一、
我的文档重定向及
GPO
冲突处理:“财务部”及子单位“资产管理”的我的文档重定向
B
位置,域中其他所有用户的我的文档重定向
A
位置
1. 本例实现的GPO链接示意图如下:“我的文档重定向A”链接到“域”,其下所有容器、组织单位都将继承这个GPO,这个时候把“我的文档重定向B”链接到“财务部”,这样:“财务部”继承“我的文档重定向A”,和自身链接的GPO“我的文档重定向B”之间产生了冲突,一个是要把我的文档重定向A,一个重定向B,此时应用子单位的GPO,即“财务部”自身链接的GPO“我的文档重定向B”为最终策略结果。
【注意】若是两个有冲突的GPO链接到一个对象上又是怎么应用的呢?比如“我的文档重定向A”链接到“办公室”,则它有一个顺序号为1,然后再“我的文档重定向B”也链接到“办公室”,它的顺序号就为2,这样看上去也产生了冲突,其实一个单位的多个GPO冲突时,数字越小优先级越大,即“我的文档重定向A” 顺序号为1的为最终策略结果,当然也可以调整链接顺序。如下图:
2. 设置一个Authenticated Users(已验证用户组)完全共享文件夹“我的文档重定向A”和“我的文档重定向B”(需要在共享和安全中都对Authenticated Users设置完全控制)。
3. 新建GPO:我的文档重定向A,并编辑它。
下图:“目标”的“设置”中使用“基本-将每个人的文件夹重定向到同一个位置”,在“目标文件夹位置”下设置“在根目录路径下为每一用户创建一个文件夹”,根路径指定UNC路径:\\Dc\我的文档重定向A。
对设置选项卡“策略删除”设为“删除策略时将文件夹移回本地用户配置文件位置”。
4. 新建GPO:我的文档重定向B,向上例样编辑它。
5. 对域链接GPO“我的文档重定向A”。
6. 对组织单位“财务部”链接GPO“我的文档重定向B”。
7. 分别使用域中及多个Ou中的用户登陆域后,生成的用户重定向独立文件夹如下:
其中leo、Juo是“财务部”及其子单位“资产管理”中用户,生成在“我的文档重定向B”中,而其他位置的用户我的文档都生成在“我的文档重定向B”中。
二、
设置所有域用户的
IE
浏览器标题为
:
MCSE
学习测试
,
主页为
:
www.mcse.com
1. 实现这个目的的GPO链接如下:
2. 新建GPO:设置IE主页,并编辑它。
3. 在组策略编辑器中:用户配置→Windows设置→Internet Explorer维护→浏览器用户界面,在右侧双击“浏览器标题”,在弹出的对话框中如下设置,并输入需要的文字(如:MCSE学习测试),然后确定。
4. 双击URL→重要URL,在弹出的对话框中如下设置,并输入需要的主页地址(如:http://www.mcse.com),然后确定,再关闭组策略编辑器。
5. 对域链接GPO“设置IE主页”。
6. 在域网络内用一台电脑测试一下,打开它的IE浏览器,其标题和主页已经更改。(向这样的例子我们应举一反三)。
三、
域中除域控制器、财务部和其下子单位外,对所有域用户分发软件。
1. 实现本目的的GPO链接如下图:
这上面的GPO链接并没有错。那为什么要实现这个功能,前面链接的GPO又都要链接到财务部呢?这是因为阻止继承。因为不用向财务部和其下子单位分发软件,所以要阻止财务部继承来自域的分发软件GPO,但阻止继承会阻止所有非强制的GPO继承,一些需要财务部继承的GPO也被阻止,因此这里需要为那些GPO专门建立一个链接。这也是一个GPO可以链接多个对象的一个实例。(那为什么不直接把分发软件GPO,链接到办公室和开发部这两个OU上呢?这是因为域中的用户并不全在OU中,有可能在容器里(比如:Users)但GPO不能链接到容器,不过若把GPO链接到域,容器会继承域的GPO)
2. 组策略只能分发*.msi类型软件,如果非此类型文件,可到网上下载一个msi生成工具,对其封闭成MSI文件再分发(msi生成工具下载地址:http://dl.52zy.com/green/Advanced Installer.rar)。对域中分发软件,软件必须放在网络共享的文件夹中,在编辑分发软件的GPO时,要引用到这个共享文件夹的UNC路径。(下图中“软件安装”为只读共享,其所在计算机名为DC,所以它的UNC路径为:\\dc\软件安装)
3. 新建GPO:软件分发,并编辑它。
4. 进行“软件分发”的组策略编辑器后,可以看到计算机配置和用户配置中都有一个“软件设置→软件安装”都可以用来分发软件,它们的区别如下:
计算机配置中软件设置→软件安装:针对计算机帐户设置的GPO,无论任何用户启动这台计算机都将应用这个GPO,它在启动计算机时执行,这意味着要让这些设置生效需重新启动计算机。
