第八章 组策略

一、组策略

1. 概念：一组策略的集合，加强管理员通过活动目录数据库在站点域或组织单位中配置用户计算机的能力

2. 组策略的结构： GPO 和 SDOU

1 ） GPO ：组策略对象，可以讲 GPO 和活动目录的容器连接在一起，以影响容器（ SDOU ）中的计算机和用户

①默认 GPO ： Default Doamin Policy （默认域策略）和 Default Doamin Controller Policy （默认域控制器策略）

②默认域策略：影响域中所有计算机和用户

③默认域控制器策略：影响组织单位 Doamin Controller 中的计算机和用户

2 ） SDOU ：活动目录的容器，容器中包含计算机和用户这两种活动目录对象，受组策略的控制

① SDOU ：是站点、域、组织单位的统称，即站点 S （ site ）域 D （ domain ）组织单位 OU(organizational unit)

3 ） GPC 和 GPT

① GPC ：组策略容器，包含 GPO 属性和版本信息的活动目录对象，如进入默认 gpd 右击它属性

② GPT ：组策略模板，在域控制器的共享系统卷中，是一种文件夹层次结构

        默认路径在域控制器的 %systemroot%\SYSVOL\sysvol 中

3. 组策略进入方法：①启动“ Active Directory 用户和计算机”→查看→高级

                 ②右击 域或组织单位→属性→组策略即可打开

4. 建 GPO ：进入组策略后：单击新建就可以建新的 GPO ，

5. 站点 1 ）由一个或几个通过高速连接在一起的 IP 子网组成

      2 ）一个站点中可以有多个域，一个域中也可以有多个站点

      3) 作用：优化复制（由于站中的域通用一个设置，在以个域中作了改变，其他域要通过复制相应的文件达到同步设置），使用户能够使用可靠、高速的连接登录到域控制器上

二、计算机配置和用户配置

1. 组策略中包含：计算机配置和用户配置

2. 计算机配置：对容器中的计算机起作用，配置后要重启计算机才能生效

3. 用户配置：对容器中的用户起作用，用户重新登陆就可以生效

4. 当两者发生冲突时，以计算机配置为主

5. 两者的配置都包含：软件设置、 Windows 设置和管理模板三部分组成

三、组策略应用规则

1. 继承与阻止继承

1 ）默认下，下层容器或继承来自上层容器的 GPO( 组策略对象 ) 即 SDOU 中 子 OU 会继承 S D OU 的 GPO 、 OU 会继承 S D 的 GPO 、 D 会继承 S 的 GPO

2 ）阻止继承的方法：右击容器（ OU D S ）→属性→组策略→选中“阻止策略继承”

3 ）切记：阻止继承是在下层容器中设置

2. 强制生效

1 ）强制下层继承 GPO ，即使下层设置了不继承策略，依然生效

2 ）方法：右击容器（ ou d s ）→属性→组策略→选择要强制继承的 GPO →单击“选项”→出现的对话框中选中“禁止替代： ……”

3). 切记：强制生效时在上层容器中设置

3. 筛选

1 ）作用：阻止一个 GPO 应用于容器内特定的计算机和用户

2) 设置方法：右击要设置的计算机或用户所在的容器（ sdou ）→属性→组策略→选择 GPO →单击“属性”→安全→加入计算机或用户→后给他设置相应的权限

如：销售部 OU 中有个经理账户 JL 和其他 10 个普通成员账户，都属于 sales 组中，要 JL 不受 GPO 影响，其他受影响。

右击 OU “销售部”→属性→组策略，选择“销售部 GPO” ，单击“属性”→安全

给“ sales ”，设置允许“读取”和“应用组策略”权限

添加“ JL ”，设置拒绝“读取”和“应用组策略”权限

3 ）类似于 NTFS 的权限设置，应用组策略是要注意容器中的计算机和账户有无权限

4. 累加

容器的多个组策略设置如果不冲突，则最终的有效策略是所有组策略设置的总和

5. 应用顺序

1 ）按 LSDOU 顺序被应用，后面的处理优先于前面所有应用的策略生效

2 ） LSDOU ： L: 本地（ Lical ） S ：站点（ Site ）域： D （ Domain ）组织单位： OU （ organizational unit ）

