一、 我的文档重定向及 GPO 冲突处理:“财务部”及子单位“资产管理”的我的文档重定向 B 位置,域中其他所有用户的我的文档重定向 A 位置
1. 本例实现的GPO链接示意图如下:“我的文档重定向A”链接到“域”,其下所有容器、组织单位都将继承这个GPO,这个时候把“我的文档重定向B”链接到“财务部”,这样:“财务部”继承“我的文档重定向A”,和自身链接的GPO“我的文档重定向B”之间产生了冲突,一个是要把我的文档重定向A,一个重定向B,此时应用子单位的GPO,即“财务部”自身链接的GPO“我的文档重定向B”为最终策略结果。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第1张图片
【注意】若是两个有冲突的GPO链接到一个对象上又是怎么应用的呢?比如“我的文档重定向A”链接到“办公室”,则它有一个顺序号为1,然后再“我的文档重定向B”也链接到“办公室”,它的顺序号就为2,这样看上去也产生了冲突,其实一个单位的多个GPO冲突时,数字越小优先级越大,即“我的文档重定向A” 顺序号为1的为最终策略结果,当然也可以调整链接顺序。如下图:
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第2张图片
2. 设置一个Authenticated Users(已验证用户组)完全共享文件夹“我的文档重定向A”和“我的文档重定向B”(需要在共享和安全中都对Authenticated Users设置完全控制)。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第3张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第4张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第5张图片
3. 新建GPO:我的文档重定向A,并编辑它。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第6张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第7张图片
下图:“目标”的“设置”中使用“基本-将每个人的文件夹重定向到同一个位置”,在“目标文件夹位置”下设置“在根目录路径下为每一用户创建一个文件夹”,根路径指定UNC路径:\\Dc\我的文档重定向A。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第8张图片
对设置选项卡“策略删除”设为“删除策略时将文件夹移回本地用户配置文件位置”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第9张图片
4. 新建GPO:我的文档重定向B,向上例样编辑它。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第10张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第11张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第12张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第13张图片
5. 对域链接GPO“我的文档重定向A”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第14张图片
6. 对组织单位“财务部”链接GPO“我的文档重定向B”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第15张图片
7. 分别使用域中及多个Ou中的用户登陆域后,生成的用户重定向独立文件夹如下:
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第16张图片
其中leo、Juo是“财务部”及其子单位“资产管理”中用户,生成在“我的文档重定向B”中,而其他位置的用户我的文档都生成在“我的文档重定向B”中。
二、 设置所有域用户的 IE 浏览器标题为 MCSE 学习测试 主页为 www.mcse.com
1. 实现这个目的的GPO链接如下:
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第17张图片
2. 新建GPO:设置IE主页,并编辑它。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第18张图片
3. 在组策略编辑器中:用户配置→Windows设置→Internet Explorer维护→浏览器用户界面,在右侧双击“浏览器标题”,在弹出的对话框中如下设置,并输入需要的文字(如:MCSE学习测试),然后确定。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第19张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第20张图片
4. 双击URL→重要URL,在弹出的对话框中如下设置,并输入需要的主页地址(如:http://www.mcse.com),然后确定,再关闭组策略编辑器。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第21张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第22张图片
5. 对域链接GPO“设置IE主页”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第23张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第24张图片
6. 在域网络内用一台电脑测试一下,打开它的IE浏览器,其标题和主页已经更改。(向这样的例子我们应举一反三)。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第25张图片
三、 域中除域控制器、财务部和其下子单位外,对所有域用户分发软件。
1. 实现本目的的GPO链接如下图:
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第26张图片
这上面的GPO链接并没有错。那为什么要实现这个功能,前面链接的GPO又都要链接到财务部呢?这是因为阻止继承。因为不用向财务部和其下子单位分发软件,所以要阻止财务部继承来自域的分发软件GPO,但阻止继承会阻止所有非强制的GPO继承,一些需要财务部继承的GPO也被阻止,因此这里需要为那些GPO专门建立一个链接。这也是一个GPO可以链接多个对象的一个实例。(那为什么不直接把分发软件GPO,链接到办公室和开发部这两个OU上呢?这是因为域中的用户并不全在OU中,有可能在容器里(比如:Users)但GPO不能链接到容器,不过若把GPO链接到域,容器会继承域的GPO)
2. 组策略只能分发*.msi类型软件,如果非此类型文件,可到网上下载一个msi生成工具,对其封闭成MSI文件再分发(msi生成工具下载地址:http://dl.52zy.com/green/Advanced Installer.rar)。对域中分发软件,软件必须放在网络共享的文件夹中,在编辑分发软件的GPO时,要引用到这个共享文件夹的UNC路径。(下图中“软件安装”为只读共享,其所在计算机名为DC,所以它的UNC路径为:\\dc\软件安装)
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第27张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第28张图片
3. 新建GPO:软件分发,并编辑它。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第29张图片
4. 进行“软件分发”的组策略编辑器后,可以看到计算机配置和用户配置中都有一个“软件设置→软件安装”都可以用来分发软件,它们的区别如下:
计算机配置中软件设置→软件安装:针对计算机帐户设置的GPO,无论任何用户启动这台计算机都将应用这个GPO,它在启动计算机时执行,这意味着要让这些设置生效需重新启动计算机。
用户配置中软件设置→软件安装:针对用户帐户设置的GPO,无论用户在任何计算机上登陆都将应用这个GPO,它在用户登陆时执行,这意味着用户只需注销后再重新登陆就可生效。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第30张图片
5. 在本例中适合对用户分发软件,在用户配置→软件设置→软件安装的右侧,右击选新建→程序包。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第31张图片
6. 在弹出对话框中,网上邻居上找到共享的“软件安装”文件夹中需分发的msi文件,然后单击打开。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第32张图片
