8.组策略

前面几章讲解的是文件和文件夹的安全与系统的安全策略，第四章的漫游用户文件设置起来需要为每一个用户去设置，有没有更简便的方法去实现不止是安全方面的管理，而是更加全面的管理？就是组策略

1、组策略是一组策略的集合

作用：

A 对用设置组策略影响整个域的工作环境，对OU设置影响本OU的工作环境

B 降低布置用户和计算机环境的总费用，只需设置一次，相应的用户或计算机即可全部使用规定的设置，并且减少了不正确环境配置的可能性

C 推行公司使用计算机规范

注意：组策略只适用于Windows 2000及以后的系统

组策略的具体设置保存在GPO（组策略对象）中，是AD中的一种特殊对象。将GPO与AD的容器（站点、域和OU）链接起来，以影响容器中的用户和计算机，实现集中管理

建立好DC后，已经有了2个默认的GPO，一个是Default Domain Policy，一个是Default Domain Controller Policy。可以打开“AD用户和计算机”查看。域的属性-组策略；域控制器OU的属性-组策略

可以应用组策略的容器有：SDOU，即站点，域，OU（组织单位）

站点：AD的物理结构，由一个或多个通过高速连接的IP子网组成。建立好DC后就有了一个默认的站点

与域的关系：没有之间的联系，可以互相包含

优点是：优化复制和使用户快速登录到DC上

GPO的组成：GPC和GPT两部分

GPC：组策略容器，包含GPO属性和版本信息的AD对象。可查看默认域控制器组策略的属性

GPT：组策略模板：在DC的共享系统卷中，是一种文件夹的层次结构，包含所有组策略设置和信息。可以使用资源管理器或者“AD用户和计算机”查看（打开后，选择查看-高技能能，展开右边的system，找到Policies）

2、组策略设置（使用命令gpupdate刷新，只刷新更改的设置）

分为两部分：计算机配置和用户配置（如果配置后两者冲突，则计算机设置生效）

计算机设置影响的是容器中的计算机，设置策略后一般需要重启计算机生效。也可使用命令：

gpupdate /target:computer /force（强制应用所有策略，即使前面应用的策略也再重新应用）

影响的是注册表中的HKEY-LOCAL-MACHINE的设置

用户配置影响的是容器的登录用户，设置后一般注销后再登录生效，也可使用命令强制应用：

gpupdate /target:user /force（强制应用所有策略，即使前面应用的策略也再重新应用）

可使用命令gpupdate /?查看此命令的帮助

影响的是注册表中的HKEY-CURRENT-USER中的设置

可以使用命令gpresult来查看组策略的结果（列出结果）

3、组策略应用规则

累加：容器的多个组策略如果不冲突，则最终的有效策略是所有组策略设置的总和

应用顺序：组策略的应用顺序是LSDOU：先是本地Local，站点Site，域Domain，最后是组织单位OU，如果有子OU则最后应用之。如果冲突，生效顺序是后应用的先生效，后面的策略优先于前面应用的策略生效

阻止继承：下级容器可以不应用上级容器的策略

强制生效：禁止替代的使用，强制下级容器继承上级容器的策略，即使下级容器阻止继承上级容器的策略也阻止不了

筛选（本质是授权）：在组策略属性的安全选项卡中，选择某个用户拒绝读取和应用策略即可。那么容器中的此用户就不受组策略的应用

4、利用GPO实现软件分发

步骤：

A 获取一个Windows安装程序包文件，后缀是.msi

B 将软件安装文件放在一个软件分发点上，分发点是一个网络路径，一个放在服务器上的共享文件夹

C 创建或者修改GPO，该GPO包含软件安装的内容

指派和发布的区别

指派：可以针对用户或计算机指派程序，强制安装到目标计算机上，带有强制性，可以在计算机的开始-程序中找到

发布：只能针对用户发布软件，用户可以选择安装，可以在控制面板-添加或删除程序-添加新程序中找到