组策略的配置与排错技巧

  大家可以到微软网站下载一个叫做gpmc.msi这个组策略管理软件 这个软件比系统自带的组策略管理方法好得多  这个软件在微软网站是免费下载的  下载回来后通过用WinRAR这个软件把它解压成gpmc.rar--然后双击gpmc.rar--再双击gpmc.msi就可以进行安装了   安装完成后   通过开始--运行--输入gpmc.msc按确定就可以打开组策略管理了     在组策略对象里面有二条组策略  一条叫做默认域控制器策略  一条叫做默认域策略  按Default Domain Controllers Policy 按详细信息可以看到属于那个域:(yejunsheng.com) 所有者:Domain Admins (YEJUNSHENG\Domain Admins)   唯一ID号  还有一个名字叫做GUID号   这个GUID号这个组策略的唯一标示符  这个标示符可以通过C:\WINDOWS\SYSVOL\sysvol\yejunsheng.com\Policies这个路径能看到  SYSVOL这个文件夹会存储你所有的组策略管理模板    现在可以看到默认域控制器策略它的组策略模板就存储在{6AC1786C-016F-11D2-945F-00C04fB984F9}这个文件夹里面   默认域策略它的组策略模板就存储在{31B2F340-016D-11D2-945F-00C04FB984F9}这个文件夹里面  所有的组策略模板都存储在C:\WINDOWS\SYSVOL\sysvol\yejunsheng.com\Policies这个路径下

    如果想新建一条组策略也很简单    对着组策略对象右键--选择新建     名称就叫做test吧    按确定

  现在叫做test这条组策略设置里面什么都没有配   这个组策略是空的     如果你想配置它  就对着test这条组策略右键--选择编辑--可以看到组策略编辑器页面  这个页面跟windows2000  windows2003 没安装gpmc的页面一样的   现在假设计算机配置  用户配置都设置好了     我已经在域当中创建一个叫做test的OU(组织单位) 并且里创建一个账号叫做bob   创建一台叫做WINDOWSXP的计算机在这种情况下   如果我希望test这个组策略里面的设置对那个bob用户起作用的话  你就把test这条组策略拖曳到test这个OU(组织单位)里面    按确定就可以了    test这条组策略里面的设置就可以对testOU(组织单位)生效了   test这条组策略里面的设置是对计算机生效还是对用户生效呢？这就要看你在组策略编辑器里面的设置     如果你在计算机配置里面设置的话  就对计算机(WINDOWSXP)生效 如果你在用户配置里面设置的话  就对用户(bob)生效     注意:如果是对计算机做设置的话  计算机必需重新启动才能生效 如果是对用户做设置的话  只需要注销再登录就生效了   

GPMC这个工具还可以对组策略备份    我现在就对test这条组策略做备份  对着test右键--选择备份  我就把它存储在C盘里面吧  在C盘里面新建一个叫做GPObak的文件夹  按确定--按备份就开始备份了    这样的话你可以把你所需要备份的组策略一次性地备份下来

在C:\GPObak\{BD2B1A69-3793-4D9A-9057-27F4F574C635}这个路径下就是我备份test这条组策略的内容   里面有xml文件 以及有一个叫做DomainSysvol的文件夹     我现在把test这条组策略删除掉    对着test右键--选择删除

如果想还原test那条组策略  怎么办呢    对着组策略对象右键--选择管理备份     按还原    按确定就可以了

  我现在在组策略对象里面创建二条组策略 它们分别叫做1 2   暂时里面什么都不设置      然后把1这条组策略拖曳到test这个OU里面 那么就说明test这个OU里面的计算机或用户将会应用1这条组策略里面的所有内容   按test按组策略继承可以看到一条叫做Default Domain Policy的组策略  这条组策略是域级别的默认的组策略   所以testOU里面的计算机和用户在真正登录或开机的时候 你所生效的组策略是这二条组策略的加和 这是一个默认的继承关系    我再把叫做2这条组策略拖曳到域级别里面 按testOU就可以看到3条组策略了 Default Domain Policy 和2这两条组策略都是从域级别继承下来的   当用户登录进来的时候  该听那一条组策略呢?  越靠上面 优先级越高   就是说叫做1这条组策略优先级最高   次之到Default Domain Policy这条组策略  叫做2这条组策略优先级最低   如果三条组策略里面的设置有冲突的话就听1这条组策略     如果你不希望test这个OU继承来自域的组策略的话   就对着testOU右键--选择组止继承  这种方法可打破组策略的继承关系

如果我现在希望域级别里面的二条策略   其中默认的域策略   不管底下的OU说继承还是说不继承  我一定要给你强制继承到底 就对着Default Domain Policy右键--选择强制  这个时候testOU里面就会应用两条组策略了   强制继承和打破继承里面的设置有冲突的话就听强制继承的   如果你希望在testOU里面的叫做1这条组策略只对某一个用户不生效   我再在Active Directory里面创建一个叫做alice的用户   如果你希望在testOU里面的叫做1这条组策略对所有的用户都生效除了alice  按1这条组策略--按委派--按高级--按添加--把alice添加进来--在应用组策略那一项选择拒绝    按确定 按是就ok了  它会告诉你拒绝权限是最优先的