7. 在弹出对话框中选“已指派”,然后单击确定。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第33张图片
发布策略:仅适用于用户策略,不能为计算机发布应用程序,要安装发布的应用程序,用户可以使用控制面板中的“添加或删除程序”,它包括用户可安装的所有已发布应用程序的列表。或者,如果管理员选择了“通过文件扩展名激活自动安装该应用程序”功能,则用户可以打开一个与发布的应用程序关联的文档文件。例如,双击一个 .xls 文件就会触发 Microsoft Excel 安装(如果尚未安装的话)。
指派策略:适用于用户和计算机,指派策略部署的软件会自动安装。
高级策略:可以手动选择发布和指派中的一些选项,相当于把上面两者的一些功能综合在一起。
8. 对域链接这个GPO“软件分发”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第34张图片
9. 对财务部阻止继承。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第35张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第36张图片
10. 重新链接一些需要继承的GPO。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第37张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第38张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第39张图片
11. 排除对域控制器(计算机名:DC)指派软件安装。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第40张图片
单击添加按钮后,把对象类型计算机勾选进去。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第41张图片
查找到域控制器计算机名:DC,选择它并一直确定。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第42张图片
12. 添加计算机到安全筛选后,单击“委派”选项卡。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第43张图片
再单击高级按钮。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第44张图片
单击高级按钮,选择DC$,把它的权限“应用组策略”设为“拒绝”,一路确定下来。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第45张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第46张图片
测试域中非财务部用户登陆,软件已经安装是一条鱼的图标。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第47张图片
对域控制器测试并没安装这个指派的软件,功能实现成功。
四、 组策略刷新命令
“gpupdate”用于刷新本地组策略和Active Directory中存储的组策略设置(包括安全设置)的命令行工具。在默认情况下,工作站或服务器上的安全设置每90分钟刷新一次,域控制器每5分钟刷新一次。若要立即刷新就要使用此命令。
1. 在CMD命令窗口输入:gpupdate /? 可查询它的语法和功能参数。
2. 常用的参数:
Gpupdate /force 重新运用所有策略设置。在默认情况下,只有已经改变了的策略设置被应用。
Gpupdate /logoff 在组策略设置被刷新后引起注销。
Gpupdate /boot 在组策略设置被刷新后引起重新启动。
五、 策略结果集( RsoP Resultant Set of Policy
由于可能对用户和计算机重叠应用多个策略设置,所以组策略登录时会产生一个策略结果集,作为最终的策略来执行。
1. gpresult命令显示用户或计算机的组策略设置的策略的结果集数据。
2. 在CMD命令窗口输入:gpresult /? 可查询它的语法和功能参数。
3. 常用的参数:
gpresult /z>c:\rep.txt 指定显示超详细关于“组策略”的所有可用信息并重定向写入C盘下的rep.txt文件中
4. 组策略管理工具中的“组策略结果”: 它和 gpresult功能相同,同时提供图形化的界面,更加方便日常管理。
例:使用“组策略结果”显示在域控制器(DC)上系统管理员(administrator)的最终组策略结果,并把结果保存为网页文件。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第48张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第49张图片
因组策略结果就运行在DC上,所以选“这台计算机”,若要生成别的计算机的策略结果集,可选下面的选项。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第50张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第51张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第52张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第53张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第54张图片
单击右侧窗口的”全部显示”
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第55张图片
对显示的结果右键单击,选择“保存报告”可造成HTML类型报告。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第56张图片
六、 使用组策略建模
组策略的部署是要谨慎且小心翼翼的,一旦出了问题,对域中电脑的工作影响是很严重的。因此有必要在部署前进行模拟部署,通过其生产的报告了解部署后的情况,组策略管理工具中提供的“组策略建模”就提供了这个功能。它有一个必要条件,林中必须有一台Windows Server 2003域控制器,这是因为模拟过程只能由Winodows Server 2003域控制器(或更新的OS)提供的服务完成。
例:Demo本是OU办公室内的用户,因工作需要Demo将要调到财务部,现要模拟Demo移动到OU财务部后它的策略对象的最终结果。
1、Demo现在是办公室的成员。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第57张图片
2、右击“组策略建模”选“组策略建模向导”。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第58张图片
3、一路下一步。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第59张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第60张图片
4、用户信息,选“用户”,然后单击浏览,添加用户Demo。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第61张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第62张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第63张图片
5、下一步。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第64张图片
6、选择目标容器为:财务部。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第65张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第66张图片
7、下一步。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第67张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第68张图片
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第69张图片
8、生成了在财务部中所应用的GPO集,通过下面的内容可知Demo移动到财务部后的策略结果。
网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)_第70张图片