用户配置中软件设置→软件安装:针对用户帐户设置的GPO,无论用户在任何计算机上登陆都将应用这个GPO,它在用户登陆时执行,这意味着用户只需注销后再重新登陆就可生效。
5. 在本例中适合对用户分发软件,在用户配置→软件设置→软件安装的右侧,右击选新建→程序包。
6. 在弹出对话框中,网上邻居上找到共享的“软件安装”文件夹中需分发的msi文件,然后单击打开。
7. 在弹出对话框中选“已指派”,然后单击确定。
发布策略:仅适用于用户策略,不能为计算机发布应用程序,要安装发布的应用程序,用户可以使用控制面板中的“添加或删除程序”,它包括用户可安装的所有已发布应用程序的列表。或者,如果管理员选择了“通过文件扩展名激活自动安装该应用程序”功能,则用户可以打开一个与发布的应用程序关联的文档文件。例如,双击一个 .xls 文件就会触发 Microsoft Excel 安装(如果尚未安装的话)。
指派策略:适用于用户和计算机,指派策略部署的软件会自动安装。
高级策略:可以手动选择发布和指派中的一些选项,相当于把上面两者的一些功能综合在一起。
8. 对域链接这个GPO“软件分发”。
9. 对财务部阻止继承。
10. 重新链接一些需要继承的GPO。
11. 排除对域控制器(计算机名:DC)指派软件安装。
单击添加按钮后,把对象类型计算机勾选进去。
查找到域控制器计算机名:DC,选择它并一直确定。
12. 添加计算机到安全筛选后,单击“委派”选项卡。
再单击高级按钮。
单击高级按钮,选择DC$,把它的权限“应用组策略”设为“拒绝”,一路确定下来。
测试域中非财务部用户登陆,软件已经安装是一条鱼的图标。
对域控制器测试并没安装这个指派的软件,功能实现成功。
四、
组策略刷新命令
“gpupdate”用于刷新本地组策略和Active Directory中存储的组策略设置(包括安全设置)的命令行工具。在默认情况下,工作站或服务器上的安全设置每90分钟刷新一次,域控制器每5分钟刷新一次。若要立即刷新就要使用此命令。
1. 在CMD命令窗口输入:gpupdate /? 可查询它的语法和功能参数。
2. 常用的参数:
Gpupdate /force 重新运用所有策略设置。在默认情况下,只有已经改变了的策略设置被应用。
Gpupdate /logoff 在组策略设置被刷新后引起注销。
Gpupdate /boot 在组策略设置被刷新后引起重新启动。
五、
策略结果集(
RsoP
:
Resultant Set of Policy
)
由于可能对用户和计算机重叠应用多个策略设置,所以组策略登录时会产生一个策略结果集,作为最终的策略来执行。
1.
gpresult命令显示用户或计算机的组策略设置的策略的结果集数据。
2. 在CMD命令窗口输入:gpresult /? 可查询它的语法和功能参数。
3. 常用的参数:
gpresult /z>c:\rep.txt 指定显示超详细关于“组策略”的所有可用信息并重定向写入C盘下的rep.txt文件中
4.
组策略管理工具中的“组策略结果”: 它和 gpresult功能相同,同时提供图形化的界面,更加方便日常管理。
例:使用“组策略结果”显示在域控制器(DC)上系统管理员(administrator)的最终组策略结果,并把结果保存为网页文件。
因组策略结果就运行在DC上,所以选“这台计算机”,若要生成别的计算机的策略结果集,可选下面的选项。
单击右侧窗口的”全部显示”
对显示的结果右键单击,选择“保存报告”可造成HTML类型报告。
六、
使用组策略建模
组策略的部署是要谨慎且小心翼翼的,一旦出了问题,对域中电脑的工作影响是很严重的。因此有必要在部署前进行模拟部署,通过其生产的报告了解部署后的情况,组策略管理工具中提供的“组策略建模”就提供了这个功能。它有一个必要条件,林中必须有一台Windows Server 2003域控制器,这是因为模拟过程只能由Winodows Server 2003域控制器(或更新的OS)提供的服务完成。
例:Demo本是OU办公室内的用户,因工作需要Demo将要调到财务部,现要模拟Demo移动到OU财务部后它的策略对象的最终结果。
1、Demo现在是办公室的成员。
2、右击“组策略建模”选“组策略建模向导”。
3、一路下一步。
4、用户信息,选“用户”,然后单击浏览,添加用户Demo。
5、下一步。
6、选择目标容器为:财务部。
7、下一步。
8、生成了在财务部中所应用的GPO集,通过下面的内容可知Demo移动到财务部后的策略结果。