式式为大家家举了一一个软件件安装的的实例，本本文中我我们将为为大家介介绍如何何用组策策略通过过指派的的方法实实现软件件安装。指指派可以以针对用用户，也也可以针针对计算算机，相相比较分分发的部部署方式式更为灵灵活。实实验拓扑扑如下图图所示，我我们这次次准备部部署的软软件是OOffiice220033。查看原原图（大大图）如图11所示，在在文件服服务器IIstaanbuul的OOffiice共共享文件件夹中，我我们看到到了Offficce20003的的安装文文件。由由于组策策略不能能支持EEXE文文件，因因此我们们需要使使用PRRO111.MSSI文件件进

14、行组组策略指指派。查看原原图（大大图）图1和上文文类似，我我们在域域控制器器上打开开Acttivee Diirecctorry用户户和计算算机，如如图2所所示，在在人事部部OU上上创建一一个名为为Offficee20003的组组策略。图2如图33所示，我我们在OOffiice220033组策略略内选择择新建一一个程序序包，这这个程序序包仍然然针对的的是人事事部OUU内的用用户。查看原原图（大大图）图3我们指指定Isstannbull服务器器上Offficce共享享文件夹夹内的PPRO111.MMSI是是要进行行安装的的程序包包。查看原原图（大大图）图4本次部部署方式式我们选选择指派派，和发发布

15、相比比，指派派具有一一定的强强制性。图5如图66所示，OOffiice220033的程序序包已经经准备完完毕。当启动作为为域成员员的基于于 Wiindoows 20000 的的计算机机时，系系统将处处理链接接的组策策略对象象 (GGPO) 的“计计算机设设置”部部分的组组策略设设置，并并应用于于该计算算机。此此外，当当您登录录到域时时，系统统将处理理和应用用每个链链接的 GPOO 的“用用户配置置”部分分的所有有组策略略设置。由由于 WWinddowss 花费费时间应应用每个个策略设设置，因因此策略略设置可可能减缓缓登录过过程，这这导致启启动计算算机到能能够使用用计算机机之间出出现时间间间隔。

16、您您可以使使用本文文介绍的的方法将将这一间间隔减至至最小。 如何减少已已处理的的 GPPO 的的数目Windoows 20000 的的启动和和登录时时间直接接与需要要处理的的 GPPO 数数量成比比例。链链接到站站点、域域或组织织单元的的 GPPO 由由这些站站点、域域或组织织单元的的所有计计算机和和用户进进行处理理。要减减少这些些组策略略设置的的处理时时间，请请使用下下列任意意一种方方法： 使用组织单单元。 合并组策略略设置。 基于安全组组成员身身份筛选选组策略略。 禁用部分组组策略设设置。 如何使用组组织单元元使用组织单单元以更更加详细细的形式式分配组组策略设设置。将将 GPPO 链链接到

17、组组织单元元时，您您可以将将对不必必要的 GPOO 的处处理减少少到最小小。要为为组织单单元创建建一个 GPOO，请按按照下列列步骤操操作： 1. 单击开始，指指向程序序，指向向管理工工具，然然后单击击“Acctivve DDireectoory 用户和和计算机机”。 2. 单击以扩展展该域，右右键单击击要配置置的组织织单元，然然后单击击属性。 3. 单击组策略略选项卡卡，然后后单击新新建。 4. 在新建组策策略对象象框中键键入 GGPO 的描述述性名称称，然后后按 EENTEER 键键。 5. 单击属性，然然后单击击安全选项项卡。 6. 对于您不希希望应用用此策略略设置的的安全组组，单击击清

18、除允允许列中中的应用用组策略略复选框框；对于于您希望望应用此此策略设设置的安安全组，则则单击选选中允许许列中的的应用组组策略复复选框；然后单单击确定定。 7. 单击编辑，然然后配置置您想要要使用的的策略设设置。 8. 当您配置完完策略设设置后，请请退出“组组策略”管管理单元元，然后后单击关关闭。 9. 退出“Acctivve DDireectoory 用户和和计算机机”管理理单元。 如何合并组组策略设设置Windoows 处理大大量小 GPOO 比处处理少量量大 GGPO 要花费费更长的的时间。要要减少登登录到域域所花的的时间，请请合并若若干个 GPOO 的设设置以创创建一个个大的策策略设置置

19、。 如如何基于于安全组组成员身身份筛选选组策略略Windoows 处理所所有链接接的组策策略设置置，来确确定要应应用于登登录到域域的计算算机或用用户帐户户的有效效策略设设置。如如果某个个 GPPO 与与特定的的用户或或组无关关，您可可以编辑辑安全权权限，这这样将不不处理您您选择的的 GPPO： 1. 单击开始，指指向程序序，指向向管理工工具，然然后单击击“Acctivve DDireectoory 用户和和计算机机”。 2. 执行下列步步骤之一一： o 如果您想要要编辑链链接到域域的 GGPO 的安全全设置，则则右键单单击该域域，然后后单击属属性。 o 如果您想要要编辑链链接到一一个组织织单元

20、的的 GPPO 的的安全设设置，则则单击展展开该域域，右键键单击该该组织单单元，然然后单击击属性。 3. 单击组策略略选项卡卡，单击击要配置置的 GGPO，然然后单击击属性。 4. 单击安全选选项卡。 5. 对于您不希希望应用用此策略略设置的的安全组组，单击击以清除除允许列中中的应用用组策略略复选框框，对于于您希望望应用此此策略设设置的安安全组，则则单击选选中允许许列中的的应用组组策略复复选框。备注：要基于安全组成员身份限制 GPO 的应用程序，您必须从“名称”列表中删除 Authenticated Users 组和 Everyone 组（如果它们存在）。如果启用了环回处理，请单击下面的文章编

