win03组策略-入门篇
入门篇
一、组策略概览
one to many
1.1 组策略执行顺序
本地策略→站点策略→域策略→父OU策略→子OU策略
后执行的优先级高
计算机策略优于用户策略
不同层次的策略产生冲突时,子容器上的GPO级别高
同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
![clip_image002[4]](http://img1.51cto.com/attachment/201302/2/4779530_1359786409I6ZW.jpg "clip_image002[4]")
先处理2再1,1会覆盖2的设置,链接顺序对应优先级,执行先后顺序跟着箭头走
![clip_image004[4]](http://img1.51cto.com/attachment/201302/2/4779530_1359786410q9XT.jpg "clip_image004[4]")
1为父ou策略,但因为强制优先级最高。
影响执行顺序:强制、阻止继承
1.2 安全筛选
组策略安全过滤
l 安全过滤
? 默认GPO权限-Authenticated Users
? 读取及应用组策略
? 删除Authenticated Users组
? 按照GPO设定创建安全组
? 为安全组分配权限
l 安全过滤vs.OUs
? 都是控制有效范围的方法
? 建议同时只使用一个方法
? 排错不便
1.3 03及xp家族组策略新特性
l 超多200个新增特性
l 新的组策略对象编辑器
l 新的工具
l 软件限制策略
l WMI过滤器
l Group Policy Modelling
l 组策略管理控制台
l GP scripting
结果检测
命令行下gpresult /v等
强制刷新
Gpresult /v
或者在mmc中添加策略结果集,如图
![clip_image006[4]](http://img1.51cto.com/attachment/201302/2/4779530_1359786410fWw8.jpg "clip_image006[4]")
例:禁止用户运行记事本
新建组策略-用户策略-windows设置-软件限制策略-其他规则,新建路径规则,找到记事本程序notepad.exe,确定,路径可以这样写,%systemroot%\system32\notepad.exe 如果是其他程序,比如qq,不确定路径可以这样*QQ*。
修复默认的GPO
Dcgpofix
二、创建、编辑和应用组策略
组策略的存储位置
GPO
l 包含策略设置
l 存储于两个位置
GPC(组策略容器)
l 存储于AD中
l 提供版本信息
GPT(组策略模板)
l 存储于SYSVOL中
l 提供策略设置
三、软件部署
三种格式
MSI(windows installer package)
MST(windows installer Transform)
MSP(windows installer patch)
3.1部署MSI
? 软件部署进程
1、创建软件分发点(SDP)2、使用GPO部署软件3、改变软件部署的属性
? 指派软件
2 指派给计算机
计算机启动时安装
2 指派给用户
用户不需要拥有本地管理员权限。
不会自动安装,只会安装部分信息(如快捷方式)
2 何时自动安装
开始运行此软件
利用文件启动功能
? 发布软件
2 发布给用户,不能发布给计算机
不会自动安装
2 何时自动安装
控制面板
利用文件启动功能
? 自动修复软件
? 删除软件
通过组策略部署的软件可以删除
立即从用户及计算机
实例:
Note:可以先填写默认程序包位置,注意位置必须用计算机名表示
![clip_image008[4]](http://img1.51cto.com/attachment/201302/2/4779530_1359786411rzCr.jpg "clip_image008[4]")
在计算机指派时只能部署MSI格式的
用户下可以部署ZAP和MSI两种格式
![clip_image010[4]](http://img1.51cto.com/attachment/201302/2/4779530_1359786412e4xT.jpg "clip_image010[4]")
用户下分发与指派软件不需要客户端管理员权限
PS:测试发现一般微软的软件可以如office,有许多软件是不可以的
建立扩展名为.zap文件
? 只能发布给用户,不能指派给用户或计算机
? 不具备自动修复等windows installer package 才能拥有的特性
? 安装过程需要用户介入
? 用户需要在客户端具备安装软件的权限,例如系统管理员
自定义zap文件
新建记事本文件,里面填写
[application]
Friendlyname=”symentec norton client”
Setupcommand=\\win20003\soft$\setup.exe
Displayversion=”9.0”
Publisher=”symentec”
该扩展名为zap
3.2 部署非MSI文件
打包为MSI文件
? 第三方软件
Wininstall le AdminStudio Wise package studio Orca
3.3软件升级
? 强制升级(mandatory update)
旧版本软件被自动升级
安装新版本软件的快捷方式
? 选择升级
旧版本软件不会自动升级
控制面板添加
3.4重新部署
目的:为软件安装service pack 或补丁
如果补丁是
MSI:直接覆盖旧文件
Windows install patch MSP:使用以下命名更新windows installer package文件夹内的文件:
Msiexec /p .msp文件的路径与文件名 /a .msi文件的路径与文件名
修改文件
通过创建.mst文件来修改用户在安装windows installer package(.msi)时的设置
是否能搭配.mst文件安装msi,取决于该软件是否支持自定义安装以及是否提供建立.mst的工具而定。
3.5安装office 2003
新建组策略soft
用户配置-软件设置-软件安装-新建程序包-选择\\win2003\soft$\PRO11.MSI
高级-配置相关选项,自定义安装文件(如序列号),可以使用office 2003 resource kit
Mst文件在修改里可以添加
注意开始要选高级,不能选择发布或指派,这个添加按钮才可用。
打补丁
将MSP文件集成到msi中
Cmd下,msiexex /a e:\software\office2003\PRO11.msi /p gdiplus-Fullfile-GLB.msp
达到打office 2003的补丁
3.6分发office 2007
注意不支持用户指派和发布
Msi文件为里面的proplus.ww\Proplusww.msi
Mst文件在office.zh-cn\ShellUi.MST
密钥等其他选项可以在ProPlus.WW\config.xml中修改
将<!-- <PIDKEY Value="BCDFGHJKMPQRTVWXY2346789B" /> -->
替换为<PIDKEY Value="DBXYDTF47746YM4W74MH6YDQ8" />
3.7分发flash player
首先下载msi格式的flash player,可以到这里下载
http://www.adobe.com/products/flashplayer/distribution3.html
注意,用户发布或指派,需要有本地管理员权限才能安装,建议计算机指派
四、用户配置
用户配置文件类型
Default user profile
Local user profile
Roaming user profile漫游
Mandatory user profile 强制
Demo
4.1我的文档重定向
新建组策略-用户配置-windows设置-文件夹重定向-我的文档
第一项---基本-将每个人的文件夹重定向到同一位置,不推荐使用,会比较乱,所有文件在同一个文件夹
推荐第二项—高级-为不同的用户组指定位置
客户端刷新后,在服务端可以看到,客户端的属性中也能看到路径