3 ）进入本地组策略的方法：① cmd 中 gpedit.msc

                         ② MMC →在控制台中，单击“文件”→添加 / 删除管理单元→添加，选择“组策略对象编辑器”

四、当几种组策略发生冲突时，冲突设置生效的是什么？

1 ）首先，安 LSDOU 顺序判断，即 L 和 S 发生冲突时 S 的策略生效， S 和 D 发生冲突时 D 的策略生效， D 和 OU 发生冲突时 OU 的策略生效

2 ）当同一种容器中存在父子关系时，且他两冲突时，后设置的策略生效

3 ）当在同一个容器中，有多个 GPO 时，且有冲突时，排在前面的生效

4 ）当有强制生效规则时，用强制生效的规则

5）例题

如图：域的组策略 IE 主页设置为 http://www.benet.com/

销售部组策略 IE 主页设置为 http://www.benet.com.cn/xiaoshoubu

子销售部 北京组策略 1 IE 主页 www.BJbenet.com

         北京组策略 2 IE 主页 www.BJbenet.com/xiaoshoubu

①如果北京销售部的组策略是最后设置的 则 IE 主页为 www.BJbenet.com

②如果北京销售部的组策略是最后设置的，且北京组策略 2 在 1 的上面的话 则 IE 主页 www.BJbenet.com/xiaoshoubu

③如果销售部的组策略是最后设置的 则 IE 主页设置为 http://www.benet.com.cn/xiaoshoubu

 ④如果域的组策略中设置了了强制生效 则IE主页设置为http://www.benet.com/

五、组策略的应用

1. 同一公司桌面

1 ）设置好共享文件夹（共享的权限默认即可， NTFS 权限要有读取权）放入同一的墙纸图片

2 ）开始→程序→管理工具→“ Active Directory 用户和计算机”→右击要设置的容器→属性→组策略，新建（或更改）一个 GPO →单击“编辑”→“用户配置”或“计算机配置”→管理模板→桌面

3 ）启用第一个 “ Active Deslctop ” 4 ）启用 “阻止更改墙纸” 5 ）更改““ Active Deslctop 墙纸”在里面设置好路径（ \\IP\ 共享文件名 \ 墙纸文件名）

2. 禁用以个程序

1 ）开始→程序→管理工具→“ Active Directory 用户和计算机”→右击要设置的容器→属性→组策略，新建（或更改）一个 GPO →单击“编辑”→“用户配置”或“计算机配置”→管理模板→系统→找到“不要运行指定的程序”

2 ）点击添加→添加要禁用程序的进程

3. 利用 GPO 实现软件设置 ( 分发，升级，删除，修复 ) 切记：这里的软件只能是 MSI 的文件

1 ）获取 Windows 安装程序文件，必须是 .msi 文件的

2 ）将软件安装文件放到软件分发点（指一个共享文件夹）

3 ）创建 GPO ，它包含软件安装的内容

①分发的步骤：开始→程序→管理工具→“ Active Directory 用户和计算机”→右击要设置的容器→属性→组策略，新建（或更改）一个 GPO →单击“编辑”→“用户配置”或“计算机配置”→软件设置→软件安装→新建→程序包→输入文件名路径“ \\IP\ 共享文件名 \ 程序”

→选择“已指派”或“已发布”

I 已指派：可以指派到用户和计算机，程序在“开始”菜单单中出现

II 发布：只能发布给用户，出现在“控制面板”→“添加 / 删除程”中

②修复软件：在分发好的软件上，右击→所有任务→重新部署应用任务

③删除软件：在分发好的软件上，右击→所有任务→删除→“立即从用户和计算机卸载软件”（强制删除）或“允许用户继续使用软件，但禁止安装”（软件可用，出现问题时不能安装）

④升级：在分发好的软件上，右击→属性→升级→添加，选择要神经的软件包单→让后选择 “强制升级”（强制升到新版本）或“可选升级”（允许用户同时使用一个程序的两个版本）