21、号，查看 Microsoft 知识库中相应的文章，并阅读其他说明。查找以“The machine account of the terminal server”开头的句子。 2603770 (htttp:/ssuppportt.miicroosofft.ccom/kb/26003700/ENN-USS/ ) Hoow tto AApplly GGrouup PPoliicy Objjectts tto TTermminaal SServvicees SServverss 6. 单击确定，然然后单击击确定。 7. 退出“Acctivve DDireectoory 用户和和计算机机”管理理单元。

22、如何禁用组组策略设设置的未未使用部部分GPO 包包含“计计算机配配置”部部分和“用用户配置置”部分分。如果果您希望望应用的的策略设设置仅包包含对该该 GPPO 的的一个部部分的配配置更改改，您可可以配置置该 GGPO 以使系系统不处处理未使使用的部部分。此此时，您您可以减减少 WWinddowss 处理理 GPPO 所所花的时时间。 1. 单击开始，指指向程序序，指向向管理工工具，然然后单击击“Acctivve DDireectoory 用户和和计算机机”。 2. 执行下列步步骤之一一： o 如果您想要要编辑链链接到域域的 GGPO 的安全全设置，则则右键单单击该域域，然后后单击属属性。 o

23、如果您想要要编辑链链接到一一个组织织单元的的 GPPO 的的安全设设置，则则单击展展开该域域，右键键单击该该组织单单元，然然后单击击属性。 3. 单击组策略略选项卡卡，单击击要配置置的 GGPO，然然后单击击属性。 4. 执行下列步步骤之一一或都执执行： o 单击以选中中“禁用用计算机机配置设设置”复复选框，然然后，当当收到“确确认禁用用”消息息时单击击是。 o 单击以选中中“禁用用用户配配置设置置”复选选框，然然后，当当收到“确确认禁用用”消息息时单击击是。 5. 单击确定，单单击应用用，然后后单击确确定。 6. 退出“Acctivve DDireectoory 用户和和计算机机”管理理单元

24、。 如何将组策策略设置置配置为为异步运运行启动 Wiindoows 时，系系统将按按以下顺顺序同步步处理每每个 GGPO 的计算算机配置置部分的的策略设设置： 1. 本地策略设设置 2. 站点策略设设置 3. 域策略设置置 4. 组织单元策策略设置置 处理计算机机配置策策略设置置后，系系统将提提示您登登录到域域。登录录到域时时，系统统将按以以下顺序序同步处处理每个个 GPPO 的的用户配配置部分分的策略略设置： 1. 本地策略设设置 2. 站点策略设设置 3. 域策略设置置 4. 组织单元策策略设置置 要减少登录录所花的的时间，请请配置组组策略设设置的异异步处理理。此时时，系统统将下载载策略设

25、设置并且且不按顺顺序处理理，并且且您就可可以在应应用所有有策略设设置之前前登录到到域。要要配置组组策略设设置的异异步处理理，请执执行下列列步骤： 1. 创建一个您您可以用用来在域域中实现现异步组组策略处处理的 GPOO。 2. 配置异步 GPOO 处理理。 下面各部分分介绍如如何完成成这一过过程。如何为异步步处理创创建 GGPO要创建一个个您可以以用来在在域中实实现异步步组策略略处理的的 GPPO，请请执行以以下步骤骤： 1. 单击开始，指指向程序序，指向向管理工工具，然然后单击击“Acctivve DDireectoory 用户和和计算机机”。 2. 右键单击您您的域，然然后单击击属性。 3

26、. 单击组策略略选项卡卡，然后后单击新新建。 4. 为该策略设设置键入入一个名名称（例例如 EEnabble Asyynchhronnouss GPPO PProccesssingg），然然后按 ENTTER 键。 5. 单击属性，然然后单击击安全选项项卡。 6. 对于您不希希望应用用此策略略设置的的安全组组，单击击清除允允许列中中的应用用组策略略复选框框；对于于您希望望应用此此策略设设置的安安全组，则则单击选选中允许许列中的的应用组组策略复复选框；然后单单击确定定。 如何配置异异步 GGPO 处理1. 单击开始，指指向程序序，指向向管理工工具，然然后单击击“Acctivve DDireect

27、oory 用户和和计算机机”。 2. 右键单击您您的域，然然后单击击属性。 3. 单击组策略略选项卡卡，单击击要配置置的 GGPO，然然后单击击编辑。 4. 在计算机配配置下，单单击以展展开管理理模板，单单击以展展开系统统，然后后单击组组策略。 5. 在策略窗格格中，双双击“在在启动时时为计算算机异步步采用组组策略”。 6. 如果您希望望在 WWinddowss 启动动时启用用计算机机策略设设置的异异步处理理，请单单击已启启用。 7. 单击应用，然然后单击击确定。 8. 双击“在登登录时异异步采用用用户的的组策略略”。 9. 如果您希望望在用户户登录域域时启用用策略设设置的异异步处理理，请单单击已启启用。备注：如如果启用用该设置置，您可可能收到到不想要要的结果果。如果果您应用用的策略略设置与与用户配配置设置置冲突，则则用户可可能在登登录到域域后遇到到这些改改动。例例如，系系统处理理每个策策略设置置后，登登录的用用户可能能遇到桌桌面或开开始菜单单的变化化。 10. 单击应用，然然后单击击确定。 11. 退出“组策策略”管管理单元元，然后后单击关关闭。