Windows 组策略

组策略(英语:Group Policy)是微软Windows NT 家族操作系统的一个特性,它可以控制用户帐户和
计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配
置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”)。
组策略在部分意义上是控制用户可以或不能在计算机上做什么,例如:施行密码复杂性策略避免用户
选择过于简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问Windows
任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象(Group Policy Object,GPO)。
作为微软 IntelliMirror 技术的一部分,组策略旨在减少用户支持成本。IntelliMirror 技术涉及已断开机
器或漫游用户的管理,并包括漫游用户配置文件、文件夹重定向和脱机文件

  1. 打开组策略
    在Windowsk 中可以通过命令gpedit.msc 打开组策略编辑器或者在所有程序中找到“本地安全策略”单击打开。本地安全策略仅包含本地组策略→Windows 设置→安全设置选项。
  2. 组策略配置
    Windows 本身的可视化操作减轻了用户在配置组策略上的认知负担,例如,关闭系统还原功能,只需要在组策略→管理模板→系统→系统还原项上单击打开对它的配置选项。
    组策略没有固定的配置策略,通常会根据业务的需求进行相关配置,不过,更常用的配置是在安全设置中配置帐户策略和Windows 防火墙策略,在管理模板中配置文件、注册表、桌面等策略等。
  3. 活动目录
    为了解决这一问题,就提出了“域”的概念–集中管理所有用户的权限以及设定如何登陆到文件服务器上的共享个人电脑。这个用来管理该域的服务器被称为“域控制器”。与通常启动个人电脑时一样,用户输入用户名和密码登录到域,再访问这个“域”中的共享文件时就无须每次输入密码了。需要强调的一点是,在域控制器中必须安装Windows 2000 Server 以上的服务器OS我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登陆也是登陆在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登陆 .工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)
    域成员中不仅仅是员工或个人的电脑,它是多元的,可以是其它应用服务器、防火墙、打印机等等。
    域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.Microsoft.com 就比 Microsoft.com 这个域级别低,因为它有两个层次关系,Microsoft.com
    只有一个层次。而域 Grandchild.Child.Microsoft.com 又Child.Microsoft.com 级别低,道理一样。他们都属于同一个域树。Child.Microsoft.com 就属于Microsoft.com 的子域。多个域树可以组成一个域林。
  4. 活动目录设置
    打开服务器管理器,点击管理,添加角色和功能
    –>进入配置
    –>选择基于角色或基于功能的安装,单击下一步
    –>从服务器池中选择服务器,此时仅能看到当前服务器,单击下一步
    –>选择Active Directory 域服务,并单击下一步
    –>默认选择,单击下一步
    –>等待安装,直到安装完成
    完成之后可以看到系统发布消息,“将此服务器提升为域控制器”,点击它,开始把服务器升级为域控制器.
    通常域控服务器为保证高可用,不会在域控制器上运行大型的服务,如SQL Server、Exchange 等。同时也不会让外网直接访问域控服务器。当点击“将此服务器提升为域控制器”后进入下面配置选择添加新林,并写上根名字。在一般情况下,林的名字会写为xxx.cn 或xxx.com。com 指商业、cn指中文、org 指业务组织、edu 指教育、gov 指政府等。
    域功能级别:限制的是整个域中域控制器操作系统版本。系统版本有windows server 、2003 、2008 、2008 R2 、2012 等。如果域功能级别为windows server 2003 模式那么DC:只能是2003,2008,2008 R。如果域功能级别2008 的,那么兼容向上的。
    如2012,2012R2设置目录服务还原模式密码需要大写+小写+数字。
    –>进入下一步,默认选项
    –>在下一步后设置都可以默认进行
    –>等待安装完成以后需要对计算机进行重启,重启后进入菜单
    –>选择Active Diectory 用户和计算机,检查配置
    在开始菜单中选择DNS,检查DNS 是否正确。如果没有DNS,域无法工作。安装好域控制器后检查DNS,在DNS 里面正向反各查找区域下msdcs.根和根(上例中的根是wlkj,所以目录为msdcs.wlkj.cn和wlkj.cn)两个目录。如果存在说明DC 安装正确
    回到Active Diectory 选项,在活动目录中新增目录和用户
  5. 用户加入域
    域控设置完成以后,需要让用户终端加入域。需保证服务器与用户电脑能正常通讯,本实验在同网段下进行,建议用户网络设置中DNS 的设置与服务器IP 一致。设置好IP 后更改用户域,域名为服务器设置根域名.用户终端设置完成后重启电脑,选择登陆到域,输入在域控中设置的用户名和密码进入系统
  6. 分发安装软件
    利用组策略,在域控服务器上打开“开始菜单”,然后在“windows 管理工具”中找到“组策略管理”工具,并打开“组策略管理”:
    –>然后,鼠标右击组织单位,例如:“testbu”,然后点击“在这个域中创建GPO 并在些链接…”,给这个GPO 输入一个名称为“软件分发”
    –>鼠标右击刚创建的GPO“软件分发”,单击“编辑”
    弹出“组策略编辑器”,点击“用户配置”里的“策略”,打开“软件设置”,再单击“软件安装”,然后在右边空白处鼠标右击,选择“新建”里的“数据包
    –>打开后选择需要部署分发的软件【注:通常这个软件会优先设置为共享,选择的位置也会选择它的共享位置,例如:\10.0.101.2\share】,选择部署软件后会弹出“部署软件”对话框,选择“已分配”,点击“确定”;稍等一会,就会出现“版本”为2.2 ,“状态”为“已部署”的条目
    –>鼠标右击这个软件项,弹出的选项对话框中,单击“属性”;将会弹出对该软件分发属性,单击“部署”选项卡,勾选“在登录时安装此应用程序 ”; 然后,点击“应用”
    –>选择“安全”选项卡;在“组或用户名”中,添加“Everyone”,“Everyone”仅保留“读取”权限。然后点击“应用”和“确定”
    –>在空白处鼠标右击,弹出选项,单击“属性”, 弹出“软件安装 属性”,在“常规”选项卡中,默认程程序数据包位置文本文本框中输入软件数据包的位置,\10.0.101.2\share\。选择“已分配”,点击“应用”和“确定”。设置完成后,需要打开CMD,运行gpupdate /force 命令让组策略强制更新
    –>当用户终端登陆到域上,此时登陆过程期间,系统会部署由域控分发的软件,登录系统后就已完成了对部署软件安装

你可能感兴趣的:(windows)