我现在来编辑1这条组策略   对着1右键--选择编辑    然后等一下让testOU里面那个bob用户来生效这条组策略  管理模板实际上达到的目的是改客户端的注册表 我现在展开管理模板来更改里面几项设置   我把Internet Explorer里面的禁用更改主页设置启用   任务栏和[开始]菜单里面的从[开始]菜单中删除"运行"菜单属性启用   桌面里面的从桌面删除回收站启用   显示里面的隐藏设置选项卡启用

看到了吗？ 我现在是用bob这个用户登录进来的    本来在右下角有一个回收站  现在没有了   以前在搜索下面有运行那一项  现在也没有了    IE的属性不能改了   显示属性的设置选项卡式本要在外观右边  现在也没有了   组策略生效很快啊  只需要用户注销再登录就可以了  

  计算机配置里面有脚本叫做启动或关机脚本   用户配置里面也有脚本叫做登录或注销脚本  这四个脚本生效时间是不一样的   我现在来做一个登录脚本给大家看一下   就是说用户登录的时候就会生效脚本了    在桌面空白处右键--按新建--按文本文件  然后对着这个文本文件右键--选择重命名--输入logon.vbs  对着logon.vbs右键--选择编辑--输入msgbox "hello!" 按关闭 按是   然后双击logon.vbs这个脚本就ok了  

   双击登录--按添加--按浏览 因为我刚才把那个logon.vbs脚本放在桌面上了  按桌面 对着logon.vbs右键选择剪切  按<- 把logon.vbs粘贴到logon这个文件里面就可以了  按打开  按确定就ok了     注意:那个logon.vbs脚本一定要放在logon这个文件夹里面才能生效 

   看到了吗？ 我现在来到叫做windowsxp这台计算机用bob这个用户登录进来的   现在那个logon.vbs脚本已经生效了

  我现在在域控制器这台计算机 在C盘里面新建一个叫做doc的文件夹并且把它共享出来 把它的权限放到最大  在组策略里面按文件夹重定向  对着我的文档右键--选择--属性 在设置那一项改成基本-将每个人的文件夹重定向到同一个位置   因为我这台DC的IP地址是192.168.1.2   所以在根路径里面输入\\192.168.1.2\doc  在doc这个文件夹里面创建一个以用户名的文件夹  然后把这个用户的我的文档放到这个位置里面 

如果你看到我的文档属性里面的目标文件夹路径还没有改变   你就在命令提示符下输入gpupdate /force 按回车键 这个命令可以让客户端刷新服务器端的组策略   注销再登录应该就可以生效了    看到了吗？现在目标文件夹的路径已经变成 \\192.168.1.2\doc\bob\我的文档了

  我现在来到服务器这边     看到了吗？ 在doc里面自动创建一个叫做bob的用户   我现在是以administrator的身份登录进来的并且访问不了我的文档    默认情况下   做那个文件夹重定向每个用户的我的文档只能他自己访问  任何人都不能访问  

我现在在用户配置里面的软件安装里面 对着空白处右键--按新建--选择程序包      我已经把MakeMsi这个文件夹共享了  注意:虽然我这个程序包在C盘  但是不能够通过本地通径去找这个程序包 必需通过网络路径去找   如果你想用组策略把程序包安装到客户端的话  这个程序包一定是msi安装格式才行的    也可以到网上找一些软件把非msi格式程序包转换成msi格式程序包  如果你想把非msi格式程序包安装到客户端可以使用SMS 什么格式的软件都能安装到客户端

看到了吗? 我现在来到客户端了   MakeMSI已经安装了   注意:当你第一次使用这个软件才开始进行安装   安装完成后就可以使用了

  对着WMI筛选器右键--选择新建     按添加   在查询里面粘贴你写的查询语句    就是说你写的查询语句的内容  客户端要全满足才生效   有一项不满足就不生效了    大家可以到Technet网站下载很多关于WMI筛选器的工具   大家可能觉得WMI查询语句很难写得出来  不过Technet网站有一种软件可以把所有名称空间的查询语句都列出来   你不会写的话 可以下载那种软件回来看    

  我现在来到域控制器这台计算机  对着其他规则右键--选择新建路径规则     在路径里面输入法c:\windows\system32\notepad.exe这个路径   安全级别设置成不允许的   按确定  在这个路径下用户就不能使用记事本了 但是用户把notepad放到其他路径就又可以使用了   如果你想把一个软件什么版本在什么路径都不能使用的话你可以用*  *比如你要限制qq.exe不让客户端使用   你只需要在路径里面输入*qq.exe*就ok了    *是表示所有的

看到了吗？ 我通过开始--程序--附件--按记事本就报错了   说由于一个软件限制策略的阻止    我现在把notepad剪切然后粘贴在桌面  再双击notepad就可以打开了

如果你想记事本放在那里都运行不了   就对着其他规则右键--选择新建哈希规则   按浏览把notepad.exe放到里面   然后可以看到它自动算出来notepad.exe这个文件的哈希值    只要是这个文件就是这个哈希值   不会改变的    这样不管用户把notepad放到那个路径都不能运行了 

看到了吗？ 现在我在桌面上双击notepad照样不能打开记事本了   这表明那条哈希规则已经生效了

假如用calc.exe(计算器)做了三条规则    一条是路径规则(无限制)   一条是哈希规则(不允许) 一条又是路径规则(不允许)  这个时候它该听说的呢？ 最终结果是不能运行calc.exe这个程序  它听哈希规则的    哈希规则优先级最高>证书规则&gt;路径规则&gt;Internet区域规则